Acerca del contenido de seguridad de la actualización de seguridad 2008-008 / Mac OS X v10.5.6

  • Última modificación: 15 mayo, 2009
  • de artículo:: HT3338

Resumen

Este documento describe el contenido de seguridad de la actualización de seguridad 2008-008 / Mac OS X v10.5.6, que puede descargarse e instalarse a través de las preferencias de Actualización de software o desde las descargas de Apple.

Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".

Productos afectados

Seguridad de los productos, Mac OS X 10.5

Actualización de seguridad 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visualización o descarga de un archivo PDF que contenga una fuente incrustada creada de manera malintencionada puede provocar la prohibición de acceso al servicio.

    Descripción: es posible que se produzca un bucle infinito en el manejo de fuentes incrustadas en los archivos PDF del servidor Apple Type Services. La visualización o descarga de un archivo PDF que contenga una fuente incrustada creada de manera malintencionada puede provocar la prohibición de acceso al servicio. Esta actualización resuelve el problema mediante una validación adicional de las fuentes incrustadas. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Michael Samarin y a Mikko Vihonen de Futurice Ltd. por informar de este problema.

  • BOM

    CVE-ID: CVE-2008-4217

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visualización o descarga de un archivo CPIO creado de manera malintencionada puede provocar la ejecución de código intruso o la finalización inesperada de una aplicación.

    Descripción: se produce un problema de signo en el manejo de cabeceras CPIO de BOM que puede provocar un desbordamiento del búfer de pila. La visualización o descarga de un archivo CPIO creado de manera malintencionada puede provocar la ejecución de código intruso o la finalización inesperada de una aplicación. Esta actualización resuelve el problema realizando una validación adicional de las cabeceras CPIO. Crédito: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visualización de una imagen creada de manera malintencionada puede provocar la finalización inesperada de una aplicación o la ejecución de código intruso.

    Descripción: existe un desbordamiento de un búfer dinámico en el manejo que hace CoreGraphics de los espacios de color. La visualización de una imagen creada de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código intruso. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Crédito: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la visita de un sitio web creado de manera malintencionada puede ocasionar la divulgación de información del usuario.

    Descripción: Safari permite que los sitios web establezcan cookies para dominios de nivel superior específicos de un país, lo que puede permitir que un atacante remoto lleve a cabo un ataque de fijación del período de sesión y se apropie de información del usuario. Esta actualización resuelve el problema realizando una validación adicional de los nombres de dominio. Gracias a Alexander Clauss de iCab.de por informar de este problema.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: es posible que no se genere un aviso al intentar ejecutar contenido descargado no seguro

    Descripción: Mac OS X proporciona la función de validación de descarga para indicar archivos potencialmente inseguros. Aplicaciones como Safari y otras utilizan la validación de descarga para advertir a los usuarios antes de que ejecuten archivos marcados como potencialmente inseguros. Esta actualización se añade a la lista de tipos potencialmente inseguros. Añade el tipo de contenido para los archivos que tienen permisos ejecutables y no están asociados a ninguna aplicación específica. Estos archivos son potencialmente inseguros ya que se iniciarán en Terminal y sus contenidos se ejecutarán como comandos. Si bien estos archivos no se inician automáticamente, si se abren manualmente pueden ocasionar la ejecución de código intruso. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • Plug-in de Flash Player

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: múltiples vulnerabilidades en el plug-in de Adobe Flash Player

    Descripción: existen múltiples problemas con el plug-in de Adobe Flash Player. El más grave de ellos puede provocar la ejecución de código intruso cuando se visualiza un sitio web creado de manera malintencionada. Los problemas se solucionan mediante la actualización a la versión 9.0.151.0 del plug-in de Flash Player. Para obtener más información, visita el sitio web de Adobe en http://www.adobe.com/es/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un usuario local puede obtener privilegios de sistema

    Descripción: existen problemas de desbordamiento de entero en las llamadas de sistema i386_set_ldt e i386_get_ldt, los cuales pueden permitir a un usuario local ejecutar un código intruso con privilegios de sistema. En esta actualización se solucionan los problemas mejorando la comprobación de los límites. Estos problemas no afectan a sistemas PowerPC. Gracias a Richard Vaneeden de IOActive, Inc. por informar de este problema.

  • Kernel

    CVE-ID: CVE-2008-4219

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la ejecución de un ejecutable que une bibliotecas dinámicas en una compartición NFS puede provocar que el sistema se cierre de forma inesperada.

    Descripción: es posible que se produzca un bucle infinito cuando un programa ubicado en una compartición NFS reciba una excepción. Esto puede provocar que el sistema se cierre de forma inesperada. En esta actualización este problema se resuelve mediante la mejora del control de las excepciones. Gracias a Ben Loer de la Universidad de Princeton por informar de este problema.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API inet_net_pton pueden ser vulnerables a la ejecución de código intruso o a la finalización inesperada de una aplicación.

    Descripción: existe un desbordamiento de entero en la API inet_net_pton de Libsystem, que puede provocar la ejecución de código intruso o la finalización inesperada de la aplicación que está utilizando la API. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Normalmente, no se producen llamadas de esta API con información no segura, y no se conoce ningún caso aprovechable. Se ofrece esta actualización para ayudar a mitigar los posibles ataques contra cualquier aplicación que utilice esta API.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API strptime pueden ser vulnerables a la ejecución de código intruso o a la finalización inesperada de una aplicación

    Descripción: existe un problema de corrupción de memoria en la API strptime de Libsystem. El análisis de una cadena de datos creada de manera malintencionada puede provocar la ejecución de código intruso o la finalización inesperada de la aplicación. En esta actualización se soluciona el problema mediante la mejora de la asignación de memoria. Crédito: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: las aplicaciones que utilizan la API strfmon pueden estar expuestas a una finalización inesperada o a la ejecución de código intruso.

    Descripción: existen múltiples desbordamientos de enteros en la implementación strfmon de Libsystem. Una aplicación que llama a strfmon con valores grandes de ciertos campos de enteros en el argumento de la cadena formato puede finalizar inesperadamente o provocar una ejecución de código intruso. En esta actualización se solucionan los problemas mejorando la comprobación de los límites.

  • Cliente gestionado

    CVE-ID: CVE-2008-4237

    Disponible para: Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: no se aplica la configuración del protector de pantalla.

    Descripción: el método mediante el cual el software de un sistema de cliente gestionado instala información de configuración per-host no siempre identifica correctamente el sistema. La configuración per-host, incluido el bloqueo del protector de pantalla, no se aplica en un sistema no identificado. Esta actualización resuelve el problema mediante el uso del cliente gestionado para la identificación correcta del sistema. Este problema no afecta a los sistemas con Ethernet incorporado. Gracias a John Barnes, de ESRI, y a Trevor Lalish-Menagh, de Tamman Technologies, Inc., por informar de este problema.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un atacante remoto puede ser capaz de provocar una prohibición de acceso al servicio si no está activada la opción de compartir la conexión a Internet

    Descripción: es posible que se produzca un bucle infinito en el manejo de paquetes TCP en natd. En el envío de un paquete TCP creado de manera malintencionada, un atacante remoto puede ser capaz de provocar una prohibición de acceso al servicio si no está activada la opción de compartir la conexión a Internet. Esta actualización resuelve el problema realizando una validación adicional de los paquetes TCP. Gracias a Alex Rosenberg, de Ohmantics, y a Gary Teter, de Paizo Publishing, por informar de este problema.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Disponible para: Mac OS X Server v10.5 hasta v10.5.5

    Impacto: un atacante remoto puede ser capaz de acceder a las funciones administrativas de Podcast Producer

    Descripción: existe un problema de omisión de autenticación en el servidor de Podcast Producer, el cual puede permitir a un usuario no autorizado acceder a las funciones administrativas del servidor. En esta actualización este problema se resuelve mediante la mejora del control de las restricciones de acceso. Podcast Producer se ha incorporado a Mac OS X Server v10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hasta v10.5.5, Mac OS X Server v10.5 hasta v10.5.5

    Impacto: la apertura de un archivo ISO puede provocar que el sistema se cierre de forma inesperada

    Descripción: se produce un problema de validación de entrada en el manejo de volúmenes UDF malformados. La apertura de un archivo ISO creado de manera malintencionada puede provocar que el sistema se cierre de forma inesperada. En esta actualización se soluciona el problema mediante la mejora de la validación de entrada. Gracias a Mauro Notarianni de PCAX Solutions por informar de este problema.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem