Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Apple corrige 13 fallos en Mac OS X

Apple corrige 13 fallos en Mac OS X

Por Deja un comentario

Apple ha publicado la actualización de seguridad 2005-009, destinada a
evitar hasta 13 vulnerabilidades en su sistema operativo Mac OS X y que
pueden ser empleadas por un atacante para evitar restricciones de
seguridad, conseguir acceso no autorizado a los sistemas, comprometer
información sensible o ejecutar código malicioso.

Se han corregido los siguientes problemas:

* Vulnerabilidad de cross-site scripting en Apache2 en determinadas
configuraciones. Afecta a Mac OS X Server v10.3.9 y Mac OS X Server
v10.4.3.

* Salto de autenticación SSL en el módulo apache_mod_ssl, por el que un
atacante sin autorización puede acceder a recursos configurados para
requerir autenticación SSL. Afecta a Mac OS X v10.3.9, Mac OS X Server
v10.3.9, Mac OS Xv10.4.3 y Mac OS X Server v10.4.3 con configuraciones
de Apache que incluyan la directiva «SSLVerifyClient require».

* Desbordamiento de búfer en CoreFoundation al recibir URLs
maliciosamente construidas, puede permitir la realización de ataques de
denegación de servicio o la ejecución de código remoto. Afecta a Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Vulnerabilidad en curl puede permitir la ejecución arbitraria de
código al visitar un servidor http malicioso y emplear autenticación
NTLM. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios por error en
iodbcadmintool. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac
OS X v10.4.3 y Mac OS X Server v10.4.3.

* Aplicaciones que hagan uso de OpenSSL pueden ser obligadas a emplear
el protocolo SSLv2, que proporciona menor protección que SSLv3 o TLS.
Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3,
Mac OS X Server v10.4.3.

* Una vulnerabilidad en passwordserver puede permitir a usuarios
locales en Open Directory elevar sus privilegios. Afecta a Mac OS X
Server v10.3.9 y Mac OS X Server v10.4.3.

* Se corrigen también cuatro vulnerabilidades de diferente índole en
Safari, que pueden permitir la descarga de archivos en sitios
diferentes al directorio designado a tal efecto, la falsificación de
cuadros de diálogo JavaScript o incluso la ejecución de código
malicioso. Afectan a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS
X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios en determinadas
configuraciones de sudo (la configuración por defecto no se ve
afectada). Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X
v10.4.3 y Mac OS X Server v10.4.3.

* Por último, las entradas del log del sistema pueden ser falsificadas.
Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

Antonio Ropero
antonior@hispasec.com

Más información:

About Security Update 2005-009
http://docs.info.apple.com/article.html?artnum=302847

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.