Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Esta actualización se puede descargar e instalar mediante Actualización de software o desde el sitio web del Soporte técnico de Apple.
OS X Mavericks 10.9.2 y Actualización de seguridad 2014-001
-
Apache
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Varias vulnerabilidades en Apache
Descripción: Existían varias vulnerabilidades en Apache; la más importante podía permitir la ejecución de ataques de secuencias de comandos entre sitios. Estos problemas se solucionan mediante la actualización de Apache con la versión 2.2.26.
ID CVE
CVE-2013-1862
CVE-2013-1896
-
Zona protegida (sandbox) de apps
Disponible para: OS X Mountain Lion v10.8.5
Impacto: La zona protegida de apps puede omitirse
Descripción: La interfaz LaunchServices para iniciar aplicaciones permitía a las apps de la zona protegida especificar la lista de argumentos transmitida al nuevo proceso. Una aplicación vulnerable de la zona protegida podría hacer mal uso de esto para salir de dicha zona. El problema se solucionó mediante un proceso que impide que las aplicaciones de la zona protegida especifiquen argumentos. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.
ID CVE
CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR
-
ATS
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados pueden provocar la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria al procesar fuentes de Tipo 1. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1254 : Felix Groebert del Google Security Team
-
ATS
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La zona protegida de apps puede omitirse
Descripción: Existía un problema de corrupción de memoria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1262 : Meder Kydyraliev del Google Security Team
-
ATS
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La zona protegida de apps puede omitirse
Descripción: Existía un problema de liberación arbitraria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la validación de los mensajes Mach.
ID CVE
CVE-2014-1255 : Meder Kydyraliev del Google Security Team
-
ATS
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La zona protegida de apps puede omitirse
Descripción: Existía un problema de desbordamiento del búfer al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la comprobación adicional de los límites.
ID CVE
CVE-2014-1256 : Meder Kydyraliev del Google Security Team
-
Política de confianza en certificados
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Se actualizaron los certificados raíz
Descripción: Se actualizó el conjunto de certificados raíz del sistema. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.
-
Cookies de CFNetwork
Disponible para: OS X Mountain Lion v10.8.5
Impacto: Las cookies de sesión pueden persistir incluso tras restablecer Safari
Descripción: Al restablecer Safari no siempre se eliminaban las cookies de sesión hasta que Safari se cerraba. El problema se solucionó mediante una mejora del procesamiento de las cookies de sesión. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.
ID CVE
CVE-2014-1257 : Rob Ansaldo de Amherst College, Graham Bennett
-
CoreAnimation
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Visitar un sitio web malicioso podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer de pila cuando CoreAnimation procesaba imágenes. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1258 : Karl Smith de NCC Group
-
CoreText
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Las aplicaciones que utilizan CoreText pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de presencia de signo al procesar fuentes Unicode en CoreText. Este problema se resuelve mediante una mejora en la comprobación de los límites.
ID CVE
CVE-2014-1261 : Lucas Apa y Carlos Mario Penagos de IOActive Labs
-
curl
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Un atacante con una posición de red privilegiada podía interceptar credenciales de usuario u otra información confidencial
Descripción: Al usar curl para conectarse a una URL HTTPS que contiene una dirección IP, no se valida la dirección IP por comparación con el certificado. Este problema no afecta a los sistemas anteriores a OS X Mavericks v10.9.
ID CVE
CVE-2014-1263 : Roland Moriz de Moriz GmbH
-
Seguridad de los datos
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Un atacante con una posición de red privilegiada podría capturar o modificar datos en sesiones protegidas con SSL/TLS
Descripción: Secure Transport no validaba correctamente la autenticidad de la conexión. Este problema se solucionó mediante la restauración de los pasos de validación que faltaban.
ID CVE
CVE-2014-1266
-
Fecha y hora
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Un usuario sin privilegios podría cambiar el reloj del sistema
Descripción: Esta actualización cambia el comportamiento del comando
systemsetup
de modo que exija tener privilegios de administrador para modificar el reloj del sistema.ID CVE
CVE-2014-1265
-
Marcador de archivos
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La visualización de un archivo con un nombre malintencionado puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer al procesar nombres de archivos. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1259
-
Finder
Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Acceder a la ACL de un archivo a través del Finder puede hacer que otros usuarios obtengan acceso no autorizado a los archivos
Descripción: Acceder a la ACL de un archivo a través del Finder puede dañar las ACL del archivo. Este problema se solucionó mediante la mejora del procesamiento de las ACL.
ID CVE
CVE-2014-1264
-
ImageIO
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Ver un archivo JPEG creado con fines malintencionados podría provocar la revelación de contenido de la memoria
Descripción: Existía un problema de acceso a la memoria no inicializada cuando libjpeg procesaba marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se solucionó mediante la mejora del procesamiento de JPEG.
ID CVE
CVE-2013-6629 : Michal Zalewski
-
IOSerialFamily
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impacto: La ejecución de una aplicación malintencionada podía provocar la ejecución de código arbitrario en el kernel
Descripción: Existía un acceso a una matriz fuera de los límites en el driver IOSerialFamily. Este problema se solucionó mediante comprobaciones de límites adicionales. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.
ID CVE
CVE-2013-5139 : @dent1zt
-
LaunchServices
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impacto: Un archivo podía mostrar una extensión incorrecta
Descripción: Existía un problema en el procesamiento de determinados caracteres unicode que podía permitir que los nombres de archivo mostraran extensiones incorrectas. El problema se solucionó mediante el filtrado de los caracteres unicode no seguros para que no se muestren en los nombres de archivo. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.
ID CVE
CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre de Intego
-
Drivers NVIDIA
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Ejecutar una aplicación malintencionada podía dar como resultado la ejecución de código arbitrario dentro de la tarjeta gráfica
Descripción: Existía un problema que permitía escribir en una memoria de confianza de la tarjeta gráfica. El problema se solucionó mediante la eliminación de la capacidad del host para escribir en esa memoria.
ID CVE
CVE-2013-5986 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau
CVE-2013-5987 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau
-
PHP
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Varias vulnerabilidades en PHP
Descripción: Existían varias vulnerabilidades en PHP; la más grave podía haber provocado la ejecución de código arbitrario. Estos problemas se resolvieron mediante la actualización de PHP con la versión 5.4.24 en OS X Mavericks v10.9 y 5.3.28 en OS X Lion y Mountain Lion.
ID CVE
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
QuickLook
Disponible para: OS X Mountain Lion v10.8.5
Impacto: La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria cuando QuickLook procesaba archivos de Microsoft Office. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría haber provocado la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.
ID CVE
CVE-2014-1260 : Felix Groebert del Google Security Team
-
QuickLook
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La descarga de un archivo de Microsoft Word creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario
Descripción: Existía un problema de vulnerabilidad "double free" cuando QuickLook procesaba documentos de Microsoft Word. El problema se solucionó al mejorar la administración de la memoria.
ID CVE
CVE-2014-1252 : Felix Groebert del Google Security Team
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer al procesar átomos "ftab". Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1246 : Investigador anónimo en colaboración con Zero Day Initiative de HP
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria al procesar átomos "dref". Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1247 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer al procesar átomos "ldat". Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1248 : Jason Kratzer en colaboración con iDefense VCP
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: La visualización de una imagen PSD creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer al procesar imágenes PSD. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1249 : dragonltx del Tencent Security Team
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de intercambio de bytes fuera de límites al procesar elementos "ttfo". Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1250 : Jason Kratzer en colaboración con iDefense VCP
-
QuickTime
Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1
Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria al procesar átomos "stsz". Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2014-1245 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP
-
Secure Transport
Disponible para: OS X Mountain Lion v10.8.5
Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL
Descripción: Había ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando un conjunto de cifrado utilizaba cifrado por bloques en modo CBC. Para resolver estos problemas en aplicaciones que usan Secure Transport, se habilitó la mitigación de fragmentos de 1 byte de manera predeterminada para esta configuración.
ID CVE
CVE-2011-3389 : Juliano Rizzo y Thai Duong