Apple ha publicado una actualización para Mac OS X que solventa hasta
doce problemas de seguridad. Algunos pueden ser aprovechados para
ejecutar código remoto, eludir restricciones de seguridad o provocar
denegaciones de servicio.
Un error en el componente CFNetwork que permite a páginas SSL
manipuladas aparecer como legítimas a clientes CFNetwork (por ejemplo
safari).
Varios errores en Flash Player que pueden ser aprovechados por atacantes
para eludir restricciones de seguridad y comprometer sistemas vulnerables.
Un error en el componente ImageIO a la hora de procesar imágenes
JPEG2000 puede ser aprovechado para provocar un desbordamiento de
memoria intermedia y ejecutar código arbitrario.
En error en el kernel a la hora de manejar un mecanismo conocido como
Mach exception ports puede ser aprovechado por atacantes locales para
ejecutar código en aplicaciones privilegiadas.
Una condición de error no comprobada en el componente LoginWindow puede
hacer que los tickets kerberos sean accesibles por otros usuarios
locales después de un intento no exitoso de presentación.
Otro error en el componente LoginWindows a la hora de manejar “Fast User
Switching” puede hacer que los tickets kerberos estén accesibles para
otros usuarios locales.
Un error lógico en el componente LoginWindows puede hacer que cuentas de
red sin GUIDs eludan el servicio de control de acceso LoginWindow.
Un fallo hace posible que una cuenta administre aplicaciones WebOjects
después de que los privilegios de “Admin” hayan sido revocados.
Un problema de corrupción de memoria en QuickDraw Manager a la hora de
procesar imágenes PICT puede ser aprovechado a través de una imagen
especialmente manipulada para ejecutar código arbitrario.
Un error en SASL puede ser aprovechado por atacantes para provocar una
denegación de servicio contra IMAP.
Un error de manejo de memoria en el manejo de Webkit de cierto código
HTML puede ser aprovechado por atacantes para comprometer el sistema.
Un error en el administrador de grupos de trabajo puede provocar que
cuentas que vienen de NetInfo usen crypt para cifrar contraseñas incluso
cuando parezca que utiliza contraseñas ShadowHash.
Se recomienda aplicar los parches correspondientes desde las
actualizaciones automáticas o desde:
Mac OS X 10.4.8 Upgrade (Intel) :
http://www.apple.com/support/downloads/macosx1048updateintel.html
Security Upgrade 2006-006 (10.3.9 cliente) :
http://www.apple.com/support/downloads/securityupdate20060061039client.html
Security Upgrade 2006-006 (10.3.9 servidor) :
http://www.apple.com/support/downloads/securityupdate20060061039servidor.html
Mac OS X 10.4.8 Upgrade (PPC) :
http://www.apple.com/support/downloads/macosx1048updateppc.html
Mac OS X 10.4.8 Combo Upgrade (PPC) :
http://www.apple.com/support/downloads/macosx1048comboupdateppc.html
Mac OS X 10.4.8 Combo Upgrade (Intel) :
http://www.apple.com/support/downloads/macosx1048comboupdateintel.html
Mac OS X servidor 10.4.8 Upgrade (PPC) :
http://www.apple.com/support/downloads/macosxservidor1048updateppc.html
Mac OS X servidor 10.4.8 Combo Upgrade (PPC) :
http://www.apple.com/support/downloads/macosxservidor1048comboupdateppc.html
Mac OS X servidor 10.4.8 Upgrade (Universal) :
http://www.apple.com/support/downloads/macosxservidor1048updateuniversal.htm
laboratorio@hispasec.com
Más información:
About the security content of the Mac OS X 10.4.8 Update and Security Update 2006-006
http://docs.info.apple.com/article.html?artnum=304460
Deja un comentario