Acerca del contenido de seguridad de la actualización de seguridad 2008-008 para Mac OS X v10.5.6

En este documento se describe el contenido de seguridad de la actualización de seguridad 2008-008 para Mac OS X v10.5.6, que se puede descargar e instalar desde las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización de seguridad 2008-008 para Mac OS X v10.5.6

  • ATS

    ID de CVE: CVE-2008-4236

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visualización o la descarga de un archivo PDF que contenga un tipo de letra incrustado creado con fines malintencionados puede provocar una denegación de servicio

    Descripción: Puede producirse un bucle infinito en la gestión de tipos de letra incrustados en archivos PDF por parte del servidor Apple Type Services. La visualización o la descarga de un archivo PDF que contenga un tipo de letra creado con fines malintencionados puede provocar una denegación de servicio. Esta actualización soluciona el problema mediante la validación adicional de las fuentes incrustadas. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Michael Samarin y Mikko Vihonen de Futurice Ltd. por informar de este problema.

  • BOM

    ID de CVE: CVE-2008-4217

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la descarga o la visualización de un archivo CPIO creado con fines malintencionados puede provocar la ejecución de código arbitrario o la finalización inesperada de la aplicación

    Descripción: Existe un problema de firma en el tratamiento de las cabeceras CPIO por parte de BOM que puede provocar un desbordamiento del búfer de pila. La descarga o la visualización de un archivo CPIO creado con fines malintencionados puede provocar la ejecución de código arbitrario o la finalización inesperada de la aplicación. Esta actualización soluciona el problema mediante la validación adicional de las cabeceras CPIO. Gracias a Apple.

  • CoreGraphics

    ID de CVE: CVE-2008-3623

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visualización de una imagen creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de búfer de memoria dinámica en el manejo de los espacios de color en CoreGraphics. La visualización de una imagen creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Apple.

  • CoreServices

    ID de CVE: CVE-2008-3170

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visita a un sitio web creado con fines malintencionados puede conducir a la revelación de las credenciales del usuario

    Descripción: Safari permite a los sitios web establecer cookies para dominios de nivel superior específicos de un país, lo que puede permitir a un atacante remoto realizar un ataque de fijación de sesión y secuestrar las credenciales de un usuario. Esta actualización soluciona el problema mediante la validación adicional de los nombres de dominio. Gracias a Alexander Clauss de iCab.de por informar de este problema.

  • CoreTypes

    ID de CVE: CVE-2008-4234

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: es posible que al intentar iniciar un contenido descargado no seguro no aparezca una advertencia

    Descripción: Mac OS X proporciona la función de validación de descargas para indicar los archivos potencialmente no seguros. Aplicaciones como Safari y otras utilizan la validación de descargas para ayudar a advertir a los usuarios antes de iniciar archivos marcados como potencialmente no seguros. Esta actualización se añade a la lista de tipos potencialmente no seguros. Añade el tipo de contenido para los archivos que tienen permisos ejecutables y ninguna asociación de aplicación específica. Estos archivos son potencialmente no seguros, ya que se iniciarán en Terminal y su contenido se ejecutará como comandos. Aunque estos archivos no se inician automáticamente, si se abren manualmente podrían provocar la ejecución de código arbitrario. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: Múltiples vulnerabilidades en el plug-in de Adobe Flash Player

    Descripción: Existen varios problemas en el plug-in de Adobe Flash Player, el más grave de los cuales puede dar lugar a la ejecución de código arbitrario al visualizar un sitio web creado con fines malintencionados. Los problemas se solucionan actualizando el plug-in de Flash Player a la versión 9.0.151.0. Más información en el sitio web de Adobe en http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    ID de CVE: CVE-2008-4218

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un usuario local puede obtener privilegios del sistema

    Descripción: existen problemas de desbordamiento de enteros en las llamadas del sistema i386_set_ldt e i386_get_ldt que pueden permitir a un usuario local ejecutar código arbitrario con privilegios del sistema. Esta actualización soluciona los problemas mediante la comprobación mejorada de los límites especificados. Estos problemas no afectan a los sistemas PowerPC. Gracias a Richard van Eeden de IOActive, Inc. por informar de estos problemas.

  • Kernel

    ID de CVE: CVE-2008-4219

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la ejecución de un ejecutable que enlaza bibliotecas dinámicas en un recurso compartido NFS puede provocar un apagado inesperado del sistema

    Descripción: puede producirse un bucle infinito cuando un programa ubicado en un recurso compartido NFS recibe una excepción. Esto puede provocar un apagado inesperado del sistema. Esta actualización soluciona el problema mejorando la gestión de las excepciones. Gracias a Ben Loer de Princeton University por informar de este problema.

  • Libsystem

    ID de CVE: CVE-2008-4220

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API inet_net_pton pueden ser vulnerables a la ejecución de código arbitrario o a la finalización inesperada de la aplicación

    Descripción: existe un desbordamiento de enteros en la API inet_net_pton de Libsystem, que puede provocar la ejecución de código arbitrario o la finalización inesperada de la aplicación que utiliza la API. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Esta API no se llama normalmente con datos que no sean de confianza, y no se conocen casos explotables de este problema. Esta actualización se proporciona para ayudar a mitigar posibles ataques contra cualquier aplicación que utilice esta API.

  • Libsystem

    ID de CVE: CVE-2008-4221

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API strptime pueden ser vulnerables a la ejecución de código arbitrario o a la finalización inesperada de la aplicación

    Descripción: existe un problema de corrupción de memoria en la API strptime de Libsystem. El análisis de una cadena de fecha creada con fines malintencionados puede provocar la ejecución de código arbitrario o la finalización inesperada de la aplicación. Esta actualización soluciona el problema mediante la asignación mejorada de la memoria. Gracias a Apple.

  • Libsystem

    ID de CVE: CVE-2008-1391

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API strfmon pueden estar expuestas a una finalización inesperada de la aplicación o a la ejecución de código arbitrario

    Descripción: existen múltiples desbordamientos de enteros en la implementación de la API strfmon de Libsystem. Una aplicación que llame a strfmon con valores grandes de ciertos campos enteros en el argumento de la cadena de formato puede terminar inesperadamente o conducir a la ejecución de código arbitrario. Esta actualización soluciona los problemas mediante la comprobación mejorada de los límites especificados.

  • Managed Client

    ID de CVE: CVE-2008-4237

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: no se aplican los ajustes de salvapantallas gestionados

    Descripción: el método mediante el cual el software de un sistema cliente gestionado instala la información de configuración por host no siempre identifica correctamente el sistema. En un sistema mal identificado, no se aplican los ajustes por host, incluido el bloqueo del salvapantallas. Esta actualización soluciona el problema haciendo que Managed Client utilice la identificación correcta del sistema. Este problema no afecta a los sistemas con Ethernet integrada. Gracias a John Barnes de ESRI y Trevor Lalish-Menagh de Tamman Technologies, Inc. por informar de este problema.

  • network_cmds

    ID de CVE: CVE-2008-4222

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un atacante remoto puede ser capaz de causar una denegación de servicio si Compartir Internet está habilitado

    Descripción: puede producirse un bucle infinito en el manejo de paquetes TCP en natd. Mediante el envío de un paquete TCP creado con fines malintencionados, un atacante remoto puede ser capaz de causar una denegación de servicio si Compartir Internet está habilitado. Esta actualización soluciona el problema mediante la validación adicional de los paquetes de TCP. Gracias a Alex Rosenberg de Ohmantics y Gary Teter de Paizo Publishing por informar de este problema.

  • Podcast Producer

    ID de CVE: CVE-2008-4223

    Disponible para: Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un atacante remoto puede ser capaz de acceder a las funciones administrativas de Podcast Producer

    Descripción: existe un problema de omisión de autenticación en el servidor de Podcast Producer, que puede permitir a un usuario no autorizado acceder a funciones administrativas en el servidor. Esta actualización resuelve el problema mediante el manejo mejorado de las restricciones de acceso. Podcast Producer se introdujo en Mac OS X Server v10.5.

  • UDF

    ID de CVE: CVE-2008-4224

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: abrir un archivo ISO puede provocar un apagado inesperado del sistema

    Descripción: existe un problema de validación de entrada en el manejo de volúmenes UDF que presentan errores. Abrir un archivo ISO creado con fines malintencionados puede provocar un apagado inesperado del sistema. Esta actualización soluciona el problema mediante la validación mejorada de las entradas. Gracias a Mauro Notarianni de PCAX Solutions por informar de este problema.

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: