Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Actualización de seguridad para Apple Mac OS X y Mac OS X Server

Actualización de seguridad para Apple Mac OS X y Mac OS X Server

Por Leave a Comment

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X que solventa más de 40 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para saltarse restricciones de seguridad, acceder a información sensible, escalar privilegios, perpetrar ataques de cross-site scripting, provocar denegaciones de servicio o incluso ejecutar código arbitrario en un sistema vulnerable.

Esta es la tercera gran actualización del año (con el código 2008-003). Los componentes y software afectados (propios y de terceros) son, entre otros muchos: Apache, AppKit, Apple Pixlet Video, ATS, CoreFoundation, CoreGraphics, iCal y Help Viewer.

A continuación se exponen con brevedad algunas de las vulnerabilidades solucionadas:

* Error en AFP Server que podría permitir que un atacante accediera a archivos o carpetas para los que no tendría permiso de acceso.

* Múltiples vulnerabilidades en Apache que podrían permitir ataques de cross-site scripting.

* Ejecución de código arbitrario si se abre un archivo especialmente modificado con un editor que haga uso de AppKit.

* Posible denegación de servicio o ejecución de código arbitrario provocada por una corrupción de memoria al abrir un archivo malicioso haciendo uso de Apple Pixlet Video.

* Ejecución de código arbitrario al imprimir un archivo PDF con fuentes embebidas debido a una corrupción de memoria en Apple Type Services (ATS).

* Revelación de información sensible a través de CFNetwork si se visita una web especialmente manipulada.

* Posible ejecución remota de código o denegación de servicio provocada por un desbordamiento de enteros en CoreFundation al manejar objetos CFData.

* Posible ejecución remota de código o denegación de servicio en CoreGraphics al procesar un archivo PDF especialmente manipulado.

* Ampliación de la lista de tipos de contenidos potencialmente inseguros en CoreTypes.

* Revelación de información sensible a través de CUPS.

* Ejecución remota de código arbitrario a través del plug-in de Flash Player.

* Posible ejecución remota debido a un manejo incorrecto de las URLs del tipo “ayuda:asunto” en Help Viewer.

* Ejecución remota de código o denegación de servicio al abrir un archivo iCalendar malicioso con iCal.

* Revelación de información provocado por un error de conversión en ICU.

* Escalada de privilegios en Image Capture y revelación de información provocada por una vulnerabilidad de directorio trasversal.

* Múltiples vulnerabilidades, una de ellas reportada por Hispasec, en ImageIO: Revelación de información, problemas de seguridad causados por libpng, denegaciones de servicio o ejecución remota de código.

*Múltiples denegaciones de servicio en el kernel de Mac OS X.

*Posible ejecución remota de código, denegación de servicio o revelación de información en Mail.

*Lectura de archivos arbitrarios por parte de un atacante remoto en Ruby.

*Acceso local a información sensible a través de Single Sign-On.

*Acceso remoto a nombres de usuario (revelación de información sensible) en servidores con Wiki Server habilitado.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Mac OS X Server 10.5.3 Update (489 MB)
http://www.apple.com/support/downloads/macosxserver1053update.html

Mac OS X Server 10.5.3 Combo Update (632 MB)
http://www.apple.com/support/downloads/macosxserver1053comboupdate.html

Mac OS X 10.5.3 Update (420 MB)
http://www.apple.com/support/downloads/macosx1053update.html

Mac OS X 10.5.3 Combo Update (536 MB)
http://www.apple.com/support/downloads/macosx1053comboupdate.html

Security Update 2008-003 (Intel) (111 MB)
http://www.apple.com/support/downloads/securityupdate2008003intel.html

Security Update 2008-003 (PPC) (72 MB)
http://www.apple.com/support/downloads/securityupdate2008003ppc.html

Security Update 2008-003 Server (Universal) (118 MB)
http://www.apple.com/support/downloads/securityupdate2008003serveruniversal.html

Security Update 2008-003 Server (PPC) (89 MB)
http://www.apple.com/support/downloads/securityupdate2008003serverppc.html

Pablo Molina
pmolina@hispasec.com

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.