Acerca de la actualización de seguridad 2008-007

  • Última modificación: 22 octubre, 2008
  • de artículo:: HT3216

Resumen

En este documento se describe la Actualización de seguridad 2008-2007, que puede descargarse e instalarse mediante las preferencias de Actualización de software o desde las Descargas de Apple.

Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".

Productos afectados

Seguridad de los productos, Mac OS X 10.4.11, Mac OS X 10.5.5

Actualización de seguridad 2008-007

  • Apache

    CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en Apache 2.2.8

    Descripción: Apache se ha actualizado a la versión 2.2.9 para solucionar varias vulnerabilidades. La más grave de ellas podría falsificar peticiones entre sitios web. La versión 2 de Apache no viene incluida con los sistemas Mac OS X Client anteriores a la versión 10.5. La versión 2 de Apache viene incluida con los sistemas Mac OS X Server v10.4.x, pero está desactivada por defecto. Puedes obtener más información en el sitio web de Apache en http://httpd.apache.org/

  • Certificados

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: los certificados raíz se han actualizado

    Descripción: se han añadido varios certificados de confianza a la lista de certificados raíz del sistema. Varios certificados existentes se han actualizado a sus versiones más recientes. La lista completa reorganizada de certificados raíz del sistema puede verse mediante la aplicación Acceso a llaveros.

  • ClamAV

    CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

    Disponible para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en ClamAV 0.93.3.

    Descripción: existen varias vulnerabilidades en ClamAV 0.93.3, la más grave puede conducir a la ejecución de código arbitrario. Esta actualización soluciona los problemas actualizando a ClamAV 0.94. ClamAV no viene incluido en los sistemas Mac OS X (cliente). Para obtener más información, visita el sitio web de ClamAV enhttp://www.clamav.net/

  • ColorSync

    CVE-ID: CVE-2008-3642

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: la visualización de una imagen creada de manera malintencionada puede provocar la finalización inesperada de una aplicación o la ejecución de código intruso

    Descripción: se produce un desbordamiento del búfer al manejar imágenes con perfiles ICC incorporados. La visualización de una imagen creada de manera malintencionada con un perfil ICC incorporado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema realizando una validación adicional de los perfiles ICC en las imágenes. Crédito: Apple.

  • CUPS

    CVE-ID: CVE-2008-3641

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: un atacante remoto puede ser capaz de provocar la ejecución de código arbitrario con los privilegios del usuario 'lp'

    Descripción: existe un problema con la comprobación de rangos en el filtro Hewlett-Packard Graphics Language (HPGL) que puede llevar a que se sobrescriba la memoria arbitraria con datos controlados. Si la función de uso compartido de impresora está habilitada , un atacante remoto podría ser capaz de ejecutar código arbitrario con los privilegios del usuario "lp". Si la función de uso compartido impresora no está habilitada, un usuario local podría obtener privilegios elevados. En esta actualización se soluciona el problema realizando comprobaciones adicionales de los límites. Gracias a regenrecht, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema.

  • Finder

    CVE-ID: CVE-2008-3643

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: un archivo en el escritorio puede ocasionar la denegación de servicio

    Descripción: existe un problema de recuperación de errores en Finder. Un archivo creado de manera malintencionada que se encuentre en el escritorio y que cierre Finder de forma inesperada al generar su icono puede ocasionar que Finder se cierre y se reinicie continuamente. Hasta que el archivo sea eliminado, no se podrá acceder a la cuenta de usuario desde la interfaz de usuario de Finder. Esta actualización soluciona el problema generando iconos mediante un proceso independiente. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Sergio "shadown" Álvarez de n.runs AG por informar de este problema.

  • launchd

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: algunas aplicaciones pueden no ser capaces de entrar en una zona protegida cuando se solicita

    Descripción: esta actualización soluciona un problema que apareció en Mac OS X v10.5.5. Un fallo de implementación en launchd puede ocasionar que falle la solicitud de entrada a un área segura que realice una aplicación. Este problema no afecta a aquellos programas que utilicen el API sandbox_init documentado. Esta actualización soluciona el problema proporcionando una versión actualizada de launchd. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.5.

  • libxslt

    CVE-ID: CVE-2008-1767

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: el procesamiento de un documento XML puede provocar la terminación inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: existe un desbordamiento de búfer de montones en la librería libxslt. La visualización de una página HTML creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de un código intruso. Encontrarás más información sobre el parche aplicado en el sitio web http://xmlsoft.org/XSLT/. Gracias a Anthony de Almeida Lopes, de Outpost24 AB, y a Chris Evans, del Google Security Team, por informar de este problema.

  • MySQL Server

    CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    Disponible para: Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en MySQL 5.0.45

    Descripción: MySQL se actualiza a la versión 5.0.67 para resolver varias vulnerabilidades. La más grave de ellas podría provocar la ejecución de código arbitrario. Estos problemas sólo afectan a los sistemas Mac OS X Server. Encontrarás más información en el sitio web de MySQL en http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html.

  • Red

    CVE-ID: CVE-2008-3645

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: un usuario local puede obtener privilegios de sistema

    Descripción: existe un desbordamiento de búfer de montones en el componente IPC del módulo EAPOLController de configd que podría permitir a un usuario local obtener privilegios de sistema. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Crédito: Apple.

  • PHP

    CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en PHP 4.4.8

    Descripción: PHP se actualiza a la versión 4.4.9 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código intruso. Para obtener más información, visita el sitio web de PHP http://www.php.net/. Estos problemas sólo afectan a sistemas que ejecuten Mac OS X v10.4.x, Mac OS X Server v10.4.x o Mac OS X Server v10.5.x.

  • Postfix

    CVE-ID: CVE-2008-3646

    Disponible para: Mac OS X v10.5.5

    Impacto: un atacante remoto podría ser capaz de enviar correo electrónico directamente a usuarios locales

    Descripción: existe un problema en los archivos de configuración de Postfix. Durante el minuto después de que una herramienta de línea de comandos local envíe correo electrónico, se puede acceder a postfix desde la red. Durante este periodo de tiempo, una entidad remota capaz de conectarse al puerto SMTP podría enviar correo electrónico a usuarios locales y usar el protocolo SMTP. Este problema no convierte el sistema en un retransmisor abierto de correo electrónico. Este problema se ha solucionado modificando la configuración de Postfix para evitar conexiones SMTP que provengan de máquinas remotas. Este problema no afecta a sistemas anteriores a Mac OS X v10.5 y no afecta a Mac OS X Server. Gracias a Pelle Johansson por informar de este problema.

  • PSNormalizer

    CVE-ID: CVE-2008-3647

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: la visualización de un archivo PostScript creado de manera malintencionada puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de búfer de montones cuando PSNormalizer trata con el recuadro de selección "comentarios" en archivos PostScript. La visualización de un archivo PostScript creado con fines malintencionados puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la validación adicional de los archivos PostScript. Crédito: Apple.

  • QuickLook

    CVE-ID: CVE-2008-4211

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: la descarga o visualización de un archivo de Microsoft Excel creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de signo numérico cuando QuickLook maneja columnas en archivos de Microsoft Excel que puede provocar accesos a memoria fuera de límite. La descarga o visualización de un archivo de Microsoft Excel puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la validación adicional de los archivos de Microsoft Excel. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Crédito: Apple.

  • rlogin

    CVE-ID: CVE-2008-4212

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: los sistemas que hayan sido configurados manualmente para utilizar rlogin y host.equiv pueden permitir inesperadamente el acceso root.

    Descripción: el manpage del archivo de configuración hosts.equiv indica que las entradas no se aplican a root. No obstante, un problema de implementación en rlogin hace que esas entradas también se apliquen a root. Esta actualización soluciona el problema no permitiendo el rlogin del usuario root si el sistema remoto está en hosts.equiv. El servicio rlogin no está activado por defecto en Mac OS X y debe configurarse manualmente para activarlo. Gracias a Ralf Meyer por informar de este problema.

  • Editor de scripts

    CVE-ID: CVE-2008-4214

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: un usuario local puede conseguir privilegios para otro usuario que esté usando el Editor de scripts.

    Descripción: existe un problema de operación insegura con archivos en el Editor de scripts cuando se abren diccionarios de aplicaciones mediante scripts. Un usuario local puede hacer que el diccionario se escriba en una ruta arbitraria accesible al usuario que está ejecutando la aplicación. Esta actualización soluciona el problema creando el archivo temporal en una localización segura. Crédito: Apple.

  • Inicio de sesión único

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: el comando sso_util acepta ahora contraseñas desde un archivo

    Descripción: el comando sso_util acepta ahora contraseñas desde un archivo mencionado en la variable de entorno SSO_PASSWD_PATH. Esto permite a los scripts automatizados usar sso_util de forma más segura.

  • Tomcat

    CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    Disponible para: Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en Tomcat 6.0.14

    Descripción: Tomcat en Mac OS X v10.5 se actualiza a la versión 6.0.18 para eliminar varias vulnerabilidades. La más grave de ellas podría permitir un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados. Estos problemas sólo afectan a los sistemas Mac OS X Server. Para obtener más información, visita el sitio web de Tomcat en http://tomcat.apache.org/

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    Disponible para: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impacto: varias vulnerabilidades en vim 7.0

    Descripción: existen varias vulnerabilidades en vim 7.0. La más grave de ellas podría ocasionar la ejecución de código arbitrario cuando se trabaja con archivos creados malintencionadamente. Esta actualización resuelve el problema actualizando a vim 7.2.0.22. Para obtener más información, visita el sitio web de vim en http://www.vim.org/

  • Weblog

    CVE-ID: CVE-2008-4215

    Disponible para: Mac OS X Server v10.4.11

    Impacto: es posible que no se aplique exhaustivamente el Control de acceso a las publicaciones en el weblog

    Descripción: existe una condición de error no verificada en el servidor de weblog. Agregar un usuario con múltiples nombre cortos a la lista de control de acceso de una publicación weblog puede hacer que el servidor de Weblog no aplique el control de acceso. Este problema se ha solucionado mejorando la forma en que se guardan las listas de control de acceso. Este problema sólo afecta a sistemas que ejecuten Mac OS X Server v10.4. Crédito: Apple.

Important: La mención de productos y sitios web de terceras partes se realiza sólo con fines informativos y no implica recomendación ni aprobación. Apple declina toda responsabilidad referente a la elección, el funcionamiento o el uso de la información o los productos contenidos en estos sitios web. Apple sólo ofrece información de los mismos para la comodidad de nuestros usuarios. Apple no ha probado la información contenida en estos sitios y no defiende su precisión o fiabilidad. El uso de cualquier información o producto encontrado en Internet conlleva riesgos inherentes, y Apple declina toda responsabilidad en este aspecto. Debe comprender que los sitios de terceras partes son independientes de Apple y, por lo tanto, Apple no tiene ningún control sobre los contenidos de estos sitios. Póngase en contacto con el proveedor para obtener información adicional.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem