Acerca del contenido de seguridad de la actualización de seguridad 2009- 001

  • Última modificación: 13 marzo, 2009
  • de artículo:: HT3438

Resumen

En este documento se describe la actualización de seguridad 2009-001, que puede descargarse e instalarse mediante las preferencias de Actualización del software, o desde las Descargas de Apple.

Para la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una exhaustiva investigación y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulte "Actualizaciones de seguridad de Apple".

Productos afectados

Seguridad de los productos, Mac OS X 10.5.6, Mac OS X 10.4.11

Actualización de seguridad 2009-001

  • Servidor AFP

    CVE-ID: CVE-2009-0142

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: un usuario con capacidad de conectarse a un servidor AFP puede ocasionar una denegación de servicio.

    Descripción: un estado de carrera en un servidor AFP puede causar un bucle infinito. La enumeración de los archivos en un servidor AFP puede provocar una denegación de servicio. En esta actualización se soluciona el problema mejorando la lógica de enumeración de archivos. Este problema sólo afecta a sistemas que ejecuten Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la apertura de un archivo de película creado de manera malintencionada puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un problema que produce daños en la memoria al gestionar archivos de película mediante el uso del códec Pixlet. La apertura de un archivo de película creado de manera malintencionada puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Crédito: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la apertura de un archivo con un archivo resource fork creado malintencionadamente puede provocar la terminación inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: se ha producido un problema de daños en la memoria al gestionar los archivos resource fork del Resource Manager. La apertura de un archivo con un archivo resource fork creado malintencionadamente puede provocar la terminación inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora de la validación de archivos resource fork. Crédito: Apple.

  • CFNetwork

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: restaura el funcionamiento correcto de las cookies con fechas de caducidad nulas.

    Descripción: esta actualización resuelve una regresión que no afecta a la seguridad aparecida en Mac OS X 10.5.6. Las cookies no se pueden configurar correctamente si un sitio web intenta establecer una cookie de sesión proporcionando un valor nulo en el campo de "caducidad", en lugar de omitir dicho campo. Esta actualización resuelve el problema ignorando el campo de "caducidad" si el valor que contiene es nulo.

  • CFNetwork

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: restaura el funcionamiento correcto de las cookies de sesión en las aplicaciones.

    Descripción: esta actualización resuelve una regresión que no afecta a la seguridad aparecida en Mac OS X 10.5.6. CFNetwork no puede guardar las cookies en el disco si varias aplicaciones abiertas intentan establecer las cookies de sesión. Esta actualización resuelve el problema garantizando que cada aplicación guarda sus cookies de sesión por separado.

  • Asistente para Certificados

    CVE-ID: CVE-2009-0011

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: un usuario local puede manipular archivos con los privilegios de otro usuario que ejecute el Asistente para Certificados.

    Descripción: existe una operación de archivo insegura en la gestión de archivos temporales del Asistente para Certificados. Esto podría permitir que un usuario local sobrescriba los archivos con los privilegios de otro usuario que esté ejecutando el Asistente para Certificados. Esta actualización revuelve el problema mediante la mejora de la gestión de los archivos temporales. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Crédito: Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    Disponible para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: varias vulnerabilidades en ClamAV 0.94.

    Descripción: existen varias vulnerabilidades en ClamAV 0.94; la más grave puede conducir a la ejecución de código arbitrario. Esta actualización resuelve los problemas mediante la actualización de ClamAV a la versión 0.94.2. ClamAV se distribuye únicamente con sistemas Mac OS X Server. Para obtener más información, visita el sitio web de ClamAV enhttp://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la visualización de contenido Unicode creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: se puede producir un desbordamiento del búfer de memoria dinámica al procesar cadenas Unicode en CoreText. El uso de CoreText para gestionar cadenas Unicode creadas malintencionadamente, como la visualización de una página web creada de forma malintencionada, puede provocar la terminación inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Rosyna de Unsanity por informar acerca de este problema.

  • CUPS

    CVE-ID: CVE-2008-5183

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la visita a un sitio web creado con fines malintencionados puede provocar la terminación inesperada de la aplicación.

    Descripción: si se supera el número máximo de suscripciones RSS, puede producirse un problema de falta de referencia a un puntero nulo en la interfaz web de CUPS. Esto puede provocar la terminación inesperada de una aplicación al visitar un sitio web creado de forma malintencionada. Para desencadenar este problema, el atacante debe conocer las credenciales válidas de un usuario o que éstas se encuentren en caché en el explorador web del usuario. CUPS se reiniciará automáticamente en cuanto se produzca el problema. Esta actualización resuelve el problema mediante la gestión adecuada del número de suscripciones RSS. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • Herramientas DS

    CVE-ID: CVE-2009-0013

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: otros usuarios locales pueden ver las contraseñas suministradas a dscl.

    Descripción: la herramienta de línea de comandos dscl requería que las contraseñas fuesen pasadas en sus argumentos, exponiéndose potencialmente las contraseñas a los usuarios locales. Entre las contraseñas expuestas se incluyen las de usuarios y administradores. En esta actualización, el parámetro de contraseña es opcional y dscl solicitará la contraseña si es necesario. Crédito: Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: múltiples vulnerabilidades en fetchmail 6.3.8.

    Descripción: existen varias vulnerabilidades en fetchmail versión 6.3.8. La más grave de ellas puede ocasionar una denegación del servicio. Esta actualización soluciona los problemas mediante la actualización a la versión 6.3.9. Puedes encontrar más información en el sitio web de fetchmail en http://fetchmail.berlios.de/.

  • Administrador de carpetas

    CVE-ID: CVE-2009-0014

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: otros usuarios locales pueden acceder a la carpeta Descargas.

    Descripción: existe un problema de permisos predeterminados en el Administrador de carpetas. Cuando un usuario elimine su carpeta de Descargas y el Administrador de carpetas vuelve a crearla, ésta se crea con permiso de lectura para cualquier usuario. Esta actualización resuelve el problema mediante la limitación de los permisos del Administrador de carpetas, de forma que el usuario sea el único que pueda acceder a la carpeta. Este problema afecta únicamente a las aplicaciones que utilizan el Administrador de carpetas. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Graham Perrin de CENTRIM, University of Brighton, por informar acerca de este problema.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: mediante el uso de la estructura FSEvents, un usuario local puede ver la actividad del sistema de archivos, que no estaría disponible de otro modo.

    Descripción: existe un problema de gestión de credenciales en fseventsd. Mediante el uso de la estructura FSEvents, un usuario local puede ver la actividad del sistema de archivos, que no estaría disponible de otro modo. Esto incluye el nombre de un directorio que el usuario no podría ver de otra forma, y permite detectar la actividad en el directorio en un momento determinado. Esta actualización resuelve el problema mediante la validación mejorada de las credenciales en fseventsd. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Mark Dalrymple por informar acerca de este problema.

  • Horario de red

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la configuración del servicio de Horario de red se ha actualizado.

    Descripción: como medida de seguridad proactiva, esta actualización cambia la configuración predeterminada del servicio Horario de red. La información sobre el horario y la versión del sistema ya no estará disponible en la configuración de ntpd predeterminada. En sistemas Mac OS X v10.4.11, la nueva configuración surte efecto tras reiniciar el sistema una vez activado el servicio Horario de red.

  • perl

    CVE-ID: CVE-2008-1927

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: el uso de expresiones normales que contienen caracteres UTF-8 puede provocar la terminación inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: existe un problema causado por la gestión de determinados caracteres UTF-8 en expresiones normales, que puede producir daños en la memoria. El análisis de expresiones normales creadas de forma malintencionada puede ocasionar la terminación inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización resuelve el problema realizando una validación adicional de las expresiones normales.

  • Impresión

    CVE-ID: CVE-2009-0017

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: un usuario local puede obtener privilegios de sistema.

    Descripción: se ha producido un problema en la gestión de errores en csregprinter, que puede producir un desbordamiento del búfer de memoria dinámica. Esto puede permitir que un usuario local obtenga privilegios del sistema. En esta actualización se aborda el problema mediante la gestión de errores mejorada. Gracias a Lars Haulin por informar acerca de este problema.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: múltiples vulnerabilidades en python.

    Descripción: existen varias vulnerabilidades en python. La más grave puede provocar la ejecución de código arbitrario. En esta actualización el problema se resuelve aplicando revisiones del proyecto Python.

  • Eventos Apple Remotos

    CVE-ID: CVE-2009-0018

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: el envío de Eventos Apple Remotos puede conllevar la revelación de información importante.

    Descripción: existe un problema de búfer no inicializado en el servidor de Eventos Apple Remotos, que puede provocar la revelación de contenido de la memoria a clientes de la red. Esta actualización resuelve el problema mediante la correcta inicialización de la memoria. Crédito: Apple.

  • Eventos Apple Remotos

    CVE-ID: CVE-2009-0019

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la activación de los Eventos Apple Remotos puede provocar la terminación inesperada de una aplicación o la revelación de información importante.

    Descripción: existe un acceso a la memoria fuera de los límites en los Eventos Apple Remotos. La activación de los Eventos Apple Remotos puede provocar la terminación inesperada de una aplicación o la revelación de información importante a los clientes de red. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Crédito: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: el acceso a direcciones URL de canal creadas de forma malintencionada puede provocar la ejecución de código arbitrario.

    Descripción: existen múltiples problemas de validación de datos introducidos al utilizar las direcciones URL de canal de Safari. El problema permite la ejecución de código JavaScript arbitrario en la zona de seguridad local. Esta actualización resuelve los problemas mediante la gestión mejorada de los códigos JavaScript incrustados en direcciones URL de canal. Gracias a Clint Ruoho de Laconic Security, Billy Rios de Microsoft y Brian Mastenbrook por informar acerca de estos problemas.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: los atacantes remotos pueden obtener acceso a Server Manager sin credenciales válidas.

    Descripción: un problema en la validación de Server Manager de las credenciales de autenticación puede permitir que un atacante modifique la configuración del sistema. En esta actualización se aborda el problema mediante la validación de credenciales de autenticación. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Crédito: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la conexión de un sistema de archivos SMB creado de forma malintencionada puede provocar el cierre inesperado del sistema o la ejecución de código arbitrario con privilegios de sistema.

    Descripción: un desbordamiento de enteros en el sistema de archivos SMB puede producir un desbordamiento en el búfer de memoria dinámica. La conexión a un sistema de archivos SMB creado de forma malintencionada puede provocar el cierre inesperado del sistema o la ejecución de código arbitrario con privilegios de sistema. Esta actualización resuelve el problema mediante la mejora de la comprobación de límites. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Crédito: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: la conexión al servidor de un sistema de archivos SMB creado de forma malintencionada puede provocar el cierre inesperado del sistema.

    Descripción: la memoria se ha agotado al gestionar los nombres de archivo del sistema del sistema de archivos SMB. La conexión al servidor de un sistema de archivos SMB creado de forma malintencionada puede provocar el cierre inesperado del sistema. Esta actualización resuelve el problema mediante la limitación de la cantidad de memoria asignada por el cliente para los nombres de archivo del sistema. Crédito: Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Disponible para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impacto: múltiples vulnerabilidades en SquirrelMail.

    Descripción: SquirrelMail se ha actualizado a la versión 1.4.17 para resolver distintas vulnerabilidades. La más grave de ellas es la ejecución de secuencias de comandos en varios sitios. Para obtener más información, visita el sitio web de SquirrelMail en http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: múltiples vulnerabilidades en X11 Server.

    Descripción: existen múltiples vulnerabilidades en X11 Server. La más grave de ellas podría provocar la ejecución de código arbitrario con los privilegios del usuario que ejecute X11 Server, si el atacante logra autenticarse en el mismo. Esta actualización resuelve los problemas aplicando las revisiones de actualización de X.Org. Encontrarás más información en el sitio web de X.Org http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: varios casos de vulnerabilidad en FreeType v2.1.4.

    Descripción: existen varios casos de vulnerabilidad en FreeType v2.1.4. Los más graves pueden provocar la ejecución de código arbitrario al procesar una fuente creada malintencionadamente. Esta actualización resuelve los problemas incorporando correcciones de seguridad de la versión 2.3.6 de FreeType. Puedes obtener más información a través del sitio de FreeType en http://www.freetype.org/ Los problemas ya se han resuelto en sistemas que ejecutan Mac OS X v10.5.6.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: varias vulnerabilidades en LibX11.

    Descripción: existen varias vulnerabilidades en LibX11. La más grave de ellas podría provocar la ejecución de código arbitrario al procesar una fuente creada malintencionadamente. Esta actualización resuelve los problemas aplicando las revisiones de actualización de X.Org. Puedes obtener más información en el sitio web de X.Org en http://www.x.org/wiki/Development/Security Estos problemas no afectan a sistemas que ejecuten Mac OS X v10.5 o posterior.

  • XTerm

    CVE-ID: CVE-2009-0141

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impacto: un usuario local puede enviar información directamente a otro usuario de Xterm.

    Descripción: existe un problema de permisos en Xterm. Cuando se utiliza con luit, Xterm crea dispositivos tty a los que puede acceder cualquier persona. Esta actualización resuelve los problemas mediante la limitación de los permisos en Xterm de forma que únicamente el usuario pueda acceder a los dispositivos tty.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem