Acerca del contenido de seguridad de OS X Lion v10.7.3 y la Actualización de seguridad 2012-001
Resumen
Descarga para Lion
Descarga para Leopard
Productos afectados
Lion Server, OS X Lion, Seguridad de los productosCon el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las revisiones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
OS X Lion v10.7.3 y Actualización de seguridad 2012-001
- Agenda
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un atacante en una posición de red privilegiada podría interceptar datos CardDAV
Descripción: Agenda es compatible con SSL (Secure Sockets Layer) para acceder a CardDAV. Un problema de cambio de conexión hacía que Agenda intentase establecer una conexión no encriptada si la conexión encriptada fallaba. Un atacante en una posición de red privilegiada podría abusar de este comportamiento para interceptar datos CardDAV. Este problema se soluciona no permitiendo pasar a una conexión no encriptada sin la aprobación del usuario.
ID CVE
CVE-2011-3444: Bernard Desruisseaux de Oracle Corporation
- Apache
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: varias vulnerabilidades en Apache
Descripción: Apache se ha actualizado a la versión 2.2.21 para solucionar diversas vulnerabilidades. La más grave de ellas podría provocar la denegación del servicio. Para obtener más información, visita el sitio web de Apache: http://httpd.apache.org/
ID CVE
CVE-2011-3348
- Apache
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un atacante podría ser capaz de desencriptar datos protegidos mediante SSL
Descripción: existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC. Apache desactivaba la contramedida "empty fragment" que impedía estos ataques. El problema se soluciona suministrando un parámetro de configuración para controlar la contramedida y habilitarla por omisión.
ID CVE
CVE-2011-3389
- ATS
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la apertura de un tipo de letra creado con fines malintencionados en Catálogo Tipográfico podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de gestión de memoria en el tratamiento de archivos de datos de tipos de letra por parte de ATS cuando se abrían con Catálogo Tipográfico.
ID CVE
CVE-2011-3446: Will Dormann de CERT/CC
- CFNetwork
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial
Descripción: existía un problema con la gestión de direcciones URL erróneas por parte de CFNetwork. Al acceder a una URL creada con fines malintencionados, CFNetwork podía enviar la petición a un servidor de origen incorrecto. Este problema no afecta a sistemas anteriores a OS X Lion.
ID CVE
CVE-2011-3246: Erling Ellingsen de Facebook
- CFNetwork
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial
Descripción: existía un problema con la gestión de direcciones URL erróneas por parte de CFNetwork. Al acceder a una URL creada con fines malintencionados, CFNetwork podía enviar encabezados de solicitud inesperados. Este problema no afecta a sistemas anteriores a OS X Lion.
ID CVE
CVE-2011-3447: Erling Ellingsen de Facebook
- ColorSync
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: la visualización de una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento de enteros en la gestión de imágenes con un perfil ColorSync integrado, que podía provocar un desbordamiento del búfer de pila. Este problema no afecta a los sistemas OS X Lion.
ID CVE
CVE-2011-0200: binaryproof en colaboración con Zero Day Initiative de TippingPoint
- CoreAudio
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: la reproducción de contenidos de audio creados con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer en el manejo de transmisiones de audio con codificación AAC. Este problema no afecta a los sistemas OS X Lion.
ID CVE
CVE-2011-3252: Luigi Auriemma en colaboración con la Zero Day Initiative de TippingPoint
- CoreMedia
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento del búfer de pila en la gestión de archivos de película H.264 por parte de CoreMedia.
ID CVE
CVE-2011-3448: Scott Stender de iSEC Partners
- CoreText
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de uso después de liberación en la gestión de archivos de tipo de letra.
ID CVE
CVE-2011-3449: Will Dormann de CERT/CC
- CoreUI
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visita a un sitio web creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de asignación de pila ilimitada en la gestión de direcciones URL largas. Este problema no afecta a sistemas anteriores a OS X Lion.
ID CVE
CVE-2011-3450: Ben Syverson
- curl
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un servidor remoto podría ser capaz de hacerse pasar por clientes mediante solicitudes GSSAPI
Descripción: cuando realiza autenticaciones GSSAPI, libcurl lleva a cabo de forma incondicional una delegación de credenciales. Este problema se soluciona deshabilitando la delegación de credenciales GSSAPI.
ID CVE
CVE-2011-2192
- Seguridad de datos
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial
Descripción: dos autoridades de certificación en la lista de certificados de raíz fiables han emitido de forma independiente certificados de intermediario a DigiCert Malaysia. DigiCert Malaysia ha emitido certificados con claves débiles que no es capaz de revocar. Un atacante con una posición de red privilegiada puede interceptar credenciales de usuario u otra información confidencial destinada a un sitio con un certificado emitido por DigiCert Malaysia. Este problema se soluciona configurando los ajustes de confianza predeterminados del sistema de forma que los certificados de DigiCert Malaysia no se consideren fiables. Gracias a Bruce Morton de Entrust por informar de este problema.
- dovecot
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un atacante podría ser capaz de desencriptar datos protegidos mediante SSL
Descripción: existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado utiliza un cifrado por bloques en modo CBC. Dovecot deshabilitaba la contramedida "empty fragment" que impedía estos ataques. Este problema se soluciona habilitando la contramedida.
ID CVE
CVE-2011-3389: Apple
- filecmds
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: descomprimir un archivo comprimido creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer de pila en la herramienta de línea de comandos "uncompress".
ID CVE
CVE-2011-2895
- ImageIO
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo TIFF creado con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer en el procesamiento de imágenes TIFF con ThunderScan por parte de libtiff. Este problema se soluciona actualizando libtiff a la versión 3.9.5.
ID CVE
CVE-2011-1167
- ImageIO
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: varias vulnerabilidades en libpng versión 1.5.4
Descripción: libpng se actualiza a la versión 1.5.5 para resolver varias vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html.
ID CVE
CVE-2011-3328
- Compartir Internet
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: una red Wi-Fi creada por Compartir Internet podría perder los ajustes de seguridad tras una actualización del sistema
Descripción: tras actualizar a una versión de OS X Lion anterior a la 10.7.3, la configuración Wi-Fi utilizada por Compartir Internet podría volver a los ajustes de fábrica, con lo que se deshabilitaría la contraseña WEP. Este problema solo afecta a sistemas que tengan habilitado Compartir Internet y que compartan la conexión a Wi-Fi. Este problema se soluciona conservando la configuración Wi-Fi durante una actualización del sistema.
ID CVE
CVE-2011-3452: un investigador anónimo
- Libinfo
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visita a un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial
Descripción: existía un problema en la gestión de solicitudes de consulta de nombres de host. Libinfo podría devolver resultados incorrectos para un nombre de host creado con fines malintencionados. Este problema no afecta a sistemas anteriores a OS X Lion.
ID CVE
CVE-2011-3441: Erling Ellingsen de Facebook
- libresolv
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: las aplicaciones que utilizan la biblioteca libresolv de OS X pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de enteros en el análisis de registros de recursos DNS, lo que podría provocar la corrupción de la asignación de memoria.
ID CVE
CVE-2011-3453: Ilja van Sprundel de IOActive
- libsecurity
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: algunos certificados EV pueden tratarse como fiables incluso si la raíz correspondiente se ha marcado como no fiable
Descripción: el código de certificado confiaba en un certificado raíz para que firmase certificados EV si estaba en la lista de emisores EV conocidos incluso si el usuario lo había marcado como "No confiar nunca" en el Llavero. No se confiará en la raíz para firmar certificados no EV.
ID CVE
CVE-2011-3422: Alastair Houghton
- OpenGL
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: las aplicaciones que utilizan la implementación de OpenGL de OS X pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existían varios problemas de corrupción de memoria en la gestión de la compilación GLSL.
ID CVE
CVE-2011-3457: Chris Evans del Google Chrome Security Team y Marc Schoenefeld del Red Hat Security Response Team
- PHP
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: varias vulnerabilidades en PHP 5.3.6
Descripción: PHP se actualiza a la versión 5.3.8 para resolver diversas vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de PHP en http://www.php.net
ID CVE
CVE-2011-1148
CVE-2011-1657
CVE-2011-1938
CVE-2011-2202
CVE-2011-2483
CVE-2011-3182
CVE-2011-3189
CVE-2011-3267
CVE-2011-3268
- PHP
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo PDF creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de corrupción de memoria cuando FreeType manejaba tipos de letra de tipo 1. Este problema se resuelve actualizando FreeType a la versión 2.4.7. Encontrarás más información en el sitio web de FreeType, en http://www.freetype.org/
ID CVE
CVE-2011-3256: Apple
- PHP
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: varias vulnerabilidades en libpng versión 1.5.4
Descripción: libpng se actualiza a la versión 1.5.5 para resolver varias vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html.
ID CVE
CVE-2011-3328
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la apertura de un archivo con codificación MP4 creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de acceso a memoria no inicializada durante la gestión de archivos con codificación MP4.
ID CVE
CVE-2011-3458: Luigi Auriemma y pa_kt en colaboración con la Zero Day Initiative de TippingPoint
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de signo numérico en la gestión de tablas de tipos de letra integradas en los archivos de película QuickTime.
ID CVE
CVE-2011-3248: Luigi Auriemma en colaboración con la Zero Day Initiative de TippingPoint.
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento de búfer "off-by-one" en la gestión de átomos rdrf en archivos de película QuickTime.
ID CVE
CVE-2011-3459: Luigi Auriemma en colaboración con la Zero Day Initiative de TippingPoint.
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo de imagen JPEG2000 creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un desbordamiento del búfer en la gestión de archivos JPEG2000.
ID CVE
CVE-2011-3250: Luigi Auriemma en colaboración con la Zero Day Initiative de TippingPoint.
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: el procesamiento de una imagen PNG creada con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: se producía un desbordamiento del búfer en la gestión de archivos PNG.
ID CVE
CVE-2011-3460: Luigi Auriemma en colaboración con la Zero Day Initiative de TippingPoint.
- QuickTime
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento del búfer en la gestión de archivos de película con codificación FLC
ID CVE
CVE-2011-3249: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint
- SquirrelMail
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: múltiples vulnerabilidades en SquirrelMail
Descripción: SquirrelMail se ha actualizado a la versión 1.4.22 para solucionar diversas vulnerabilidades. La más grave de ellas es un problema de vulnerabilidad de secuencias de comandos entre sitios cruzados. Este problema no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de SquirrelMail en http://www.SquirrelMail.org/
ID CVE
CVE-2010-1637
CVE-2010-2813
CVE-2010-4554
CVE-2010-4555
CVE-2011-2023
- Subversion
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: acceder a un depósito Subversion podría provocar la divulgación de información confidencial
Descripción: Subversion se ha actualizado a la versión 1.6.17 para solucionar diversas vulnerabilidades. La más grave de ellas podría provocar la divulgación de información confidencial. Puedes obtener más información en el sitio web de Subversion, http://subversion.tigris.org/
ID CVE
CVE-2011-1752
CVE-2011-1783
CVE-2011-1921
- Time Machine
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: un atacante remoto podría acceder a nuevas copias de seguridad creadas por el equipo del usuario
Descripción: el usuario podría designar un volumen AFP remoto o una Time Capsule para alojar las copias de seguridad de Time Machine. Time Machine no comprobaba si las siguientes operaciones de copia de seguridad se realizaban en el mismo dispositivo. Un atacante que sea capaz de suplantar al volumen remoto podría obtener acceso a las nuevas copias de seguridad creadas por el equipo del usuario. Este problema se resuelve comprobando el identificador exclusivo asociado a un disco para realizar operaciones de copia de seguridad.
ID CVE
CVE-2011-3462: Michael Roitzsch, de la Technische Universität Dresden
- Tomcat
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impacto: varias vulnerabilidades en Tomcat 6.0.32
Descripción: Tomcat se ha actualizado a la versión 6.0.33 para solucionar diversas vulnerabilidades. La más grave de ellas podría provocar la divulgación de información confidencial. Tomcat solo se suministra con sistemas Mac OS X Server. Este problema no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Tomcat en http://tomcat.apache.org/.
ID CVE
CVE-2011-2204
- Compartir WebDAV
Disponible para: OS X Lion Server v10.7 a v10.7.2
Impacto: los usuarios locales pueden conseguir privilegios de sistema
Descripción: existía un problema en la gestión de autenticación de usuarios por parte de Compartir WebDAV. Un usuario con una cuenta válida en el servidor de uno de sus directorios enlazados podría provocar la ejecución de código arbitrario con privilegios de sistema. Este problema no afecta a sistemas anteriores a OS X Lion.
ID CVE
CVE-2011-3463: Gordon Davisson de Crywolf
- Correo web
Disponible para: OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un mensaje de correo electrónico creado con fines malintencionados podría provocar la divulgación del contenido del mensaje
Descripción: existía una vulnerabilidad de secuencias de comandos entre sitios cruzados en la gestión de mensajes de correo. Este problema se resuelve con la actualización de Roundcube Webmail a la versión 0.6. Este problema no afecta a los sistemas anteriores a OS X Lion. Para obtener más información, visita el sitio web de Roundcube en http://trac.roundcube.net/
ID CVE
CVE-2011-2937
- X11
Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.2, OS X Lion Server v10.7 a v10.7.2
Impacto: la visualización de un archivo PDF creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de corrupción de memoria cuando FreeType manejaba tipos de letra de tipo 1. Este problema se resuelve actualizando FreeType a la versión 2.4.7. Encontrarás más información en el sitio web de FreeType, en http://www.freetype.org/
ID CVE
CVE-2011-3256: Apple
Importante: La mención de productos y sitios web de terceras partes se realiza sólo con fines informativos y no implica recomendación ni aprobación. Apple declina toda responsabilidad referente a la elección, el funcionamiento o el uso de la información o los productos contenidos en estos sitios web. Apple sólo ofrece información de los mismos para la comodidad de nuestros usuarios. Apple no ha probado la información contenida en estos sitios y no defiende su precisión o fiabilidad. El uso de cualquier información o producto encontrado en Internet conlleva riesgos inherentes, y Apple declina toda responsabilidad en este aspecto. Debe comprender que los sitios de terceras partes son independientes de Apple y, por lo tanto, Apple no tiene ningún control sobre los contenidos de estos sitios. Póngase en contacto con el proveedor para obtener información adicional.
No hay comentarios:
Publicar un comentario
Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias