En respuesta a la necesidad de mejorar las prestaciones de su sistema
operativo, no sólo en lo referente a funcionalidad, sino también a
cuestiones de seguridad, Apple ha puesto a disposición de sus usuarios
la actualización a la versión 10.4.7 de su sistema OS X.
Mac OS (Macintosh Operating System) versión X es un sistema operativo
multiusuario, basado en BSD y Mach microkernel, y dotado de una valorada
interfaz gráfica denominada Aqua. Recientemente, tras un drástico giro
en su modelo de negocio, se abrió la posibilidad de ejecutar OS X no
sólo en las tradicionales plataformas PPC (Power PC), sino también en
arquitecturas Intel.
Esta actualización de carácter acumulativo, ciñéndonos exclusivamente a
lo relacionado con la seguridad, soluciona algunas fallas existentes,
descubiertas y documentadas en el tránsito desde la versión precedente
a la actual.
AFP (Apple File Protocol) se actualiza (véase la referencia
CVE-2006-1468), impidiendo la revelación de información sensible
por parte de usuarios no autorizados. El motor antivirus ClamAV
(CVE-2006-1989) corrige un problema mediante el cual es posible
la ejecución de código arbitrario, caso de proporcionar al motor
automático de actualización una base de datos espejo de índole
maliciosa.
Las mejoras alcanzan también al framework ImageIO (CVE-2006-1469),
susceptible de facilitar la ejecución de código y la denegación de
servicio, al visualizar ficheros TIFF especialmente creados por los
potenciales atacantes. El gestor de demonios launchd (CVE-2006-1471)
corrige un problema que permite a los usuarios locales la escalada
de privilegios en la máquina. Y por último, la implementación libre
OpenLDAP (CVE-2006-1470) recibe una corrección, ya que la versión
obsoleta facilita que los atacantes remotos ocasionen la denegación
total de los servicios en la máquina.
Las actualizaciones pueden ser obtenidas en el centro de descarga del
soporte de Apple, cuya dirección aparece en el campo «más información».
Entre los paquetes suministrados están también los pertenecientes a la
familia de servidores, Apple Mac OS X Server.
Es importante notar que justo después de la emisión de este conjunto
de actualizaciones, ha aparecido un fallo crítico en iTunes
(CVE-2006-1467), versiones 6.0.4 y anteriores. Un desbordamiento de
entero en el manejo del ficheros de codificación de audio (AAC) permite
a los atacantes tener una vía para tomar control completo del sistema,
caso de que los usuarios vulnerables abran ficheros AAC especialmente
creados. La actualización para iTunes se encuentra también en el centro
de descargas.
shernando@hispasec.com
Más información:
About the security content of the Mac OS X 10.4.7 Update
http://docs.info.apple.com/article.html?artnum=303973
Apple iTunes Advanced Audio Coding File Handling Integer Overflow
Vulnerability
http://www.frsirt.com/english/advisories/2006/2601
Centro de descarga de actualizaciones
http://www.apple.com/support/downloads/
MAC OS X
http://www.apple.com/es/macosx/
Apple Security
http://www.apple.com/support/security/
Deja una respuesta