Acerca del contenido de seguridad de OS X El Capitan v10.11

En este documento, se describe el contenido de seguridad de OS X El Capitan v10.11.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web de seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

OS X El Capitan v10.11

  • Agenda

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía inyectar código arbitrario en los procesos encargados de cargar el marco de Agenda.

    Descripción: Existía un problema en el manejo de una variable del entorno por parte del marco de Agenda. El problema se solucionó mejorando el manejo de variables del entorno.

    ID CVE

    CVE-2015-5897: Dan Bastone de Gotham Digital Science

  • AirScan

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante con posición de red privilegiada podía extraer la carga de los paquetes eSCL enviados a través de una conexión segura.

    Descripción: Existía un problema en el procesamiento de paquetes eSCL. Para solucionar este problema, se mejoraron las comprobaciones de validación.

    ID CVE

    CVE-2015-5853: Un investigador anónimo

  • apache_mod_php

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas vulnerabilidades en PHP.

    Descripción: Existían diversas vulnerabilidades en versiones de PHP anteriores a 5.5.27, incluida una que podría haber provocado la ejecución de código arbitrario. Este problema se solucionó actualizando PHP a la versión 5.5.27.

    ID CVE

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía obtener acceso a los elementos del llavero de un usuario.

    Descripción: Existía un problema en la validación de listas de control de acceso para los elementos del llavero de iCloud. Este problema se solucionó mejorando las verificaciones de las listas de control de acceso.

    ID CVE

    CVE-2015-5836: XiaoFeng Wang y Luyi Xing (Universidad de Indiana), Tongxin Li y Tongxin Li (Universidad de Pekín), y Xiaolong Bai (Universidad Tsinghua)

  • Eventos Apple

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario conectado mediante pantalla compartida podía enviar eventos Apple a una sesión de usuario local.

    Descripción: Existía un problema con los filtros de eventos Apple que permitió a algunos usuarios enviar eventos a otros usuarios. Este problema se solucionó mejorando el manejo de los eventos Apple.

    ID CVE

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Audio

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: La reproducción de un archivo de audio creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

    Descripción: Existía un problema de daños en la memoria en el manejo de archivos de audio. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Asesor:Prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea del Sur

  • bash

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas vulnerabilidades en bash.

    Descripción: Existían diversas vulnerabilidades en las versiones bash anteriores a la versión 3.2, nivel de revisión 57. Para resolver estos problemas, se actualizó la versión de bash 3.2 al nivel de revisión 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Política de confianza en certificados

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Actualización en la política de confianza en certificados.

    Descripción: La política de confianza en certificados se actualizó. Se puede ver la lista completa de certificados en http://support.apple.com/es-lamr/HT202858.

  • Cookies de CFNetwork

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante con una posición de red privilegiada puede realizar un seguimiento de la actividad de un usuario.

    Descripción: Existía un problema de cookies entre dominios en el manejo de dominios de nivel superior. El problema se solucionó mejorando las restricciones en la creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • FTPProtocol de CFNetwork

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Los servidores FTP creados con fines malintencionados podían ocasionar que el cliente realizara el reconocimiento en otros hosts.

    Descripción: Existía un problema en el manejo de paquetes de FTP al usar el comando PASV. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una URL creada con fines malintencionados podía omitir HSTS y filtrar datos sensibles.

    Descripción: Existía una vulnerabilidad al analizar URL en el manejo de HSTS. Este problema se solucionó mejorando el análisis de URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • CFNetwork HTTPProtocol

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía interceptar el tráfico de red.

    Descripción: Existía un problema en el manejo de las entradas de lista de precarga de HSTS en el modo de navegación privada de Safari. Para solucionar este problema, se mejoró el procesamiento de los estados.

    ID CVE

    CVE-2015-5859: Rosario Giustolisi de la Universidad de Luxemburgo

  • CFNetwork HTTPProtocol

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un sitio web creado con fines malintencionados podía seguir a los usuarios en Safari incluso con la navegación privada activada.

    Descripción: Existía un problema en la administración del estado de HSTS en el modo de navegación privada de Safari. Para solucionar este problema, se mejoró el procesamiento de los estados.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh de RadicalResearch Ltd

  • Proxies de CFNetwork

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: La conexión a un servidor proxy web creado con fines malintencionados podía establecer cookies creadas con fines malintencionados para un sitio web.

    Descripción: Existía un problema en el manejo de respuestas de conexión a servidores proxy. Este problema se solucionó eliminando la cabecera set-cookie al analizar la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua

  • CFNetwork SSL

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante con una posición de red privilegiada podía interceptar conexiones SSL/TLS.

    Descripción: Existía un problema de validación de certificados en NSURL cuando un certificado cambiaba. Este problema se solucionó mejorando la validación de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork SSL

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante podía desencriptar datos protegidos mediante SSL.

    Descripción: Existen ataques conocidos a la confidencialidad de RC4. Un atacante podía forzar el uso de RC4, incluso si el servidor prefería mejores encriptaciones, mediante el bloqueo de las conexiones con TLS 1.0 y superiores hasta que CFNetwork probara SSL 3.0, que solo admite RC4. Este problema se solucionó eliminando el respaldo para SSL 3.0.

  • CoreCrypto

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante podía determinar una clave privada.

    Descripción: Mediante la observación de muchos intentos de firma o de desencriptación, un atacante podía haber determinado la clave RSA privada. Este problema se solucionó mejorando los algoritmos de encriptación.

  • CoreText

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en dyld. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Dev Tools

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación podía omitir la firma de código.

    Descripción: Existía un problema con la validación de la firma de códigos de ejecutables. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam

  • Imágenes de disco

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en DiskImages. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación podía omitir la firma de código.

    Descripción: Existía un problema con la validación de la firma de códigos de ejecutables. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía prevenir el arranque de algunos sistemas.

    Descripción: Existía un problema con las direcciones incluidas en el registro de rangos protegidos. Este problema se solucionó cambiando el rango protegido.

    ID CVE

    CVE-2015-5900: Xeno Kovah y Corey Kallenberg de LegbaCore

  • EFI

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un dispositivo Thunderbolt Ethernet de Apple creado con fines malintencionados podía ser capaz de afectar la memoria flash del firmware.

    Descripción: Los dispositivos Thunderbolt Ethernet de Apple podían modificar el firmware del host si se conectaban durante una actualización de EFI. Para solucionar este problema, no se cargan ROM opcionales durante las actualizaciones.

    ID CVE

    CVE-2015-5914: Trammell Hudson de Two Sigma Investments y snare

  • Finder

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: La opción “Vaciar basurero de forma segura” podía no eliminar los archivos enviados al basurero de forma segura.

    Descripción: Existía un problema al garantizar la eliminación segura de los archivos del basurero en algunos sistemas, como aquellos con almacenamiento flash. Este problema se solucionó al quitar la opción “Vaciar basurero de forma segura”.

    ID CVE

    CVE-2015-5901: Apple

  • Game Center

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación de Game Center creada con fines malintencionados podía acceder a la dirección de correo electrónico de un jugador.

    Descripción: Existía un problema en la administración del correo electrónico de un jugador por parte de Game Center. El problema se solucionó mejorando las restricciones de acceso.

    ID CVE

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante podía reproducir las credenciales Kerberos en el servidor SMB.

    Descripción: Existía un problema de autenticación en las credenciales Kerberos. Este problema se solucionó mediante la validación adicional de las credenciales que usan una lista de las últimas credenciales detectadas.

    ID CVE

    CVE-2015-5913: Tarun Chopra de Microsoft Corporation, Estados Unidos, y Yu Fan de Microsoft Corporation, China

  • ICU

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Varias vulnerabilidades en ICU.

    Descripción: Existían varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Se solucionaron actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand de Google Project Zero

  • Install Framework Legacy

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía obtener privilegios de usuario raíz.

    Descripción: Existía un problema de restricción en el marco privado de instalación que contenía un ejecutable con privilegios. Este problema se solucionó eliminando el ejecutable.

    ID CVE

    CVE-2015-5888: Apple

  • Controlador de gráficos Intel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de daños en la memoria en el driver de gráficos de Intel. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

    Descripción: Existía un problema en IOAcceleratorFamily que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó permutando los punteros del kernel.

    ID CVE

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existían varios problemas de daños en la memoria en el kernel. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5871: Ilja van Sprundel de IOActive

    CVE-2015-5872: Ilja van Sprundel de IOActive

    CVE-2015-5873: Ilja van Sprundel de IOActive

    CVE-2015-5890: Ilja van Sprundel de IOActive

  • IOGraphics

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

    Descripción: Existía un problema en IOGraphics que podía haber provocado la divulgación de la distribución de la memoria del kernel. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de daños en la memoria en IOHIDFamily. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5866: Apple

    CVE-2015-5867: Moony li de Trend Micro

  • IOStorageFamily

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía leer la memoria del kernel.

    Descripción: Existía un problema de inicialización de memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existían varios problemas de daños en la memoria en el kernel. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un proceso local puede modificar otros procesos sin comprobaciones de autorizaciones.

