Acerca del contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004

Este documento describe el contenido de seguridad de OS X Mavericks v10.9.5 y la Actualización de seguridad 2014-004.

Esta actualización se puede descargar e instalar mediante la página Actualización de software o desde el sitio web del Soporte técnico de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta el artículo Cómo usar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta el artículo Actualizaciones de seguridad de Apple.

Nota: OS X Mavericks v10.9.5 incluye el contenido de seguridad de Safari 7.0.6.

OS X Mavericks v10.9.5 y Actualización de seguridad 2014-004

  • apache_mod_php

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: varias vulnerabilidades en PHP 5.4.24

    Descripción: se encontraron varias vulnerabilidades en PHP 5.4.24, de las cuales la más grave podría derivar en ejecución de código arbitraria. En esta actualización, los problemas se solucionan mediante la actualización de PHP a la versión 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ejecutar código arbitrario con privilegios del sistema

    Descripción: se encontró un problema de validación en el manejo de una llamada de la API de Bluetooth. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4390: Ian Beer de Google Project Zero

  • CoreGraphics

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir un archivo PDF creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la divulgación de información

    Descripción: existía una lectura de memoria fuera de los límites en el manejo de archivos PDF. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4378 : Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP

  • CoreGraphics

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: abrir un archivo PDF creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existía un desbordamiento de enteros en el manejo de archivos PDF. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4377: Felipe Andrés Manzano de Binamuse VRT, en colaboración con el programa iSIGHT Partners GVP

  • Foundation

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación que usa NSXMLParser se puede utilizar de forma incorrecta para divulgar información

    Descripción: existía un problema de una entidad externa XML en el manejo de NSXMLParser de XML. Para solucionar este problema, se detuvo la carga de entidades externas en los orígenes.

    CVE-ID

    CVE-2014-4374: George Gal de VSR (http://www.vsecurity.com/)

  • Controlador de Intel Graphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: compilar sombreadores GLSL que no son de confianza puede ocasionar un cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: existía un desbordamiento del búfer del espacio del usuario en el compilador de sombreados. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4393 : Apple

  • Controlador de Intel Graphics

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de validación en algunas rutinas de los controladores gráficos integrados. Para solucionar estos problemas, se mejoró la comprobación de límites.

    CVE-ID

    CVE-2014-4394 : Ian Beer de Google Project Zero

    CVE-2014-4395 : Ian Beer de Google Project Zero

    CVE-2014-4396 : Ian Beer de Google Project Zero

    CVE-2014-4397 : Ian Beer de Google Project Zero

    CVE-2014-4398 : Ian Beer de Google Project Zero

    CVE-2014-4399 : Ian Beer de Google Project Zero

    CVE-2014-4400 : Ian Beer de Google Project Zero

    CVE-2014-4401 : Ian Beer de Google Project Zero

    CVE-2014-4416 : Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía una desviación de puntero nulo en el manejo de argumentos de la API de IOKit. Para solucionar este problema, se mejoró la validación de los argumentos de la API IOKit.

    CVE-ID

    CVE-2014-4376 : Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de lectura fuera de los límites en el manejo de una función de IOAcceleratorFamily. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4402 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: un usuario local puede leer punteros del kernel, lo que puede usarse para evitar la aleatorización de la disposición del espacio de direcciones del kernel

    Descripción: existía un problema de lectura fuera de los límites en el manejo de una función de IOHIDFamily. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4379: Ian Beer de Google Project Zero

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación en el manejo de ciertos campos de metadatos de los objetos IODataQueue. Este problema se solucionó mejorando la validación de metadatos.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un desbordamiento de enteros en el manejo de las funciones IOKit. Este problema se resolvió al mejorar la comprobación de límites.

    CVE-ID

    CVE-2014-4389: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: un usuario local puede inferir direcciones del kernel y evitar la aleatorización de la disposición del espacio de direcciones del kernel

    Descripción: en algunos casos, el CPU Global Descriptor Table se distribuyó en direcciones predecibles. Este problema se solucionó asignando la tabla de descriptor global siempre a direcciones aleatorias.

    CVE-ID

    CVE-2014-4403: Ian Beer de Google Project Zero

  • Libnotify

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios de raíz

    Descripción: existía un problema de escritura fuera de los límites en Libnotify. Este problema se resolvió al mejorar la comprobación de límites

    CVE-ID

    CVE-2014-4381: Ian Beer de Google Project Zero

  • OpenSSL

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: varias vulnerabilidades en OpenSSL 0.9.8y, entre las que se incluye una que puede ocasionar una ejecución de código arbitraria

    Descripción: existían varias vulnerabilidades en OpenSSL 0.9.8y. Este problema se solucionó actualizando OpenSSL a la versión 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo de video creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de daños en la memoria en el manejo de archivos de video codificados con RLE. Este problema se resolvió al mejorar la comprobación de límites.

    ID CVE

    CVE-2014-1391: Fernando Munoz, en colaboración con iDefense VCP; Tom Gallagher y Paul Bates, en colaboración con la iniciativa Zero Day de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo MIDI creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existía un desbordamiento de búferes en el manejo de los archivos MIDI. Este problema se resolvió al mejorar la comprobación de límites.

    ID CVE

    CVE-2014-4350: s3tm3m en colaboración con el programa Zero Day Initiative de HP

  • QT Media Foundation

    Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 a v10.9.4

    Impacto: la reproducción de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: existía un problema de daños en la memoria en el manejo de los átomos “mvhd”. Este problema se resolvió al mejorar la comprobación de límites.

    ID CVE

    CVE-2014-4979: Andrea Micalizzi, alias “rgod”, en colaboración con el programa Zero Day Initiative de HP

  • ruby

    Disponible para: OS X Mavericks v10.9 a v10.9.4

    Impacto: un atacante remoto puede ocasionar ejecución de código arbitrario

    Descripción: existía un desbordamiento del búfer de pila en el manejo de LibYAML de los caracteres codificados con código por ciento en una URI. Este problema se solucionó mejorando la comprobación de los límites. En esta actualización, los problemas se solucionan mediante la actualización de LibYAML a la versión 0.1.6

    CVE-ID

    CVE-2014-2525

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: