Acerca del contenido de seguridad de macOS Sierra 10.12.4 y las actualizaciones de seguridad 2017-001 de El Capitan y 2017-001 de Yosemite

En este documento, se describe el contenido de seguridad de macOS Sierra 10.12.4 y las actualizaciones de seguridad 2017-001 de El Capitan y 2017-001 de Yosemite.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

macOS Sierra 10.12.4 y actualizaciones de seguridad 2017-001 de El Capitan y 2017-001 de Yosemite

Apache

Disponible para macOS Sierra 10.12.3

Impacto: Un atacante remoto podía provocar una denegación de servicio.

Descripción: Existían varios problemas en las versiones de Apache anteriores a 2.4.25. Se solucionaron actualizando Apache a la versión 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

apache_mod_php

Disponible para macOS Sierra 10.12.3

Impacto: Existían varios problemas en las versiones de PHP anteriores a 5.6.30.

Descripción: Existían varios problemas en las versiones de PHP anteriores a 5.6.30. Se solucionaron actualizando PHP a la versión 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de condición de carrera mejorando el manejo de la memoria.

CVE-2017-2421: @cocoahuke

AppleRAID

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2438: sss y Axis de 360NirvanTeam

Audio

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2430: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2017-2462: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

Bluetooth

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa y Marko Laakso de Synopsys Software Integrity Group

Bluetooth

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2427: Axis y sss de Qihoo 360NirvanTeam

Bluetooth

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2449: sss y Axis de 360NirvanTeam

Carbon

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un archivo .dfont creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2017-2379: riusksk (泉哥) de Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.

Descripción: Se solucionó una recursión infinita mejorando la administración de estado.

CVE-2017-2417: riusksk (泉哥) de Tencent Security Platform Department

CoreMedia

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento un archivo .mov creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el manejo de archivos .mov. Este problema se solucionó mejorando la administración de la memoria.

CVE-2017-2431: kimyok de Tencent Security Platform Department

CoreText

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un mensaje de texto creado con fines malintencionados podía ocasionar una denegación de servicio de la aplicación.

Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.

CVE-2017-2461: Isaac Archambault de IDAoADI, un investigador anónimo

curl

Disponible para macOS Sierra 10.12.3

Impacto: Una entrada de usuario creada con fines malintencionados en la API de libcurl podía permitir la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2016-9586: Daniel Stenberg de Mozilla

EFI

Disponible para macOS Sierra 10.12.3

Impacto: Un adaptador Thunderbolt malintencionado podía recuperar la contraseña de encriptación de FileVault 2.

Descripción: Existía un problema en el manejo del DMA. Este problema se solucionó activando la tecnología de virtualización para la E/S dirigida (VT-d) en la EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Disponible para macOS Sierra 10.12.3

Impacto: Los permisos podían restablecerse de forma inesperada al enviar enlaces.

Descripción: Existía un problema de permisos en el manejo de la función Enviar enlace de Compartir con iCloud. Este problema se solucionó mejorando los controles de permisos.

CVE-2017-2429: Raymond Wong DO de Arnot Ogden Medical Center

FontParser

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2017-2487: riusksk (泉哥) de Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para macOS Sierra 10.12.3

Impacto: El análisis de un archivo de tipo de letra creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2017-2407: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Disponible para OS X El Capitan v10.11.6 y OS X Yosemite v10.10.5

Impacto: Procesar un archivo de tipo de letra creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay

HTTPProtocol

Disponible para macOS Sierra 10.12.3

Impacto: Un servidor HTTP/2 con fines malintencionados podía causar un comportamiento indefinido.

Descripción: Existían varios problemas en las versiones de nghttp2 anteriores a 1.17.0. Se solucionaron actualizando nghttp2 a la versión 1.17.0.

CVE-2017-2428

Hipervisor

Disponible para macOS Sierra 10.12.3

Impacto: Las aplicaciones que usan el entorno del hipervisor podían filtrar de manera inesperada el registro de control CR8 entre el invitado y el host.

Descripción: Se solucionó un problema de filtración de información mejorando la administración de estado.

CVE-2017-2418: Alex Fishman y Izik Eidus de Veertu Inc.

iBooks

Disponible para macOS Sierra 10.12.3

Impacto: El análisis de un archivo de iBooks creado con fines malintencionados podía ocasionar la divulgación de archivos locales.

Descripción: Existía una filtración de información en el manejo de URL de archivos. Este problema se solucionó mejorando el manejo de las URL.

CVE-2017-2426: Craig Arendt de Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent

ImageIO

Disponible para macOS Sierra 10.12.3, OS X El Capitan v10.11.6 y OS X Yosemite v10.10.5

Impacto: La visualización de un archivo JPEG creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2432: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

ImageIO

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un archivo creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2467

ImageIO

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

Descripción: Existía un problema de lectura fuera de los límites en las versiones de LibTIFF anteriores a 4.0.7. Se solucionó actualizando LibTIFF en ImageIO a la versión 4.0.7.

CVE-2016-3619

Controlador de gráficos Intel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2443: Ian Beer de Google Project Zero

Controlador de gráficos Intel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía divulgar la memoria del kernel.

Descripción: Se solucionó un problema de validación mejorando el saneamiento de entradas.

CVE-2017-2489: Ian Beer de Google Project Zero

IOATAFamily

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2408: Yangkang (@dnpushme) de Qihoo 360 Qex Team

IOFireWireAVC

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Disponible para macOS Sierra 10.12.3

Impacto: Un atacante local podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) de Blue Frost Security

IOFireWireFamily

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.

CVE-2017-2388: Brandon Azad, un investigador anónimo

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2398: Lufeng Li de Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Existía un problema de validación de entradas en el kernel. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-2410: Apple

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.

CVE-2017-2440: Un investigador anónimo

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios de usuario root.

Descripción: Se solucionó un problema de condición de carrera mejorando el manejo de la memoria.

CVE-2017-2456: lokihardt de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2472: Ian Beer de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2473: Ian Beer de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de error por un paso mejorando la comprobación de límites.

CVE-2017-2474: Ian Beer de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó una condición de carrera mejorando el bloqueo.

CVE-2017-2478: Ian Beer de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.

CVE-2017-2482: Ian Beer de Google Project Zero

CVE-2017-2483: Ian Beer de Google Project Zero

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios elevados.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2490: Ian Beer de Google Project Zero, National Cyber Security Centre (NCSC) del Reino Unido

Kernel

Disponible para macOS Sierra 10.12.3

Impacto: La pantalla podía permanecer desbloqueada de forma inesperada con la tapa cerrada.

Descripción: Se solucionó un problema de bloqueo insuficiente mejorando la administración de estado.

CVE-2017-7070: Ed McKenzie

Teclados

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2017-2458: Shashank (@cyberboyIndia)

Llavero

Disponible para macOS Sierra 10.12.3

Impacto: Un atacante capaz de interceptar las conexiones TLS podía leer secretos protegidos por el Llavero de iCloud.

Descripción: En determinadas circunstancias, el Llavero de iCloud no validaba correctamente la autenticidad de los paquetes OTR. Este problema se solucionó mejorando la validación.

CVE-2017-2448: Alex Radocea de Longterm Security, Inc.

libarchive

Disponible para macOS Sierra 10.12.3

Impacto: Un atacante local podía modificar los permisos del sistema de archivos en directorios arbitrarios.

Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó mejorando la validación de enlaces simbólicos.

CVE-2017-2390: Omer Medan de enSilo Ltd

libc++abi

Disponible para macOS Sierra 10.12.3

Impacto: La decodificación de una aplicación en C++ creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2441

LibreSSL

Disponible para macOS Sierra 10.12.3 y OS X El Capitan v10.11.6

Impacto: Un usuario local podía filtrar información confidencial del usuario.

Descripción: Un ataque de sincronización de canal lateral permitía que un atacante recuperara claves. Este problema se solucionó introduciendo cálculos de tiempo constantes.

CVE-2016-7056: Cesar Pereida García y Billy Brumley (Universidad Tecnológica de Tampere)

libxslt

Disponible para OS X El Capitan v10.11.6

Impacto: Existían varias vulnerabilidades en libxslt.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2017-2477

libxslt

Disponible para macOS Sierra 10.12.3, El Capitan v10.11.6 y OS X Yosemite v10.10.5

Impacto: Existían varias vulnerabilidades en libxslt.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2017-5029: Holger Fuhrmannek

MCX Client

Disponible para macOS Sierra 10.12.3

Impacto: Era posible que eliminar un perfil de configuración con cargas múltiples no eliminara el certificado de confianza de Active Directory.

Descripción: Existía un problema en la desinstalación de perfiles. Este problema se solucionó mejorando el proceso de limpieza.

CVE-2017-2402: Un investigador anónimo

Menús

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía divulgar la memoria de los procesos.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2422: @cocoahuke

OpenSSH

Disponible para macOS Sierra 10.12.3

Impacto: Varios problemas en OpenSSH.

Descripción: Existían varios problemas en las versiones de OpenSSH anteriores a 7.4. Se solucionaron actualizando OpenSSH a la versión 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Disponible para macOS Sierra 10.12.3

Impacto: Un usuario local podía filtrar información confidencial del usuario.

Descripción: Se solucionó un problema de ataque de sincronización de canal lateral empleando cálculos de tiempo constantes.

CVE-2016-7056: Cesar Pereida García y Billy Brumley (Universidad Tecnológica de Tampere)

Impresión

Disponible para macOS Sierra 10.12.3

Impacto: Hacer clic en un enlace de IPP(S) creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de cadenas de formato sin control mejorando la validación de entradas.

CVE-2017-2403: beist de GrayHash

python

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento con Python de archivos .zip creados con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el manejo de archivos .zip. Este problema se solucionó mejorando la validación de entradas.

CVE-2016-5636

QuickTime

Disponible para macOS Sierra 10.12.3

Impacto: La visualización de un archivo multimedia creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en QuickTime. Este problema se solucionó mejorando el manejo de la memoria.

CVE-2017-2413: Simon Huang(@HuangShaomang) y pjf de IceSword Lab de Qihoo 360

Seguridad

Disponible para macOS Sierra 10.12.3

Impacto: La validación de firmas vacías con SecKeyRawVerify() podía tener éxito de forma inesperada.

Descripción: Existía un problema de validación con las llamadas de API criptográficas. Este problema se solucionó mejorando la validación de parámetros.

CVE-2017-2423: Un investigador anónimo

Seguridad

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios de usuario raíz.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2017-2451: Alex Radocea de Longterm Security, Inc.

Seguridad

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un certificado x509 creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el procesamiento de certificados. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-2485: Aleksandar Nikolic de Cisco Talos

SecurityFoundation

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de un certificado creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de vulnerabilidad de doble liberación mejorando la administración de la memoria.

CVE-2017-2425: kimyok de Tencent Security Platform Department

sudo

Disponible para macOS Sierra 10.12.3

Impacto: Un usuario de un grupo llamado "admin" en un servidor de directorios de red podía usar sudo para derivar privilegios de manera inesperada.

Descripción: Existía un problema de acceso en sudo. Este problema se solucionó mejorando la comprobación de permisos.

CVE-2017-2381

Protección de integridad del sistema

Disponible para macOS Sierra 10.12.3

Impacto: Una aplicación malintencionada podía modificar ubicaciones del disco protegidas.

Descripción: Existía un problema de validación en el manejo de la instalación del sistema. Este problema se solucionó mejorando el manejo y la validación durante el proceso de instalación.

CVE-2017-6974: Patrick Wardle de Synack

tcpdump

Disponible para macOS Sierra 10.12.3

Impacto: Un atacante con una posición de red privilegiada podía ejecutar código arbitrario con ayuda del usuario.

Descripción: Existían varios problemas en las versiones de tcpdump anteriores a 4.9.0. Se solucionaron actualizando tcpdump a la versión 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Disponible para macOS Sierra 10.12.3

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

Descripción: Existía una lectura fuera de los límites en versiones de LibTIFF anteriores a 4.0.7. Este problema se solucionó actualizando LibTIFF en AKCmds a la versión 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

Otros agradecimientos

XNU

Nos gustaría darle las gracias a Lufeng Li de Qihoo 360 Vulcan Team por su ayuda.