Acerca del contenido de seguridad de Mac OS X v10.6.8 y la actualización de seguridad 2011-004

Este documento describe el contenido de seguridad de Mac OS X v10.6.8 y la actualización de seguridad 2011-004.

Puedes descargar e instalar esta actualización desde las preferencias de Actualización de Software o en la página Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos de Apple”.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Mac OS X v10.6.8 y la actualización de seguridad 2011-004

  • AirPort

    Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8

    Impacto: Mientras se está conectado a una red Wi-Fi, un atacante de la misma red podría provocar el restablecimiento del sistema

    Descripción: Existía un problema de lectura de memoria fuera de los límites en la gestión de tramas Wi-Fi. Mientras se está conectado a una red Wi-Fi, un atacante de la misma red podría provocar el restablecimiento del sistema. Este problema no afecta a Mac OS X v10.6.

    ID CVE

    CVE-2011-0196

  • App Store

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La contraseña del ID de Apple del usuario puede haberse almacenado en un archivo local

    Descripción: En determinadas circunstancias, el App Store puede almacenar la contraseña del ID de Apple del usuario en un archivo que no pueden leer otros usuarios de sistema. Este problema se ha solucionado mejorando la gestión de las credenciales.

    ID CVE

    CVE-2011-0197: Paul Nelson

  • ATS

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados pueden provocar la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer de memoria dinámica en la gestión de tipos de letra TrueType. La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados puede provocar la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld del Red Hat Security Response Team

  • Política de confianza en certificados

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial

    Descripción: Existía un problema con la gestión de errores en la Política de confianza en certificados. Cuando un certificado de Validación ampliada (EV, por sus siglas en inglés) no posee una URL para el OCSP y la comprobación de la CRL está activada, la CRL no se comprobará y un certificado que se haya revocado podría aceptarse como válido. Este problema se ha resuelto, ya que la mayor parte de los certificados EV especifican una URL para el OCSP.

    ID CVE

    CVE-2011-0199: Chris Hawk y Wan-Teh Chang de Google

  • ColorSync

    Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8

    Impacto: Visualizar una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de imágenes con un perfil ColorSync integrado que podía provocar un desbordamiento del búfer de pila. La apertura de una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0200: binaryproof en colaboración con Zero Day Initiative de TippingPoint

  • CoreFoundation

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Las aplicaciones que utilizan la estructura CoreFoundation pueden ser vulnerables al cierre de la aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer de un byte en la gestión de CFStrings. Las aplicaciones que utilizan la estructura CoreFoundation pueden ser vulnerables al cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de tipos de letra de Tipo 1. La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados puede provocar la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0202: Cristian Draghici de Modulo Consulting, Felix Grobert del Google Security Team

  • Servidor FTP

    Disponible para: Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Una persona con acceso al FTP podría añadir archivos al sistema

    Descripción: Existía un problema de validación de rutas en xftpd. Una persona con acceso al FTP podría generar una lista recursiva de directorios que comience por el directorio raíz y que incluya directorios que no se comparten para el FTP. La lista incluirá finalmente cualquier archivo al que podría acceder el usuario del FTP. El contenido de los archivos no se revela. Este problema se soluciona mediante una validación de rutas mejorada. Este problema afecta únicamente a los sistemas Mac OS X Server.

    ID CVE

    CVE-2011-0203: Equipo karlkani

  • ImageIO

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de memoria dinámica en la gestión de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0204: Dominic Chell de NGS Secure

  • ImageIO

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer de memoria dinámica en la gestión de imágenes JPEG2000 por parte de ImageIO. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0205: Harry Sintonen

  • Componentes internacionales para Unicode

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Las aplicaciones que utilizan componentes internacionales para Unicode (ICU) podrían ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer en la gestión de cadenas con mayúsculas por parte de los ICU. Las aplicaciones que utilizan componentes internacionales para Unicode pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0206: David Bienvenu de Mozilla

  • Kernel

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Un usuario local podría provocar que el dispositivo se restableciese

    Descripción: Existía un problema de falta de referencia nula en la gestión de las opciones de socket para IPV6. Un usuario local podría provocar el restablecimiento del sistema.

    ID CVE

    CVE-2011-1132: Thomas Clement de Intego

  • Libsystem

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Las aplicaciones que utilizan la API glob(3) pueden ser vulnerables a una denegación de servicio

    Descripción: Las aplicaciones que utilizan la API glob(3) pueden ser vulnerables a una denegación de servicio. Si el patrón glob procede de una entrada que no sea de confianza, la aplicación puede colgarse o utilizar demasiados recursos de la CPU. Este problema se resuelve mejorando la validación de los patrones glob.

    ID CVE

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de las direcciones en la memoria dinámica

    Descripción: La implementación de libxsl de la función de XPath generate-id() divulgaba la dirección de un búfer de pila. La visita de un sitio web creado con fines malintencionados puede ocasionar la divulgación de las direcciones de la memoria dinámica. Este problema se resuelve generando un ID basado en la diferencia entre las direcciones de dos búferes de pila.

    ID CVE

    CVE-2011-0195: Chris Evans del Google Chrome Security Team

  • MobileMe

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Un atacante con una posición de red privilegiada podría leer los alias de correo electrónico de MobileMe de un usuario

    Descripción: Al comunicarse con MobileMe para determinar los alias de correo electrónico de un usuario, Mail realizará peticiones a través de HTTP. De este modo, un atacante con una posición de red privilegiada puede leer los alias de correo electrónico de MobileMe de un usuario. Este problema se resuelve utilizando SSL para acceder a los alias de correo electrónico del usuario.

    ID CVE

    CVE-2011-0207: Aaron Sigel de vtty.com

  • MySQL

    Disponible para: Mac OS X Server v10.5.8 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Varias vulnerabilidades en MySQL 5.0.91

    Descripción: MySQL se actualiza a la versión 5.0.92 para resolver varias vulnerabilidades. La más grave de ellas podría provocar la ejecución de código arbitrario. MySQL solo se suministra con sistemas Mac OS X Server.

    ID CVE

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Varias vulnerabilidades en OpenSSL

    Descripción: Existían varias vulnerabilidades en OpenSSL. La más grave de ellas podría provocar la ejecución de código arbitrario. Estos problemas se resuelven actualizando OpenSSL a la versión 0.9.8r.

    ID CVE

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • Corrección

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La ejecución de una corrección en un archivo de corrección creado con fines malintencionados puede provocar la creación o la sobrescritura de archivos arbitrarios

    Descripción: Existía un problema de denegación de directorios en la corrección de GNU. La ejecución de una corrección en un archivo de corrección creado con fines malintencionados puede provocar la creación o la sobrescritura de archivos arbitrarios. Este problema se resuelve mejorando la validación de los archivos de corrección.

    ID CVE

    CVE-2010-4651

  • QuickLook

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Descargar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.

    ID CVE

    CVE-2011-0208: Tobias Klein en colaboración con iDefense VCP

  • QuickTime

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La visualización de un archivo WAV creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de los archivos WAV RIFF por parte de QuickTime. La visualización de un archivo WAV creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0209: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de las tablas de muestra en los archivos de película por parte de QuickTime. La visualización de un archivo de película creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0210: Honggang Ren de FortiGuard Labs de Fortinet

  • QuickTime

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento de enteros en la gestión de archivos de película por parte de QuickTime. La visualización de un archivo de película creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0211: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer en la gestión de imágenes PICT por parte de QuickTime. La visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.

    ID CVE

    CVE-2010-3790: Subreption LLC en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer en la gestión de archivos JPEG por parte de QuickTime. La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0213: Luigi Auriemma en colaboración con iDefense

  • Samba

    Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8

    Impacto: Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de pila en la gestión de los ID de seguridad de Windows por parte de Samba. Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario. Para sistemas con Mac OS X v10.6, este problema se ha resuelto en Mac OS X 10.6.7.

    ID CVE

    CVE-2010-3069

  • Samba

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en la gestión de descriptores de archivos por parte de Samba. Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario.

    ID CVE

    CVE-2011-0719: Volker Lendecke de SerNet

  • servermgrd

    Disponible para: Mac OS X Server v10.5.8 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Un atacante remoto podría leer los archivos arbitrarios del sistema

    Descripción: Existía un problema con entidades externas XML en la gestión de peticiones XML-RPC por parte de servermgrd. Este problema se ha resuelto eliminando la interfaz XML-RPC de servermgrd. Este problema afecta únicamente a los sistemas Mac OS X Server.

    ID CVE

    CVE-2011-0212: Apple

  • Subversion

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7

    Impacto: Si se ha configurado un servidor Subversion basado en http, un atacante remoto podría provocar una denegación de servicio

    Descripción: Existía un problema de falta de referencia nula en la gestión de los tokens de bloqueo enviados a través de HTTP por parte de Subversion. Si se ha configurado un servidor Subversion basado en http, un atacante remoto podría provocar una denegación de servicio. Para los sistemas con Mac OS X v10.6, Subversion se ha actualizado a la versión 1.6.6. Para los sistemas con Mac OS X v10.5.8, el problema se ha resuelto mediante la validación adicional de los tokens de bloqueo. Encontrarás más información en el sitio web de Subversion en http://subversion.apache.org/.

    ID CVE

    CVE-2011-0715

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: