Acerca del contenido de seguridad de OS X Yosemite v10.10.2 y de la actualización de seguridad 2015-001
En este documento, se describe el contenido de seguridad de OS X Yosemite v10.10.2 y la actualización de seguridad 2015-001
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.
OS X Yosemite v10.10.2 y actualización de seguridad 2015-001
AFP Server
Disponible para OS X Mavericks v10.9.5
Impacto: Un atacante remoto puede ser capaz de determinar todas las direcciones de red del sistema
Descripción: El servidor de archivos AFP soportaba un comando que devolvía todas las direcciones de red del sistema. Este problema se solucionó al eliminar las direcciones del resultado.
ID CVE
CVE-2014-4426: Craig Young de Tripwire VERT
bash
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Múltiples vulnerabilidades en bash, incluida una que puede permitir a atacantes locales ejecutar código arbitrario
Descripción: Existían múltiples vulnerabilidades en bash. Para resolver estos problemas, se actualizó bash al nivel de revisión 57.
ID CVE
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un error de firma de enteros en IOBluetoothFamily que permitía la manipulación de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a los sistemas de OS X Yosemite.
ID CVE
CVE-2014-4497
Bluetooth
Disponible para OS X Yosemite v10.10 y v10.10.1
Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Existía un error en el controlador Bluetooth que permitía a una aplicación maliciosa controlar el tamaño de una escritura en la memoria del kernel. Este problema se solucionó mediante una validación adicional de las entradas.
ID CVE
CVE-2014-8836: Ian Beer de Google Project Zero
Bluetooth
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existían múltiples problemas de seguridad en el controlador Bluetooth, lo que permitía a una aplicación maliciosa ejecutar código arbitrario con privilegios del sistema. Estos problemas se solucionaron mediante una validación adicional de las entradas.
ID CVE
CVE-2014-8837: Roberto Paleari y Aristide Fattori de Emaze Networks
CFNetwork Cache
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Es posible que la caché del sitio web no se borre por completo después de salir de la navegación privada
Descripción: Existía un problema de privacidad en el que los datos de navegación podían permanecer en la caché tras salir de la navegación privada. El problema se solucionó mediante un cambio en el comportamiento de almacenamiento en caché.
ID CVE
CVE-2014-4460
CoreGraphics
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: La apertura de un archivo PDF malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4481: Felipe Andres Manzano de Binamuse VRT, mediante el programa iSIGHT Partners GVP Program
CPU Software
Disponible para OS X Yosemite v10.10 y v10.10.1, MacBook Pro Retina, MacBook Air (mediados de 2013 y versiones posteriores), iMac (finales de 2013 y versiones posteriores), Mac Pro (finales de 2013)
Impacto: Un dispositivo Thunderbolt malicioso podría afectar a la memoria flash del firmware
Los dispositivos Thunderbolt podrían modificar el firmware del host si se conectan durante una actualización EFI. Para solucionar este problema, no se cargan ROM opcionales durante las actualizaciones.
ID CVE
CVE-2014-4498: Trammell Hudson de Two Sigma Investments
CommerceKit Framework
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Un atacante con acceso a un sistema puede ser capaz de recuperar credenciales de Apple ID
Descripción: Existía un problema en el manejo de los registros de la App Store. El proceso de App Store podía registrar credenciales de Apple ID en el registro cuando se activaba el registro adicional. Este problema se solucionó desactivando el registro de credenciales.
ID CVE
CVE-2014-4499: Sten Petersen
CoreGraphics
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Algunas aplicaciones de terceros con eventos de entrada de texto y mouse no seguros pueden registrar esos eventos
Debido a la combinación de una variable no inicializada y un asignador personalizado de una aplicación, es posible que se hayan registrado eventos de entrada de texto y mouse no seguros. Este problema se solucionó mediante la desactivación del registro por defecto. Este problema no afectaba a los sistemas anteriores a OS X Yosemite.
ID CVE
CVE-2014-1595: Steven Michaud de Mozilla en colaboración con Kent Howard
CoreGraphics
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: La apertura de un archivo PDF malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Existía un problema de corrupción de memoria en el manejo de archivos PDF. El problema se solucionó mediante una mejora en la comprobación de límites. Este problema no afecta a los sistemas de OS X Yosemite.
ID CVE
CVE-2014-8816: Mike Myers de Digital Operatives LLC
CoreSymbolication
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existían múltiples problemas de confusión de tipos en el manejo de mensajes XPC por parte de coresymbolicationd. Para solucionar estos problemas, se mejoró la comprobación de tipos.
ID CVE
CVE-2014-8817: Ian Beer de Google Project Zero
FontParser
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: El procesamiento de un archivo .dfont malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Existía un problema de corrupción de memoria en el manejo de archivos .dfont. Este problema se solucionó mejorando la comprobación de los límites.
CVE-ID
CVE-2014-4484: Gaurav Baruah en colaboración con el programa Zero Day Initiative de HP
FontParser
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: La apertura de un archivo PDF malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento de búfer en el manejo de archivos de fuentes. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4483: Apple
Foundation
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: La visualización de un archivo XML malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento de búfer en el analizador XML. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-4485: Apple
Intel Graphics Driver
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Múltiples vulnerabilidades en el controlador gráfico de Intel
Descripción: Existían múltiples vulnerabilidades en el controlador gráfico de Intel; de las cuales la más grave podría haber llevado a la ejecución de código arbitrario con privilegios del sistema. Esta actualización soluciona los problemas mediante comprobaciones de límites adicionales.
ID CVE
CVE-2014-8819: Ian Beer de Google Project Zero
CVE-2014-8820: Ian Beer de Google Project Zero
CVE-2014-8821: Ian Beer de Google Project Zero
IOAcceleratorFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía una desviación de puntero nulo en el manejo de IOAcceleratorFamily de ciertos tipos de cliente usuario de IOService. Para solucionar este problema, se mejoró la validación de los contextos de IOAcceleratorFamily.
ID CVE
CVE-2014-4486: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de búfer en IOHIDFamily. Para resolver este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en el manejo de metadatos de cola de recursos por parte de IOHIDFamily. Este problema se solucionó mejorando la validación de metadatos.
ID CVE
CVE-2014-4488: Apple
IOHIDFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía una desviación de puntero nulo en el manejo de colas de eventos de IOHIDFamily. Este problema se solucionó al mejorar la validación de la inicialización de la cola de eventos de IOHIDFamily.
ID CVE
CVE-2014-4489: @beist
IOHIDFamily
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 and v10.10.1
Impacto: La ejecución de una aplicación maliciosa puede resultar en la ejecución de código arbitrario dentro del kernel
Descripción: Existía un problema de comprobación de límites en un cliente usuario vendido por el controlador IOHIDFamily que permitía a una aplicación maliciosa sobrescribir partes arbitrarias del espacio de direcciones del kernel. El problema se soluciona al eliminar el método de cliente usuario vulnerable.
CVE-ID
CVE-2014-8822: Vitaliy Toropov en colaboración con el programa Zero Day Initiative de HP
IOKit
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de enteros en el manejo de las funciones IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.
ID CVE
CVE-2014-4389: Ian Beer de Google Project Zero
IOUSBFamily
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación privilegiada puede ser capaz de leer datos arbitrarios de la memoria del kernel
Descripción: Existía un problema de acceso a memoria en el manejo de las funciones de cliente usuario del controlador IOUSB. Este problema se resolvió al mejorar la validación de los argumentos.
ID CVE
CVE-2014-8823: Ian Beer de Google Project Zero
Kerberos
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: La biblioteca libgssapi de Kerberos devolvía un token de contexto con un puntero colgando. Este problema se solucionó al mejorar la administración de estados.
ID CVE
CVE-2014-5352
Kernel
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Especificar un modo de caché personalizado permitía escribir en segmentos de memoria compartida de solo lectura del kernel. Este problema se solucionó al no conceder permisos de escritura como efecto secundario de algunos modos de caché personalizados.
ID CVE
CVE-2014-4495: Ian Beer de Google Project Zero
Kernel
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en el manejo de ciertos campos de metadatos de los objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.
ID CVE
CVE-2014-8824: @PanguTeam
Kernel
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Un atacante local puede falsificar las respuestas del servicio de directorio al kernel, elevar privilegios u obtener la ejecución del kernel
Descripción: Existían problemas en la validación identitysvc del proceso de resolución del servicio de directorio, el manejo de banderas y el manejo de errores. Este problema se solucionó mejorando la validación.
ID CVE
CVE-2014-8825: Alex Radocea de CrowdStrike
Kernel
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Un usuario local puede ser capaz de determinar la disposición de la memoria del kernel
Descripción: Existían múltiples problemas de memoria no inicializada en la interfaz de estadísticas de red, lo que llevó a la divulgación del contenido de la memoria del kernel. Este problema se solucionó mediante la inicialización adicional de la memoria.
ID CVE
CVE-2014-4371: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4419: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4420: Fermin J. Serna del equipo de seguridad de Google
CVE-2014-4421: Fermin J. Serna del equipo de seguridad de Google
Kernel
Disponible para OS X Mavericks v10.9.5
Impacto: Una persona con una posición privilegiada en la red puede provocar una denegación de servicio
Descripción: Existía un problema de condición de carrera en el manejo de paquetes IPv6. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.
ID CVE
CVE-2011-2391
Kernel
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Aplicaciones creadas o comprometidas de manera maliciosa pueden ser capaces de determinar direcciones en el kernel
Descripción: Existía un problema de divulgación de información en el manejo de API relacionadas con extensiones del kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a omitir la protección por selección aleatoria del diseño de espacio de direcciones. Este problema se solucionó desligando las direcciones antes de devolverlas.
ID CVE
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación en el manejo de ciertos campos de metadatos de los objetos IOSharedDataQueue. El problema se solucionó mediante la reubicación de los metadatos.
ID CVE
CVE-2014-4461: @PanguTeam
LaunchServices
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Un archivo JAR malicioso puede eludir las comprobaciones de Gatekeeper
Descripción: Existía un problema en el manejo de los lanzamientos de aplicaciones que permitía que ciertos archivos JAR maliciosos eludieran las comprobaciones de Gatekeeper. El problema se solucionó mediante la mejora de la gestión de los metadatos de tipo de archivo.
ID CVE
CVE-2014-8826: Hernan Ochoa de Amplia Security
libnetcore
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa en un espacio aislado puede comprometer el daemon networkd
Descripción: Múltiples problemas de confusión de tipos existían en el manejo de networkd de la comunicación entre procesos. Al enviar a networkd un mensaje con formato malicioso, puede haber sido posible ejecutar código arbitrario como el proceso networkd. Este problema se soluciona mediante la comprobación adicional de los tipos.
ID CVE
CVE-2014-4492: Ian Beer de Google Project Zero
LoginWindow
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Es posible que una Mac no se bloquee inmediatamente al despertarse
Descripción: Existía un problema en la renderización de la pantalla de bloqueo. Este problema se solucionó mediante la mejora de la representación de la pantalla mientras está bloqueada.
ID CVE
CVE-2014-8827: Xavier Bertels de Mono, y varios probadores del valor original de OS X
lukemftp
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: El uso de la herramienta ftp de línea de comandos para obtener archivos de un servidor http malicioso puede conducir a la ejecución de código arbitrario
Descripción: Existía un problema de inyección de comandos en el manejo de redirecciones HTTP. Este problema se solucionó mejorando la validación de caracteres especiales.
ID CVE
CVE-2014-8517
ntpd
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: El uso del daemon ntp con la autenticación criptográfica activada puede provocar fugas de información
Descripción: Múltiples problemas de validación de entrada existían en ntpd. Estos problemas se solucionaron al mejorar la validación de datos.
ID CVE
CVE-2014-9297
OpenSSL
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Múltiples vulnerabilidades en OpenSSL 0.9.8za, incluida una que puede permitir a un atacante rebajar las conexiones para utilizar conjuntos de cifrado más débiles en aplicaciones que utilicen la biblioteca
Descripción: Múltiples vulnerabilidades existían en OpenSSL 0.9.8za. Estos problemas se solucionaron mediante la actualización de OpenSSL a la versión 0.9.8zc.
ID CVE
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: Un proceso con una zona protegida puede ser capaz de eludir las restricciones de la zona
Descripción: Existía un problema de diseño en el almacenamiento en caché de perfiles de zona protegida que permitía a las aplicaciones en la zona protegida obtener acceso de escritura a la caché. Este problema se solucionó mediante la restricción del acceso de escritura a las rutas que contienen un segmento “com.apple.sandbox”. Este problema no afecta a los sistemas OS X Yosemite v10.10 o posteriores.
ID CVE
CVE-2014-8828: Apple
SceneKit
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impacto: Una aplicación maliciosa podría ejecutar código arbitrario y comprometer la información del usuario
Descripción: Múltiples problemas de escritura fuera de límites existían en SceneKit. Para solucionar estos problemas, se mejoró la comprobación de límites.
ID CVE
CVE-2014-8829: Jose Duart del equipo de seguridad de Google
SceneKit
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: La visualización de un archivo Collada malicioso puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento de búfer de montón en el manejo de archivos Collada por parte de SceneKit. La visualización de un archivo Collada creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Este problema se solucionó mejorando la validación de los elementos de acceso.
ID CVE
CVE-2014-8830: Jose Duart del equipo de seguridad de Google
Security
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación descargada firmada con un certificado de la identificación de desarrollador revocado puede pasar las comprobaciones de Gatekeeper
Descripción: Existía un problema con la forma en que se evaluaba la información del certificado de aplicación almacenada en caché. Este problema se solucionó con mejoras en la lógica de caché.
ID CVE
CVE-2014-8838: Apple
security_taskgate
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación puede acceder a elementos del llavero pertenecientes a otras aplicaciones
Descripción: Existía un problema de control de acceso en el Llavero. Las aplicaciones firmadas con certificados autofirmados o de identificación de desarrollador podían acceder a elementos de llavero cuyas listas de control de acceso se basaban en grupos de llavero. Este problema se solucionó mediante la validación de la identidad firmante al conceder acceso a los grupos de llaveros.
ID CVE
CVE-2014-8831: Apple
Spotlight
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: El remitente de un correo electrónico podía determinar la dirección IP del destinatario
Descripción: Spotlight no comprobaba el estado del ajuste "Cargar contenido remoto en mensajes" de Mail. Este problema se solucionó mediante la mejora de la comprobación de la configuración.
ID CVE
CVE-2014-8839: John Whitehead de The New York Times, Frode Moe de LastFriday.no
Spotlight
Disponible para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Spotlight puede guardar información inesperada en un disco duro externo
Descripción: Existía un problema en Spotlight por el cual el contenido de la memoria podía haberse escrito en discos duros externos durante la indexación. Este problema se solucionó con una mejor gestión de la memoria.
ID CVE
CVE-2014-8832: F-Secure
SpotlightIndex
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Spotlight puede mostrar resultados de archivos que no pertenecen al usuario
Descripción: Existía un problema de deserialización en el manejo de cachés de permisos por parte de Spotlight. Es posible que a un usuario que realiza una consulta en Spotlight se le hayan mostrado resultados de búsqueda que hacen referencia a archivos para los que no tiene los privilegios suficientes para poder leerlos. Para resolver este problema, se mejoró la comprobación de los límites.
ID CVE
CVE-2014-8833: David J Peacock, Independent Technology Consultant
sysmond
Disponible para OS X Mavericks v10.9.5, OS X Yosemite v10.10 y v10.10.1
Impacto: Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios de raíz
Descripción: Existía una vulnerabilidad de confusión de tipos en sysmond que permitía a una aplicación local escalar privilegios. El problema se solucionó mejorando la comprobación de tipos.
ID CVE
CVE-2014-8835: Ian Beer de Google Project Zero
UserAccountUpdater
Disponible para OS X Yosemite v10.10 y v10.10.1
Impacto: Los archivos de preferencias relacionados con la impresión pueden contener información confidencial sobre documentos PDF
Descripción: OS X Yosemite v10.10 solucionó un problema en el manejo de archivos PDF protegidos con contraseña creados desde el cuadro de diálogo Imprimir en el que se podían haber incluido contraseñas en los archivos de preferencias de impresión. Esta actualización elimina esa información extraña que puede haber estado presente en los archivos de preferencias de impresión.
ID CVE
CVE-2014-8834: Apple
Nota: OS X Yosemite 10.10.2 incluye el contenido de seguridad de Safari 8.0.3.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.