    Descripción: Existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks podían recuperar los puertos de tareas de otros procesos. Este problema se solucionó mediante comprobaciones de autorización adicionales.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, a partir de la investigación previa de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía controlar el valor de las cookies de pila.

    Descripción: Existían varias debilidades en la generación de cookies de pila del espacio del usuario. Estos problemas se solucionaron mediante la generación mejorada de cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante podía lanzar ataques de denegación de servicio en conexiones TCP específicas sin conocer el número de secuencia correcto.

    Descripción: Existía un problema en la validación de cabeceras de paquetes TCP por parte de xnu. Este problema se solucionó mejorando la validación de los encabezados de paquetes TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante en un segmento LAN local podía inactivar el enrutamiento IPv6.

    Descripción: Existían problemas de validación insuficiente en el manejo de los anuncios del router IPv6 que permitían que un atacante estableciera el límite de salto en un valor arbitrario. Este problema se solucionó aplicando un límite mínimo de saltos.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

    Descripción: Existía un problema que ocasionó la divulgación de la distribución de la memoria del kernel. Esto se solucionó mejorando la inicialización de las estructuras de memoria del kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

    Descripción: Existía un problema en las interfaces de depuración que ocasionó la divulgación del contenido de la memoria. Este problema se solucionó inmunizando la salida de las interfaces de depuración.

    ID CVE

    CVE-2015-5870: Apple

  • Kernel

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía provocar una denegación de servicio del sistema.

    Descripción: Existía un problema de administración de estado en la depuración de la funcionalidad. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-5902: Sergi Alvarez (pancake) de NowSecure Research Team

  • libc

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante remoto podía causar la ejecución de códigos arbitrarios.

    Descripción: Existía un problema de daños en la memoria en la función fflush. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2014-8611: Adrian Chadd y Alfred Perlstein de Norse Corporation

  • libpthread

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • libxpc

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas conexiones SSH podían causar una denegación de servicio.

    Descripción: launchd no tenía límite en el número de procesos que podían iniciarse mediante una conexión de red. Este problema se solucionó limitando el número de procesos SSH a 40.

    ID CVE

    CVE-2015-5881: Apple

  • Ventana de inicio de sesión

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: El bloqueo de pantalla podía no iniciarse tras el período de tiempo especificado.

    Descripción: Existía un problema con el bloqueo de la pantalla capturado. El problema se solucionó al mejorar el manejo de bloqueos.

    ID CVE

    CVE-2015-5833: Carlos Moreira, Rainer Dorau de rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera y Jon Hall de Asynchrony

  • lukemftpd

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante remoto podía denegar el servicio al servidor FTP.

    Descripción: Existía un problema de procesamiento glob en tnftpd. Este problema se solucionó mejorando la validación de glob.

    ID CVE

    CVE-2015-5917: Maksymilian Arciemowicz de cxsecurity.com

  • Mail

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Al imprimir un correo electrónico, podía filtrarse información confidencial del usuario.

    Descripción: Existía un problema en Mail que omitía las preferencias de usuario al imprimir un correo electrónico. Este problema se solucionó mejorando la aplicación de las preferencias del usuario.

    ID CVE

    CVE-2015-5881: Owen DeLong de Akamai Technologies; Noritaka Kamiya; Dennis Klein de Eschenburg, Alemania; Jeff Hammett de Systim Technology Partners

  • Mail

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante en una posición de red privilegiada podía interceptar adjuntos de correos electrónicos encriptados con S/MIME enviados a través de Mail Drop.

    Descripción: Existía un problema en el manejo de los parámetros de encriptación para adjuntos grandes de correo electrónico enviados a través de Mail Drop. El problema se solucionó dejando de ofrecer Mail Drop cuando se envía un correo electrónico encriptado.

    ID CVE

    CVE-2015-5884: John McCombs de Integrated Mapping Ltd

  • Conexión multipunto

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía observar los datos multipunto no protegidos.

    Descripción: Existía un problema en el manejo del inicializador de conveniencia por el cual una sesión encriptada podía pasar activamente a ser una sesión no encriptada. Este problema se solucionó modificando el inicializador de conveniencia para que requiera la encriptación.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) de Data Theorem

  • NetworkExtension

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una aplicación creada con fines malintencionados podía determinar la distribución de la memoria del kernel.

    Descripción: Un problema de memoria no inicializada en el kernel ocasionó la divulgación del contenido de la memoria del kernel. Este problema se solucionó mediante una mejora de la inicialización de la memoria.

    ID CVE

    CVE-2015-5831: Maxime Villard de m00nbsd

  • Notas

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía filtrar información confidencial del usuario.

    Descripción: Existía un problema en el análisis de enlaces en la aplicación Notas. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-5878: Craig Young de Tripwire VERT, un investigador anónimo

  • Notas

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía filtrar información confidencial del usuario.

    Descripción: Existía un problema de secuencias de comandos entre sitios cruzados en el análisis de texto que realizaba la aplicación Notas. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-5875: xisigr de Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas vulnerabilidades en OpenSSH.

    Descripción: Existían diversas vulnerabilidades en las versiones de OpenSSH anteriores a 6.9. Estos problemas se solucionaron mediante la actualización de OpenSSH a la versión 6.9.

    ID CVE

    CVE-2014-2532

  • OpenSSL

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Varias vulnerabilidades en OpenSSL.

    Descripción: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg. Para solucionar esto, se actualizó OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas vulnerabilidades en procmail.

    Descripción: Existían diversas vulnerabilidades en las versiones de procmail anteriores a 3.22. Estos problemas se resolvieron eliminando procmail.

    ID CVE

    CVE-2014-3618

  • remote_cmds

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios de usuario root.

    Descripción: Existía un problema en el uso de variables de entorno que hacía el binario rsh. Este problema se resolvió al restringir los privilegios setuid del binario rsh.

    ID CVE

    CVE-2015-5889: Philip Pettersson

  • removefile

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: El procesamiento de datos creados con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

    Descripción: Existía un error de desbordamiento en las rutinas de división checkint. Este problema se solucionó mejorando las rutinas de división.

    ID CVE

    CVE-2015-5840: Investigador anónimo

  • Ruby

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Diversas vulnerabilidades en Ruby.

    Descripción: Existían diversas vulnerabilidades en las versiones de Ruby anteriores a 2.0.0p645. Para solucionar esto, se actualizó Ruby a la versión 2.0.0p645.

    ID CVE

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Seguridad

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: El usuario podía no ver correctamente el estado de bloqueo del llavero.

    Descripción: Existía un problema de administración de estados en la forma en que se controlaba el estado de bloqueo del llavero. Este problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-5915: Peter Walz (Universidad de Minnesota), David Ephron, Eric E. Lawrence, Apple

  • Seguridad

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Una evaluación de confianza configurada para requerir la comprobación de revocación podía ser satisfactoria aunque fallara la comprobación de la verificación.

    Descripción: La marca kSecRevocationRequirePositiveResponse estaba establecida, pero no se implementaba. Este problema se solucionó implementando la marca.

    ID CVE

    CVE-2015-5894: Hannes Oud de kWallet GmbH

  • Seguridad

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un servidor remoto podía solicitar un certificado antes de identificarse.

    Descripción: Secure Transport aceptó el mensaje de solicitud de certificados antes del mensaje ServerKeyExchange. Este problema se solucionó mediante la solicitud del ServerKeyExchange primero.

    ID CVE

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti y Jean Karim Zinzindohoue de INRIA París-Rocquencourt, Cedric Fournet y Markulf Kohlweiss de Microsoft Research y Pierre-Yves Strub de IMDEA Software Institute

  • SMB

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños en la memoria del kernel. Este problema se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5891: Ilja van Sprundel de IOActive

  • SMB

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

    Descripción: Existía un problema en SMBClient que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5893: Ilja van Sprundel de IOActive

  • SQLite

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Existían varias vulnerabilidades en SQLite v3.8.5.

    Descripción: Existían varias vulnerabilidades en SQLite v3.8.5. Los problemas se solucionaron actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonía

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía realizar llamadas sin el conocimiento del usuario mediante Continuidad.

    Descripción: Existía un problema en las comprobaciones de autorización para realizar llamadas telefónicas. Para resolver este problema, se mejoraron las comprobaciones de autorización.

    ID CVE

    CVE-2015-3785: Dan Bastone de Gotham Digital Science

  • Terminal

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: El texto creado con fines malintencionados podía confundir al usuario en Terminal.

    Descripción: Al mostrar y seleccionar texto, Terminal no manejaba los caracteres de omisión bidireccionales del mismo modo. Este problema se resolvió eliminando los caracteres de omisión bidireccionales en Terminal.

    ID CVE

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en tidy. Estos problemas se solucionaron mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

  • Time Machine

    Disponible para Mac OS X v10.6.8 y posteriores

    Impacto: Un atacante local podía obtener acceso a los elementos del llavero.

    Descripción: Existía un problema en los respaldos creados por el marco de Time Machine. Este problema se solucionó mejorando la cobertura de los respaldos de Time Machine.

    ID CVE

    CVE-2015-5854: Jonas Magazinius de Assured AB

Nota: OS X El Capitan v10.11 incluye el contenido de seguridad de Safari 9.

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: