Acerca del contenido de seguridad de la actualización de seguridad 2010-002 para Mac OS X v10.6.3
En este documento se describe el contenido de seguridad de la actualización de seguridad 2010-002 para Mac OS X v10.6.3.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Actualización de seguridad 2010-002 para Mac OS X v10.6.3
AppKit
ID de CVE: CVE-2010-0056
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: comprobar la ortografía de un documento creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en la función de comprobación de la ortografía que utilizan las aplicaciones de Cocoa. Comprobar la ortografía de un documento creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.
Firewall de aplicaciones
ID de CVE: CVE-2009-2801
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: algunas reglas del firewall de aplicaciones pueden desactivarse después de reiniciar
Descripción: un problema con la sincronización del firewall de aplicaciones puede desactivar algunas reglas después de reiniciar. Este problema se ha solucionado mejorando la gestión de las reglas del firewall. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Michael Kisor de OrganicOrb.com por informar de este problema.
AFP Server
ID de CVE: CVE-2010-0057
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: cuando se desactiva el acceso de invitado, un usuario remoto puede montar servidores AFP como invitado
Descripción: un problema con el control de acceso al AFP Server puede permitir que un usuario remoto monte servidores AFP como invitado, incluso con el acceso de invitado desactivado. Este problema se ha solucionado mejorando las comprobaciones de control de acceso. Gracias a Apple.
AFP Server
ID de CVE: CVE-2010-0533
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario remoto con acceso de invitado a un servidor AFP puede acceder al contenido de los archivos accesibles por cualquier usuario fuera del servidor público
Descripción: existe un problema de denegación de directorios en la validación de la ruta de servidores AFP. Un usuario remoto puede enumerar el directorio raíz del servidor y leer o escribir archivos de ese directorio accesibles por el usuario “nobody” (nadie). Este problema se ha solucionado mejorando la gestión de las rutas de los archivos. Gracias a Patrik Karlsson por informar de este problema.
Apache
ID de CVE: CVE-2009-3095
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede omitir las restricciones de control de acceso
Descripción: existe un problema de validación de las entradas en la gestión de las solicitudes del proxy FTP por parte de Apache. Un atacante remoto con la capacidad de enviar solicitudes a través del proxy puede omitir las restricciones de control de acceso especificadas en la configuración de Apache. Este problema se ha solucionado actualizando Apache a la versión 2.2.14.
ClamAV
ID de CVE: CVE-2010-0058
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: puede que las definiciones de virus de ClamAV no se actualicen
Descripción: se ha introducido un problema de configuración en la actualización de seguridad 2009-005 que impide la ejecución de freshclam. Esto puede evitar que se actualicen las definiciones de virus. Este problema se ha solucionado actualizando los valores clave de ProgramArguments del archivo plist de launchd de freshclam. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Bayard Bell, Wil Shipley de Delicious Monster, y David Ferrero de Zion Software, LLC por informar de este problema.
CoreAudio
ID de CVE: CVE-2010-0059
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la reproducción de contenido de audio creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de contenido de audio codificado con QDM2. Reproducir contenido de audio creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
CoreAudio
ID de CVE: CVE-2010-0060
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: reproducir contenido de audio creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de contenido de audio codificado con QDMC. Reproducir contenido de audio creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
CoreMedia
ID de CVE: CVE-2010-0062
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en la gestión de archivos de vídeo codificados con H.263 por parte de CoreMedia. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con H.263. Gracias a Damian Put y un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
CoreTypes
ID de CVE: CVE-2010-0063
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: no se advierte a los usuarios antes de abrir determinados tipos de contenido potencialmente peligrosos
Descripción: esta actualización añade .ibplugin y .url a la lista de tipos de contenido que se marcarán como potencialmente peligrosos bajo determinadas circunstancias, como al descargarlos desde una página web. Aunque estos tipos de contenido no se inician automáticamente, si se abren manualmente pueden provocar la ejecución de una carga útil JavaScript diseñada con fines malintencionados o la ejecución de código arbitrario. Esta actualización mejora la capacidad de notificación del sistema a los usuarios antes de manipular los tipos de contenido utilizados por Safari. Gracias a Clint Ruoho de Laconic Security por informar de este problema.
CUPS
ID de CVE: CVE-2010-0393
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario local puede obtener privilegios del sistema
Descripción: existe un problema de cadena de formato en la utilidad lppasswd de CUPS. Esto puede permitir a un usuario local obtener privilegios del sistema. Solo afecta a los sistemas Mac OS X v10.6 si el bit setuid está configurado en el archivo binario. Este problema se ha solucionado utilizando directorios predeterminados al ejecutarse como proceso setuid. Gracias a Ronald Volgers por informar de este problema.
curl
ID de CVE: CVE-2009-2417
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante intermediario puede hacerse pasar por un servidor fiable
Descripción: existe un problema de canonicalización en la gestión de los caracteres NULL en el campo Nombre común (CN) del sujeto en los certificados X.509 por parte de curl. Esto puede provocar ataques de intermediario contra usuarios de la herramienta de línea de comando curl o aplicaciones que utilicen libcurl. Este problema se ha solucionado mejorando la gestión de los caracteres NULL.
curl
ID de CVE: CVE-2009-0037
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: el uso de curl con -L puede permitir a un atacante remoto leer o escribir archivos locales
Descripción: curl seguirá los redireccionamientos HTTP y HTTPS cuando se utiliza con la opción -L. Cuando curl sigue un redireccionamiento, admite URL del tipo file://. Esto puede permitir que un atacante remoto acceda a los archivos locales. Este problema se ha solucionado mejorando la validación de los redireccionamientos. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Daniel Stenberg de Haxx AB por informar de este problema.
Cyrus IMAP
ID de CVE: CVE-2009-2632
Disponible para: Mac OS X Server v10.5.8
Impacto: un usuario local puede obtener los privilegios del usuario de Cyrus
Descripción: existe un desbordamiento de búfer en la gestión de los scripts de sieve. Al ejecutar un script de sieve creado con fines malintencionados, un usuario local puede obtener los privilegios del usuario de Cyrus. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6.
Cyrus SASL
ID de CVE: CVE-2009-0688
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un atacante remoto no autenticado puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en el módulo de autenticación de Cyrus SASL. El uso de la autenticación de Cyrus SASL puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6.
DesktopServices
ID de CVE: CVE-2010-0064
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: los elementos copiados en el Finder se pueden asignar a un propietario inesperado
Descripción: al realizar una copia autenticada en el Finder, la propiedad del archivo original se puede copiar inesperadamente. Esta actualización ha solucionado el problema garantizando que los archivos copiados pertenezcan al usuario que está realizando la copia. Este problema no afecta a sistemas anteriores a Mac OS X v10.6. Gracias a Gerrit DeWitt de la Universidad de Auburn (Auburn, AL) por informar de este problema.
DesktopServices
ID de CVE: CVE-2010-0537
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede obtener acceso a los datos del usuario mediante un ataque en varias etapas
Descripción: un problema de resolución de rutas en DesktopServices es vulnerable a un ataque en varias etapas. Un atacante remoto puede incitar en primer lugar al usuario a montar un servidor con un nombre arbitrario, que se puede hacer mediante un esquema de URL. Al guardar un archivo usando el panel de guardado predeterminado de cualquier aplicación y utilizar “Ir a la carpeta” o arrastrar carpetas al panel de guardado, los datos pueden guardarse inesperadamente en el servidor creado con fines malintencionados. Este problema se ha solucionado mejorando la resolución de rutas. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a Sidney San Martin, que trabaja con DeepTech, Inc., por informar de este problema.
Disk Images
ID de CVE: CVE-2010-0065
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: el montaje de una imagen de disco creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de imágenes de disco comprimidas mediante bzip2. El montaje de una imagen de disco creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Apple.
Disk Images
ID de CVE: CVE-2010-0497
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: el montaje de una imagen de disco creada con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: existe un problema de diseño en la gestión de imágenes de disco con conexión a Internet. El montaje de una imagen de disco con acceso a Internet que contenga un archivo tipo paquete provocará que se abra en lugar de mostrarlo en el Finder. La función de cuarentena de este archivo ayuda a mitigar el problema al mostrar un cuadro de diálogo de advertencia para los tipos de archivo peligrosos. Este problema se ha solucionado mejorando la gestión de los archivos tipo paquete en imágenes de disco con conexión a Internet. Gracias a Brian Mastenbrook, que trabaja con Zero Day Initiative de TippingPoint, por informar de este problema.
Directory Services
ID de CVE: CVE-2010-0498
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario local puede obtener privilegios del sistema
Descripción: un problema de autorización en la gestión de los nombres de registro por parte de Directory Services puede permitir que un usuario local obtenga privilegios del sistema. Este problema se ha solucionado mejorando las comprobaciones de autorización. Gracias a Apple.
Dovecot
ID de CVE: CVE-2010-0535
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario autenticado puede enviar y recibir correos aunque no esté en la SACL de usuarios con permiso para hacerlo
Descripción: existe un problema de control de acceso en Dovecot cuando la autenticación Kerberos está activada. Esto puede permitir que un usuario autenticado envíe y reciba correos aunque no se encuentre en la lista de control de acceso del servicio (SACL) de usuarios con permiso para hacerlo. Este problema se ha solucionado mejorando las comprobaciones de control de acceso. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.
Event Monitor
ID de CVE: CVE-2010-0500
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede provocar que se añadan sistemas arbitrarios a la lista negra del firewall
Descripción: se lleva a cabo una búsqueda inversa de DNS en clientes ssh remotos que no consiguen autenticarse. Existe un problema de inyección de plist en la gestión de los nombres DNS resueltos. Esto puede permitir que un atacante remoto provoque la incorporación de sistemas arbitrarios a la lista negra del firewall. Este problema se ha solucionado escapando adecuadamente los nombres DNS resueltos. Gracias a Apple.
FreeRADIUS
ID de CVE: CVE-2010-0524
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede obtener acceso a la red mediante la autenticación RADIUS
Descripción: existe un problema de autenticación del certificado en la configuración predeterminada del servidor FreeRADIUS del Mac OS X. Un atacante remoto puede utilizar EAP-TLS con un certificado válido arbitrario para autenticarse y conectarse a una red configurada para utilizar la autenticación FreeRADIUS. Este problema se ha solucionado desactivando la compatibilidad con EAP-TLS en la configuración. Los clientes de RADIUS deben utilizar EAP-TTLS en su lugar. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a Chris Linstruth de Qnet por informar de este problema.
FTP Server
ID de CVE: CVE-2010-0501
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: los usuarios pueden recuperar archivos fuera del directorio raíz del FTP
Descripción: existe un problema de acceso indebido a los directorios de FTP Server. Esto puede permitir que un usuario recupere archivos fuera del directorio raíz del FTP. Este problema se ha solucionado mejorando la gestión de los nombres de archivos. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a Apple.
iChat Server
ID de CVE: CVE-2006-1329
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede provocar una denegación de servicio
Descripción: existe un problema de implementación en la gestión de la negociación SASL por parte de jabberd. Un atacante remoto puede hacer que jabberd deje de funcionar. Este problema se ha solucionado mejorando la gestión de la negociación SASL. Este problema afecta únicamente a los sistemas Mac OS X Server.
iChat Server
ID de CVE: CVE-2010-0502
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: puede que los mensajes de chat no se registren
Descripción: existe un problema de diseño en la compatibilidad de iChat Server con el registro de chats grupales configurable. iChat Server solo registra mensajes de un tipo determinado. Esto puede provocar que un usuario remoto envíe un mensaje a través del servidor sin que quede registrado. El problema se ha solucionado eliminando la posibilidad de desactivar los registros de chats grupales y registrando todos los mensajes que se envían en el servidor. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a Apple.
iChat Server
ID de CVE: CVE-2010-0503
Disponible para: Mac OS X Server v10.5.8
Impacto: un usuario autenticado puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de uso después de estar libre en iChat Server. Un usuario autenticado puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona mejorando el seguimiento de las referencias de memoria. Este problema afecta únicamente a los sistemas Mac OS X Server y no afecta a los sistemas con la versión 10.6 o posteriores.
iChat Server
ID de CVE: CVE-2010-0504
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario autenticado puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existen varios problemas de desbordamiento del búfer de pila en iChat Server. Un usuario autenticado puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Estos problemas se han solucionado mejorando la gestión de memoria. Estos problemas afectan únicamente a los sistemas Mac OS X Server. Gracias a Apple.
CoreGraphics
ID de CVE: CVE-2010-0505
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de una imagen creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer de memoria dinámica en la gestión de imágenes JP2. La visualización de una imagen JP2 creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Chris Ries de Carnegie Mellon University Computing Services y al investigador “85319bb6e6ab398b334509c50afce5259d42756e“, que trabaja con Zero Day Initiative de TippingPoint, por informar de este problema.
ImageIO
ID de CVE: CVE-2010-0041
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web.
Descripción: existe un problema de acceso a la memoria no inicializada en la gestión de las imágenes BMP por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante una mejor inicialización de la memoria y una validación adicional de las imágenes BMP. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.
ImageIO
ID de CVE: CVE-2010-0042
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web
Descripción: existe un problema de acceso a la memoria no inicializada en la gestión de las imágenes TIFF por parte de ImageIO. Visitar un sitio web creado con fines malintencionados puede provocar el envío de datos de la memoria de Safari al sitio web. Este problema se soluciona mediante una mejor inicialización de la memoria y una validación adicional de las imágenes TIFF. Gracias a Matthew 'j00ru' Jurczyk de Hispasec por informar de este problema.
ImageIO
ID de CVE: CVE-2010-0043
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la apertura de una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de imágenes TIFF. Procesar una imagen TIFF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Este problema se ha solucionado mediante la mejora de la gestión de la memoria. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a Gus Mueller de Flying Meat por informar de este problema.
Image RAW
ID de CVE: CVE-2010-0506
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: la visualización de una imagen NEF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en la gestión de imágenes NEF por parte de Image RAW. La visualización de una imagen NEF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.
Image RAW
ID de CVE: CVE-2010-0507
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de una imagen PEF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en la gestión de imágenes PEF por parte de Image RAW. La visualización de una imagen PEF creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Chris Ries de Carnegie Mellon University Computing Services por informar de este problema.
Libsystem
ID de CVE: CVE-2009-0689
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: las aplicaciones que convierten datos no fiables entre formato binario de coma flotante y texto pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en el código de conversión del formato binario de coma flotante a texto mediante Libsystem. Un atacante que pueda hacer que una aplicación convierta un valor de coma flotante en una cadena larga, o que analice una cadena creada con fines malintencionados como un valor de coma flotante, podría provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Maksymilian Arciemowicz de SecurityReason.com por informar de este problema.
Mail
ID de CVE: CVE-2010-0508
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: las reglas asociadas a una cuenta de correo eliminada siguen activas
Descripción: cuando se elimina una cuenta de correo, las reglas de filtrado definidas por el usuario asociadas a esa cuenta siguen activas. Esto puede provocar acciones inesperadas. Este problema se ha solucionado desactivando las reglas asociadas cuando se elimina una cuenta de correo.
Mail
ID de CVE: CVE-2010-0525
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: Mail puede utilizar una clave de cifrado menos segura para los correos electrónicos salientes
Descripción: existe un problema lógico en la gestión de los certificados de cifrado por parte de Mail. Cuando existen varios certificados del destinatario en el llavero, Mail puede seleccionar una clave de cifrado cuya función no sea la de cifrar. Esto puede provocar un problema de seguridad si la clave elegida es menos segura de lo esperado. Este problema se ha solucionado garantizando que la extensión de uso de claves de los certificados se evalúe al seleccionar una clave de cifrado para el correo. Gracias a Paul Suh de ps Enable, Inc. por informar de este problema.
Mailman
ID de CVE: CVE-2008-0564
Disponible para: Mac OS X Server v10.5.8
Impacto: varias vulnerabilidades en Mailman 2.1.9
Descripción: existen varios problemas de ejecución de secuencias de comandos entre sitios en Mailman 2.1.9. Estos problemas se han solucionado actualizando Mailman a la versión 2.1.13. Se puede encontrar más información en el sitio de Mailman en http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Estos problemas afectan únicamente a los sistemas Mac OS X Server y no afectan a los sistemas con la versión 10.6 o posteriores.
MySQL
ID de CVE: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030
Disponible para: Mac OS X Server v10.6 a v10.6.2
Impacto: varias vulnerabilidades en MySQL 5.0.82
Descripción: MySQL se ha actualizado a la versión 5.0.88 para solucionar varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Estos problemas afectan únicamente a los sistemas Mac OS X Server. Más información en el sitio web de MySQL en http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
OS Services
ID de CVE: CVE-2010-0509
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario local puede obtener privilegios de alto nivel
Descripción: existe un problema de escalado de privilegios en SFLServer, dado que se ejecuta en modo “wheel” y accede a los archivos en los directorios de inicio de los usuarios. Este problema se ha solucionado mejorando la gestión de privilegios. Gracias a Kevin Finisterre de DigitalMunition por informar de este problema.
Password Server
ID de CVE: CVE-2010-0510
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede iniciar sesión con una contraseña antigua
Descripción: un problema de implementación en la gestión de la replicación de Password Server puede provocar que las contraseñas no se repliquen. Un atacante remoto puede iniciar sesión en el sistema con una contraseña antigua. Este problema se ha solucionado mejorando la gestión de la replicación de contraseñas. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a Jack Johnson de Anchorage School District por informar de este problema.
perl
ID de CVE: CVE-2008-5302, CVE-2008-5303
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un usuario local puede provocar la eliminación de archivos arbitrarios
Descripción: existen varios problemas de condición de carrera en la función rmtree del módulo File::Path de perl. Un usuario local con acceso de escritura a un directorio que está siendo eliminado puede provocar que se eliminen archivos arbitrarios con los privilegios del proceso de perl. Este problema se ha solucionado mejorando la gestión de los enlaces simbólicos. Este problema no afecta a los sistemas Mac OS X v10.6.
PHP
ID de CVE: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: múltiples vulnerabilidades en PHP 5.3.0
Descripción: PHP se ha actualizado a la versión 5.3.1 para solucionar varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Más información en el sitio web de PHP en http://www.php.net/
PHP
ID de CVE: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: varias vulnerabilidades en PHP 5.2.11
Descripción: PHP se ha actualizado a la versión 5.2.12 para solucionar varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de secuencias de comandos entre sitios. Más información en el sitio web de PHP en http://www.php.net/
Podcast Producer
ID de CVE: CVE-2010-0511
Disponible para: Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario no autorizado puede acceder a un flujo de trabajo de Podcast Composer
Descripción: cuando se sobrescribe un flujo de trabajo de Podcast Composer, se eliminan las restricciones de acceso. Esto puede permitir que un usuario no autorizado acceda a un flujo de trabajo de Podcast Composer. Este problema se ha solucionado mejorando la gestión de las restricciones de acceso a los flujos de trabajo. Podcast Composer se introdujo en Mac OS X Server v10.6.
Preferences
ID de CVE: CVE-2010-0512
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario de red puede omitir las restricciones de inicio de sesión en el sistema
Descripción: existe un problema de implementación en la gestión de las restricciones de inicio de sesión en el sistema para las cuentas de red. Si las cuentas de red con permiso para iniciar sesión en el sistema en la ventana de inicio de sesión se identifican únicamente por la pertenencia a grupos, la restricción no se llevará a cabo y todos los usuarios de red podrán iniciar sesión en el sistema. El problema se ha solucionado mejorando la gestión de la restricción de grupos en el panel de preferencias Cuentas. Este problema afecta únicamente a sistemas configurados para usar el servidor de una cuenta de red y no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a Christopher D. Grieb de la Universidad de Michigan MSIS por informar de este problema.
Image RAW
ID de CVE: CVE-2010-0513
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6
Impacto: la visualización de un archivo PostScript creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento de búfer en la gestión de archivos PostScript. La visualización de un archivo PostScript creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado realizando una validación adicional de los archivos PostScript. En los sistemas Mac OS X v10.6, este problema se ve mitigado gracias al indicador de compilador -fstack-protector. Gracias a Apple.
QuickTime
ID de CVE: CVE-2010-0062
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en la gestión de archivos de vídeo codificados con H.263 por parte de QuickTime. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con H.263. Gracias a Damian Put y un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0514
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en la gestión de archivos de vídeo codificados con H.261. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con H.261. Gracias a Will Dormann del CERT/CC por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0515
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de archivos de vídeo codificados con H.264. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con H.264. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0516
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: hay un desbordamiento del búfer de memoria dinámica en la gestión de archivos de vídeo codificados con RLE. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con RLE. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0517
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: hay un desbordamiento del búfer de memoria dinámica en la gestión de archivos de vídeo codificados con M-JPEG. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con M-JPEG. Gracias a Damian Put y un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0518
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: existe un problema de corrupción de memoria en la gestión de archivos de vídeo codificados con Sorenson. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con Sorenson. Gracias a Will Dormann del CERT/CC por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0519
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de enteros en la gestión de archivos de vídeo codificados con FlashPix. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0520
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en la gestión de archivos de vídeo codificados con FLC. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con FLC. Gracias a Moritz Jodeit de n.runs AG, que trabaja con Zero Day Initiative de TippingPoint, y a Nicolas Joly de VUPEN Security por informar de este problema.
QuickTime
ID de CVE: CVE-2010-0526
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de un archivo MPEG creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento de búfer de memoria dinámica en la gestión de archivos de vídeo codificados con MPEG. Visualizar un archivo de vídeo creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se soluciona realizando una validación adicional de los archivos de vídeo codificados con MPEG. Gracias a un investigador anónimo que trabaja con Zero Day Initiative de TippingPoint por informar de este problema.
Ruby
ID de CVE: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: varios problemas en Ruby on Rails
Descripción: existen varias vulnerabilidades en Ruby on Rails, la más grave de las cuales puede provocar la ejecución de secuencias de comandos entre sitios. En los sistemas Mac OS X v10.6, estos problemas se han solucionado actualizando Ruby on Rails a la versión 2.3.5. A los sistemas Mac OS X v10.5 solo les afecta CVE-2009-4214 y este problema se ha solucionado mejorando la validación de argumentos en strip_tags.
Ruby
ID de CVE: CVE-2009-1904
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la ejecución de un script Ruby que utilice una entrada no fiable para inicializar un objeto BigDecimal puede provocar el cierre inesperado de la aplicación
Descripción: existe un problema de agotamiento de pila en la gestión de objetos BigDecimal con valores muy grandes por parte de Ruby. La ejecución de un script de Ruby que utilice una entrada no fiable para inicializar un objeto BigDecimal puede provocar el cierre inesperado de la aplicación. En los sistemas Mac OS X v10.6, este problema se ha solucionado actualizando Ruby a la versión 1.8.7-p173. En los sistemas Mac OS X v10.5, este problema se ha solucionado actualizando Ruby a la versión 1.8.6-p369.
Server Admin
ID de CVE: CVE-2010-0521
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede extraer información de Open Directory
Descripción: existe un problema de diseño en la gestión del enlace de directorios autenticados. Un atacante remoto puede extraer información de forma anónima de Open Directory, aunque la opción “Require authenticated binding between directory and clients“ (Requerir enlace autenticado entre el directorio y los clientes) esté desactivada. Este problema se ha solucionado eliminando esta opción de configuración. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a Scott Gruby de Gruby Solutions y Mathias Haack de GRAVIS Computervertriebsgesellschaft mbH por informar de este problema.
Server Admin
ID de CVE: CVE-2010-0522
Disponible para: Mac OS X Server v10.5.8
Impacto: un antiguo administrador puede tener acceso no autorizado a la función de compartir pantalla
Descripción: un usuario que se ha eliminado del grupo “admin“ puede seguir conectándose al servidor mediante la función de pantalla compartida. Este problema se ha solucionado mejorando los privilegios de administrador. Este problema afecta únicamente a los sistemas Mac OS X Server y no afecta a los sistemas con la versión 10.6 o posteriores. Gracias a Apple.
SMB
ID de CVE: CVE-2009-2906
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un atacante remoto puede causar una denegación de servicio
Descripción: existe un problema de bucle infinito en la gestión de las notificaciones de interrupción de “oplock“ de SMB por parte de Samba. Un atacante remoto puede crear un bucle infinito en smbd que consumiría demasiados recursos de la CPU. El problema se ha solucionado mejorando la gestión de las notificaciones de interrupción de “oplock“.
Tomcat
ID de CVE: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 a v10.6.2
Impacto: varias vulnerabilidades en Tomcat 6.0.18
Descripción: Tomcat se ha actualizado a la versión 6.0.24 para solucionar varias vulnerabilidades, la más grave de las cuales puede provocar un ataque de ejecución de secuencias de comandos entre sitios. Tomcat solo está disponible en sistemas Mac OS X Server. Hay más información disponible en el sitio web de Tomcat en http://tomcat.apache.org/
unzip
ID de CVE: CVE-2008-0888
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: la extracción de archivos comprimidos creados con fines malintencionados mediante la herramienta de comando de descompresión puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: existe un problema de puntero no inicializado en la gestión de archivos comprimidos. La extracción de un archivo comprimido creado con fines malintencionados mediante la herramienta de comando de descompresión puede provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado realizando una validación adicional de los archivos comprimidos. Este problema no afecta a los sistemas Mac OS X v10.6.
vim
ID de CVE: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: varias vulnerabilidades en vim 7.0
Descripción: existen varias vulnerabilidades en vim 7.0, la más grave de las cuales puede provocar la ejecución de código arbitrario al trabajar con archivos creados con fines malintencionados. Estos problemas se han solucionado actualizando a vim 7.2.102. Estos problemas no afectan a los sistemas Mac OS X v10.6. Hay más información disponible en el sitio web de vim en http://www.vim.org/
Wiki Server
ID de CVE: CVE-2010-0523
Disponible para: Mac OS X Server v10.5.8
Impacto: cargar un applet creado con fines malintencionados puede provocar la divulgación de información confidencial
Descripción: Wiki Server permite a los usuarios cargar contenido activo como applets Java. Un atacante remoto puede obtener información confidencial cargando un applet creado con fines malintencionados y haciendo que lo vea un usuario de Wiki Server. Este problema se ha solucionado usando una cookie especial de autenticación única que solo sirve para descargar un archivo adjunto específico. Este problema afecta únicamente a los sistemas Mac OS X Server y no afecta a los sistemas con la versión 10.6 o posteriores.
Wiki Server
ID de CVE: CVE-2010-0534
Disponible para: Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: un usuario autenticado puede omitir las restricciones de creación de weblog
Descripción: Wiki Server es compatible con las listas de control de acceso del servicio (SACL), por lo que un administrador puede controlar la publicación de contenido. Wiki Server no consulta la SACL de weblog cuando un usuario crea un weblog. Esto puede permitir que un usuario no autenticado publique contenido en Wiki Server aunque la ACL del servicio lo prohíba. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.
X11
ID de CVE: CVE-2009-2042
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de una imagen creada con fines malintencionados puede provocar la divulgación de información confidencial
Descripción: libpng se ha actualizado a la versión 1.2.37 para solucionar un problema que puede provocar la divulgación de información confidencial. En el sitio de libpng hay más información disponible: http://www.libpng.org/pub/png/libpng.html
X11
ID de CVE: CVE-2003-0063
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 a v10.6.2, Mac OS X Server v10.6 a v10.6.2
Impacto: la visualización de datos creados con fines malintencionados en un terminal xterm puede provocar la ejecución de código arbitrario
Descripción: el programa xterm admite una secuencia de comando para cambiar el título de la ventana y para imprimir el título de la ventana en el terminal. La información devuelta se proporciona al terminal como si fuera una entrada del teclado del usuario. En un terminal xterm, la visualización de datos creados con fines malintencionados que contengan tales secuencias puede dar lugar a la inyección de comandos. Este problema se ha solucionado desactivando la secuencia de comandos afectada.
xar
ID de CVE: CVE-2010-0055
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un paquete modificado puede aparecer con una firma válida
Descripción: existe un problema de diseño en xar al validar la firma de un paquete. Esto puede provocar que un paquete modificado aparezca con una firma válida. Este problema ha solucionado mejorando la validación de las firmas de los paquetes. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.
Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.