Acerca del contenido de seguridad de OS X Yosemite v10.10.5 y la actualización de seguridad 2015-006

En este documento se describe el contenido de seguridad de OS X Yosemite v10.10.5 y la actualización de seguridad 2015-006.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.5 y actualización de seguridad 2015-006

  • apache

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en Apache 2.4.16, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio

    Descripción: Existían varias vulnerabilidades en las versiones de Apache anteriores a 2.4.16. Se solucionaron mediante la actualización de Apache a la versión 2.4.16.

    ID CVE

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en PHP 5.5.20, la más grave de las cuales podía provocar la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en las versiones de PHP anteriores a 5.5.20. Se solucionaron mediante la actualización de Apache a la versión 5.5.27.

    ID CVE

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Módulo OD de ID de Apple

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría cambiar la contraseña de un usuario local

    Descripción: En algunos casos, se producía un problema de administración de estado en la autenticación de contraseñas. Para solucionar el problema, se mejoró la administración de estado.

    ID CVE

    CVE-2015-3799: Un investigador anónimo en colaboración con Zero Day Initiative de HP

  • AppleGraphicsControl

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: Existía un problema en AppleGraphicsControl que podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se mejoró la comprobación de límites.

    ID CVE

    CVE-2015-5768: JieTao Yang de KeenTeam

  • Bluetooth

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en IOBluetoothHCIController. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3779: Teddy Reed de Facebook Security

  • Bluetooth

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: Un problema de administración de la memoria podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se mejoró la administración de la memoria.

    ID CVE

    CVE-2015-3780: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Bluetooth

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una app malintencionada podría acceder a las notificaciones de otros dispositivos de iCloud

    Descripción: Existía un problema por el cual una app malintencionada podía acceder a las notificaciones del Centro de notificaciones de un dispositivo iOS o una Mac enlazados por Bluetooth mediante el Servicio del Centro de Notificaciones de Apple. Este problema afectaba a los dispositivos con Handoff conectados a la misma cuenta de iCloud. Para solucionar este problema, se revocó el acceso al Servicio del Centro de Notificaciones de Apple.

    ID CVE

    CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante con una posición de red privilegiada podría realizar un ataque de denegación de servicio mediante paquetes de Bluetooth con estructura incorrecta

    Descripción: Existía un problema de validación de entradas en el análisis de paquetes ACL de Bluetooth. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de desbordamiento de búfer en el procesamiento de mensajes XPC por parte de blued. Para solucionar estos problemas, se mejoró la comprobación de límites.

    ID CVE

    CVE-2015-3777: mitp0sh de [PDX]

  • bootp

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una red Wi-Fi malintencionada podría ser capaz de determinar las redes a las que ha accedido previamente un dispositivo

    Descripción: Al conectarse a una red Wi-Fi, iOS podía transmitir direcciones MAC de redes a las que se había accedido previamente mediante el protocolo DNAv4. Para solucionar este problema, se desactivó DNAv4 en las redes Wi-Fi no encriptadas.

    ID CVE

    CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, University of Oxford (en el proyecto EPSRC Being There)

  • CloudKit

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ser capaz de acceder al registro en iCloud de un usuario conectado anteriormente

    Descripción: Existía una incoherencia de estado en CloudKit al cerrar la sesión de los usuarios. Para solucionar este problema, se mejoró el manejo de los estados.

    ID CVE

    CVE-2015-3782: Deepkanwal Plaha de University of Toronto

  • CoreMedia Playback

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían problemas de daños en la memoria en CoreMedia Playback. Para solucionarlos, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Varias vulnerabilidades en cURL y libcurl antes de la versión 7.38.0, una de las cuales podía permitir que los atacantes remotos eludieran la política de mismo origen

    Descripción: Existían varias vulnerabilidades en cURL y libcurl antes de la versión 7.38.0. Para solucionar estos problemas, se actualizó cURL a la versión 7.43.0.

    ID CVE

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: El procesamiento de una secuencia de caracteres Unicode podría generar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían problemas de daños en la memoria en el procesamiento de caracteres Unicode. Para solucionar estos problemas, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5750: M1x7e1 de Safeye Team (www.safeye.org)

  • Panel de preferencias Fecha y hora

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Las aplicaciones que se basan en la hora del sistema podrían presentar un comportamiento inesperado

    Descripción: Existía un problema de autorización al modificar las preferencias del sistema para fecha y hora. Para resolver este problema, se agregaron otras comprobaciones de autorización.

    ID CVE

    CVE-2015-3757: Mark S C Smith

  • App Diccionario

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar las consultas de los usuarios en la app Diccionario

    Descripción: Existía un problema en la app Diccionario, por el cual no se protegían correctamente las comunicaciones de los usuarios. Para solucionar este problema, se trasladaron las consultas de Diccionario a HTTPS.

    ID CVE

    CVE-2015-3774: Jeffrey Paul de EEQJ, Jan Bee de Google Security Team

  • Imágenes de disco

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el análisis de imágenes DMG con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3800: Frank Graziano de Yahoo Pentest Team 

  • dyld

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación de rutas en dyld. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-3760: beist de grayhash, Stefan Esser

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Varios problemas en pdfroff

    Descripción: Existían varios problemas en pdfroff, el más grave de los cuales podía permitir la modificación arbitraria del sistema de archivos. Para solucionar estos problemas, se eliminó pdfroff.

    ID CVE

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de imágenes TIFF. Para solucionar este problema, se mejoró la comprobación de límites.

    ID CVE

    CVE-2015-5758: Apple

  • ImageIO

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de la memoria de procesos

    Descripción: Existía un problema de acceso a la memoria no inicializada en el procesamiento de imágenes PNG y TIFF por parte de ImageIO. Visitar un sitio web malintencionado podría provocar el envío de datos de la memoria de procesos al sitio web. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de imágenes PNG y TIFF.

    ID CVE

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework Legacy

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios de usuario root

    Descripción: Existía un problema en la forma en que el binario runner de Install.framework reducía los privilegios. Para solucionar este problema, se mejoró la administración de privilegios.

    ID CVE

    CVE-2015-5784: Ian Beer de Google Project Zero

  • Install Framework Legacy

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía una condición de carrera en el binario runner de Install.framework por la cual los privilegios se reducían de la forma incorrecta. Para solucionar este problema, se mejoró el bloqueo de objetos.

    ID CVE

    CVE-2015-5754: Ian Beer de Google Project Zero

  • IOFireWireFamily

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían problemas de daños en la memoria en IOFireWireFamily. Para solucionar estos problemas, se agregó otro tipo de validación de entradas.

    ID CVE

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en IOGraphics. Para solucionar este problema, se agregó otro tipo de validación de entradas.

    ID CVE

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de desbordamiento de búfer en IOHIDFamily. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel

    Descripción: Existía un problema en la interfaz mach_port_space_info, que podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar esto, se desactivó la interfaz mach_port_space_info.

    ID CVE

    CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un desbordamiento de enteros en la administración de funciones IOKit. Este problema se solucionó mediante una validación mejorada de los argumentos del API IOKit.

    ID CVE

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de provocar una denegación de servicio del sistema

    Descripción: Existía un problema de agotamiento de recursos en el driver fasttrap. Para solucionar esto, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5747: Maxime VILLARD de m00nbsd

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de provocar una denegación de servicio del sistema

    Descripción: Existía un problema de validación en el montaje de volúmenes HFS. Para solucionar esto, se agregaron más comprobaciones.

    ID CVE

    CVE-2015-5748: Maxime VILLARD de m00nbsd

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código sin firma

    Descripción: Existía un problema por el cual se podía agregar código sin firma a un código con firma en un archivo ejecutable diseñado especialmente. Para solucionar este problema, se mejoró la validación de firmas de código.

    ID CVE

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un archivo ejecutable diseñado especialmente podía permitir la ejecución de código malintencionado sin firma

    Descripción: Existía un problema en la forma en que se evaluaban los archivos ejecutables con varias arquitecturas. Esto podía permitir la ejecución de código sin firma. Para solucionar este problema, se mejoró la validación de archivos ejecutables.

    ID CVE

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ser capaz de ejecutar código sin firma

    Descripción: Existía un problema de validación en el manejo de archivos Mach-O. Para solucionar esto, se agregaron más comprobaciones.

    ID CVE

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un archivo plist creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos plist con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3776: Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany

  • Kernel

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de validación de rutas. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-3761: Apple

  • Libc

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían problemas de daños en la memoria en la biblioteca de TRE. Para solucionarlos, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3796: Ian Beer de Google Project Zero

    CVE-2015-3797: Ian Beer de Google Project Zero

    CVE-2015-3798: Ian Beer de Google Project Zero

  • Libinfo

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían problemas de daños en la memoria en el manejo de los sockets AF_INET6. Para solucionar esto, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-5776: Apple

  • libpthread

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existían problemas de daños en la memoria en el manejo de las llamadas del sistema. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.

    ID CVE

    CVE-2015-5757: Lufeng Li de Qihoo 360

  • libxml2

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio

    Descripción: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2. Se solucionaron mediante la actualización de libxml2 a la versión 2.9.2.

    ID CVE

    CVE-2012-6685: Felix Groebert de Google

    CVE-2014-0191: Felix Groebert de Google

  • libxml2

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de acceso a la memoria en libxml2. Para solucionar esto, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2014-3660: Felix Groebert de Google

  • libxml2

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3807: Apple

  • libxpc

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el manejo de mensajes XPC con estructura incorrecta. Este problema se mejoró al optimizar la comprobación de límites.

    ID CVE

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar comandos de shell arbitrarios

    Descripción: Existía un problema de validación en el análisis de direcciones de correo electrónico con mailx. Para solucionar esto, se mejoró el saneamiento.

    ID CVE

    CVE-2014-7844

  • OSX para el centro de notificaciones

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Una aplicación malintencionada podría acceder a todas las notificaciones mostradas con anterioridad a los usuarios

    Descripción: Existía un problema en el centro de notificaciones por el cual no se eliminaban correctamente las notificaciones para los usuarios. Para solucionar este problema, se eliminaron correctamente las notificaciones descartadas por los usuarios.

    ID CVE

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en NTFS. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-5763: Roberto Paleari y Aristide Fattori de Emaze Networks

  • OpenSSH

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Los atacantes remotos podrían eludir la demora para los intentos fallidos de inicio de sesión y realizar ataques de fuerza bruta

    Descripción: Existía un problema en el procesamiento de dispositivos de interacción con el teclado. Para solucionar este problema, se mejoró la validación de solicitudes de autenticación.

    ID CVE

    CVE-2015-5600

  • OpenSSL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio

    Descripción: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg. Para solucionar esto, se actualizó OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar una expresión regular creada con fines malintencionados podría divulgar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la forma en que Perl analizaba las expresiones regulares. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2013-7422

  • PostgreSQL

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante podría ser capaz de provocar el cierre inesperado de una aplicación o de obtener acceso a datos sin la autenticación adecuada

    Descripción: Existían varios problemas en PostgreSQL 9.2.4. Para solucionarlos, se actualizó PostgreSQL a la versión 9.2.13.

    ID CVE

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en Python 2.7.6, la más grave de las cuales podía provocar la ejecución de código arbitrario

    Descripción: Existían varias vulnerabilidades en las versiones de Python anteriores a 2.7.6. Se solucionaron mediante la actualización de Python a la versión 2.7.10.

    ID CVE

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el análisis de documentos de Office. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-5773: Apple

  • QL Office

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un archivo XML creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de referencia a una entidad externa en el análisis de archivos XML. Para solucionar este problema, se mejoró el análisis.

    ID CVE

    CVE-2015-3784: Bruno Morisson de INTEGRITY S.A.

  • Estructura de Quartz Composer

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un archivo de QuickTime creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el análisis de archivos de QuickTime. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-5771: Apple

  • Vista rápida

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: La búsqueda de un sitio web visitado previamente podría iniciar el navegador web y procesar ese sitio web

    Descripción: Existía un problema por el cual QuickLook tenía la capacidad de ejecutar JavaScript. Para solucionar este problema, se desautorizó la ejecución de JavaScript.

    ID CVE

    CVE-2015-3781: Andrew Pouliot de Facebook, Anto Loyola de Qubole

  • QuickTime 7

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de daños en la memoria en QuickTime. Para solucionar estos problemas, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de daños en la memoria en QuickTime. Para solucionar estos problemas, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3765: Joe Burnett de Audio Poison

    CVE-2015-3788: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3789: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3790: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3791: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-3792: Ryan Pentney y Richard Johnson de Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Visualizar un archivo de Collada creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un desbordamiento de búfer de pila en el manejo de los archivos de Collada por parte de SceneKit. Para solucionar este problema, se mejoró la validación de entradas.

    ID CVE

    CVE-2015-5772: Apple

  • SceneKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en SceneKit. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3783: Haris Andrianakis de Google Security Team

  • Seguridad

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un usuario estándar podría ser capaz de obtener acceso a privilegios de administrador sin la autenticación adecuada

    Descripción: Existía un problema en el manejo de la autenticación de usuario. Para solucionar este problema, se mejoraron las comprobaciones de autenticación.

    ID CVE

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el cliente SMB. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3773: Ilja van Sprundel

  • Interfaz de Voz

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar una cadena Unicode creada con fines malintencionados con las alertas de voz activadas podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de cadenas Unicode. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3794: Adam Greenbaum de Refinitive

  • sudo

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en las versiones de sudo anteriores a 1.7.10p9, la más grave de las cuales podía permitir que un atacante obtuviera acceso a archivos arbitrarios

    Descripción: Existían varias vulnerabilidades en las versiones de sudo anteriores a 1.7.10p9. Para solucionar esto, se actualizó sudo a la versión 1.7.10p9.

    ID CVE

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Existían varias vulnerabilidades en tcpdump 4.7.3, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio

    Descripción: Existían varias vulnerabilidades en las versiones de tcpdump anteriores a 4.7.3. Se solucionaron mediante la actualización de tcpdump a la versión 4.7.3.

    ID CVE

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formatos de texto

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Analizar un archivo de texto creado con fines malintencionados podría provocar la divulgación de información del usuario

    Descripción: Existía un problema de referencia a una entidad externa XML en el análisis de TextEdit. Para solucionar este problema, se mejoró el análisis.

    ID CVE

    CVE-2015-3762: Xiaoyong Wu de Evernote Security Team

  • udf

    Disponible para: OS X Yosemite de v10.10 a v10.10.4

    Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema

    Descripción: Existía un problema de daños en la memoria en el análisis de imágenes DMG con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.

    ID CVE

    CVE-2015-3767: beist de grayhash

OS X Yosemite v10.10.5 incluye el contenido de seguridad de Safari 8.0.8.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: