1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2015-036 Actualización de seguridad 2015-002

Este documento describe el contenido de seguridad relacionado con la actualización de seguridad 2015-002

  • Fecha de Liberación: 10-Mar-2015
  • Ultima Revisión: 12-Mar-2015
  • Fuente:
  • CVE ID: CVE-2014-4496 CVE-2015-0065 CVE-2015-0066 CVE-2015-0067 CVE-2015-1061

  1. Descripción

    iCloud Keychain

    • Disponible para: OS X Yosemite v10.10.2
    • Impacto: Un atacante con privilegios en la red podría habilitar la ejecución de código arbitrario.
    • Descripción: Existen mpultiples vulnerabilidades de desbordamiento del buffer en la forma en que se manejan los datos durante la recuperación de iCloud Keychain. Esta vulnerabilidad se resolvió mejorando la comprobación de límites.

    IOAcceleratorFamily

    • Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, y OS X Yosemite v10.10.2
    • Impacto: Una aplicación maliciosa puede habilitar la ejecución de código arbitrario con privilegios del sistema.
    • Descripción: existía un desajuste en un evento en IOAccelerator Family. Esta vulnerabilidad se resolvió mejorando la comprobación de límites.


    Kernel

    • Disponible para: OS X Yosemite v10.10.2
    • Impacto: Aplicaciones diseñadas maliciosamente o comprometidas pueden determinar direcciones en el kernel.
    • Descripción: La interfaz del kernel mach_port_kobjec filtra las direcciones de kernel y los valores de pemutación, que puede ayudar a pasar la protección aleatoria en el espacio de dirección de diseño. Esta dirección fue deshabilitada en la interfaz mach_port_kobjec en las configuraciones de producción.


    Secure Transport

    • Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, y OS X Yosemite v10.10.2
    • Impacto: Un atacante con privilegios en la red podría interceptar conexiones SSL/TLS
    • Descripción: Secure Transport acepta pequeñas llaves RSA, usualmente utilizadas solamente para exportar las suites de cifrado export-strength  RSA,  en conexiones que utilizan full-strength RSA. Esta característica, permite conocer como FREAK, sólo afecta conexiones al servidor que soportan las suites de cifrado export-strength RSA.

  2. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT