- Otras noticias
Descubren una nueva vulnerabilidad que puede bloquear Internet Explorer.jpg)
Panda advierte del envío masivo de 'e-mails' sobre la captura de Bin Laden para instalar un troyano en los equipos
Panda advierte de un gran crecimiento en el número de troyanos
Razones por las que fracasó el ataque de MyDoom al sitio de Microsoft
Denegación de servicio a través de ficheros RAR en ClamAV
Sony BMG retirará los CDs con protección anticopia
Vulnerabilidad Cross-Site Scripting en Oracle HTTP Server.jpg)
Microsoft advierte de tres brechas en seguridad de sus programas
Hoax: Atraco de las operadoras de telefonía móvil
Ejecución de código vía Firefox y QuikTime plugin
- En el foro
-
ACTUALIZACIONES
Múltiples actualizaciones críticas en Mac OS X
29 Sep 2005 | HISPASEC.COM.jpg)
Mac OS X es el último sistema operativo nativo de la compañía Apple, que proporciona un entorno moderno y de calidad para plataformas PowerPC.
El parche publicado recoge un total de diez actualizaciones de diversa graduación para las versiones 10.3 y 10.4 de OS X. Pese a que Apple no ha dictaminado oficialmente la gravedad de las vulnerabilidades, podrían ser consideradas como muy críticas, ya que los problemas que se han corregido podrían permitir, en entornos no actualizados, el salto de restricciones de seguridad, ataques de Cross-Site Scripting, revelación de información sensible, escalada de privilegios y ganancia no autorizada de acceso al sistema.
Los códigos CVE de los problemas documentados corresponden a
CAN-2005-1992, CAN-2005-2524, CAN-2005-2741, CAN-2005-2742,
CAN-2005-2743, CAN-2005-2744, CAN-2005-2745, CAN-2005-2746,
CAN-2005-2747, CAN-2005-2748
El ramillete de actualizaciones afecta además a ciertas aplicaciones, así como al núcleo del sistema. Los componentes actualizados son LibSystem, LoginWindow, Mail, QuickDraw, QuickTimeJava, Safari, SecurityAgent, SecurityServer. Esquemáticamente, los errores corregidos son los siguientes:
1) Un error de límites en ImageIO podría ser explotado para causar un desbordamiento de búfer así como la ejecución de código arbitrario, ante la apertura de documentos GIF especialmente preparados.
2) Otro error en Mail.app cuando se emplea Kerberos 5 para autenticación de correo saliente, podría causar que se añadieran porciones de información procedentes de la memoria no inicializada a los mensajes. Lo que podría conducir a la revelación de información sensible. Para Mac OS X v10.4.2, el problema fue ya corregido en la actualización 2005-007.
3) Un error de diseño en "malloc" crea ficheros de diagnóstico de forma insegura cuando la variable de entorno "MallocLogFile" está habilitada en procesos de depuración de memoria. Esto facultaría a usuarios maliciosos a crear ficheros arbitrarios o sobreescribirlos.
4) Un error en Mail.app a la hora de procesar reglas de auto respuesta, podría causar mensajes automáticos de respuesta con copias en texto plano de los mensajes cifrados, lo que podría revelar información sensible.
5) Otro error de límites en QuickDraw Manager podría ser explotado para causar desbordamientos de búfer e incluso la ejecución de código arbitrario en un sistema cuando las aplicaciones Safari, Mail o Finder ejecutasen ficheros PICT especialmente preparados.
6) Un error en el agente de seguridad SecurityAgent podría permitir el acceso al escritorio vigente sin autenticación, al falsearse la apariencia de los botones de cambio de usuario. La explotación requiere que la opción de emplear contraseña para activar el ordenador después de un protector de pantalla o del modo "sleep" esté activada.
7) Un problema en Ruby podría ser explotado para saltar restricciones de seguridad, en sistemas 10.4 y posteriores.
8) Un error de validación en las extensiones java de QuickTime 6.52 y versiones anteriores, podría ser explotado por applets no confiables para hacer llamamientos arbitrarios desde las librerías del sistema. Los sistemas OS X v10.4 o los que empleen QuicktTime 7 o posteriores no se ven afectos de éste problema.
9) Un error de validación en Safari a la hora de renderizar archivos web podría ser empleado para la ejecución de código HTML arbitrario, en forma de Cross-Site Scripting. El problema, para la versión 10.4.2 y posteriores, fué subsanado en el parche 2005-007
10) Por último, un error de validación en los servicios de autorización "securityd" permitiría a los usuarios sin privilegios ganar ciertos permisos restringidos a usuarios administradores, lo que representaría una escalada de privilegios.
El parche puede ser instalado a través de las herramientas de
actualización del sistema, o bien descargarse de:
http://www.apple.com/support/downloads/securityupdate2005008macosx1039.html
La actualización tiene un tamaño de 7.1 MB y ofrece soporte multilenguaje, entre los que está el castellano.
Más información:
Apple Computer: Security Update 2005-008
http://www.apple.com/support/downloads/securityupdate2005008macosx1039.html
Apple Computer: Información sobre seguridad y parches
http://docs.info.apple.com/article.html?artnum=61798 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
