Acerca del contenido de seguridad de macOS Sierra 10.12.1, Actualización de seguridad 2016-002 El Capitan y Actualización de seguridad 2016-006 Yosemite
En este documento se describe el contenido de seguridad de macOS Sierra 10.12.1, Actualización de seguridad 2016-002 El Capitan y Actualización de seguridad 2016-006 Yosemite.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
macOS Sierra 10.12.1, Actualización de seguridad 2016-002 El Capitan y Actualización de seguridad 2016-006 Yosemite
AppleGraphicsControl
Disponible para: OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mediante la mejora de la comprobación del estado del bloqueo.
CVE-2016-4662: Apple
AppleMobileFileIntegrity
Disponible para: macOS Sierra 10.12
Impacto: un ejecutable firmado podría sustituir código con el mismo ID de equipo
Descripción: había un problema de validación en la gestión de las firmas de código. Este problema se ha solucionado mediante validación adicional.
CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.
AppleSMC
Disponible para: macOS Sierra 10.12
Impacto: un usuario local podría ser capaz de elevar los privilegios
Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora del bloqueo.
CVE-2016-4678: daybreaker@Minionz en colaboración con Zero Day Initiative de Trend Micro
ATS
Disponible para: macOS Sierra 10.12
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4667: Simon Huang de alipay, Thelongestusernameofall@gmail.com, Moony Li de TrendMicro, @Flyic
ATS
Disponible para: macOS Sierra 10.12
Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios adicionales
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4674: Shrek_wzw de Qihoo 360 Nirvan Team
CFNetwork Proxies
Disponible para: macOS Sierra 10.12
Impacto: un atacante que se encontrase en una posición de red privilegiada podría filtrar información confidencial de los usuarios
Descripción: existía un problema de suplantación de identidad en la gestión de las credenciales del proxy. Se ha solucionado el problema eliminando los mensajes emergentes de autenticación de contraseña del proxy no solicitados.
CVE-2016-7579: Jerry Decime
Core Image
Disponible para: OS X El Capitan v10.11.6
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-4681: Ke Liu de Tencent’s Xuanwu Lab
CoreGraphics
Disponible para: macOS Sierra 10.12
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión de la memoria.
CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent
FaceTime
Disponible para: macOS Sierra 10.12
Impacto: un atacante con una posición de red privilegiada podría ocasionar que una llamada enviada siga transmitiendo audio aunque pareciera que la llamada ya ha finalizado
Descripción: existían incoherencias de la interfaz de usuario en la gestión de llamadas enviadas. Estos problemas se han solucionado mejorando la lógica de protocolo.
CVE-2016-7577: Martin Vigo (@martin_vigo) de salesforce.com
FontParser
Disponible para: macOS Sierra 10.12
Impacto: analizar un tipo de letra creado con fines malintencionados podría revelar información confidencial del usuario
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-4660: Ke Liu de Tencent’s Xuanwu Lab
FontParser
Disponible para: macOS Sierra 10.12
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com
IDS - Conectividad
Disponible para: macOS Sierra 10.12
Impacto: un atacante en una posición de red privilegiada podría engañar a un usuario en una llamada a varios y hacerle creer que está hablando con la otra persona
Descripción: existía un problema de suplantación en la gestión del cambio de llamada. Este problema se ha solucionado mejorando la gestión de las notificaciones de cambio de interlocutor.
CVE-2016-4721: Martin Vigo (@martin_vigo) de salesforce.com
ImageIO
Disponible para: OS X El Capitan v10.11.6
Impacto: analizar un PDF creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado una escritura fuera de los límites mejorando la comprobación de límites.
CVE-2016-4671: Ke Liu de Tencent’s Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)
ImageIO
Disponible para: OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: procesar una imagen creada con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: existía un problema de lectura fuera de los límites en el análisis de imagen SGI. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-4682: Ke Liu de Tencent’s Xuanwu Lab
ImageIO
Disponible para: OS X El Capitan v10.11.6
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario
Descripción: existían varios problemas de escritura y lectura fuera de los límites en el análisis de SGI. Estos problemas se han solucionado mejorando la validación de las entradas.
CVE-2016-4683: Ke Liu de Tencent’s Xuanwu Lab
Kernel
Disponible para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 y macOS Sierra 10.12
Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel
Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.
CVE-2016-4669: Ian Beer de Google Project Zero
Kernel
Disponible para: macOS Sierra 10.12
Impacto: una aplicación local podría ser capaz de ejecutar código arbitrario con privilegios root
Descripción: existían varios problemas con la duración de los objetos al crear nuevos procesos. Se ha solucionado este problema mejorando la validación.
CVE-2016-7613: Ian Beer de Google Project Zero
libarchive
Disponible para: macOS Sierra 10.12
Impacto: un archivo creado con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2016-4679: Omer Medan de enSilo Ltd
libxpc
Disponible para: macOS Sierra 10.12
Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz
Descripción: se ha mejorado un problema de lógica mediante restricciones adicionales.
CVE-2016-4675: Ian Beer de Google Project Zero
ntfs
Disponible para: macOS Sierra 10.12
Impacto: una aplicación podría provocar la denegación de servicio
Descripción: existía un problema en el análisis de las imágenes de disco. Para resolver este problema se ha mejorado la validación.
CVE-2016-4661: Recurity Labs en nombre de BSI (Oficina federal alemana de seguridad de la información)
Controladores de tarjetas gráficas NVIDIA
Disponible para: OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6
Impacto: una aplicación podría provocar la denegación de servicio
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-4663: Apple
Seguridad
Disponible para: macOS Sierra 10.12
Impacto: un atacante local puede observar la longitud de una contraseña cuando un usuario inicia sesión
Descripción: existía un problema de inicio de sesión en la gestión de contraseñas. Este problema se ha solucionado eliminando el inicio de sesión de longitud de contraseña.
CVE-2016-4670: Daniel Jalkut de Red Sweater Software
Thunderbolt
Disponible para: macOS Sierra 10.12
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una falta de referencia a un puntero nulo mejorando la validación de las entradas.
CVE-2016-4780: sweetchip de Grayhash
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.