Puedes descargar e instalar esta actualización desde las preferencias de Actualización de Software o en la página Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos de Apple”.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Mac OS X v10.6.8 y la actualización de seguridad 2011-004
AirPort
Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8
Impacto: Mientras se está conectado a una red Wi-Fi, un atacante de la misma red podría provocar el restablecimiento del sistema
Descripción: Existía un problema de lectura de memoria fuera de los límites en la gestión de tramas Wi-Fi. Mientras se está conectado a una red Wi-Fi, un atacante de la misma red podría provocar el restablecimiento del sistema. Este problema no afecta a Mac OS X v10.6.
ID CVE
CVE-2011-0196
App Store
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La contraseña del ID de Apple del usuario puede haberse almacenado en un archivo local
Descripción: En determinadas circunstancias, el App Store puede almacenar la contraseña del ID de Apple del usuario en un archivo que no pueden leer otros usuarios de sistema. Este problema se ha solucionado mejorando la gestión de las credenciales.
ID CVE
CVE-2011-0197: Paul Nelson
ATS
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados pueden provocar la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento del búfer de memoria dinámica en la gestión de tipos de letra TrueType. La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados puede provocar la ejecución de código arbitrario.
ID CVE
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld del Red Hat Security Response Team
Política de confianza en certificados
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial
Descripción: Existía un problema con la gestión de errores en la Política de confianza en certificados. Cuando un certificado de Validación ampliada (EV, por sus siglas en inglés) no posee una URL para el OCSP y la comprobación de la CRL está activada, la CRL no se comprobará y un certificado que se haya revocado podría aceptarse como válido. Este problema se ha resuelto, ya que la mayor parte de los certificados EV especifican una URL para el OCSP.
ID CVE
CVE-2011-0199: Chris Hawk y Wan-Teh Chang de Google
ColorSync
Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8
Impacto: Visualizar una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento de enteros en la gestión de imágenes con un perfil ColorSync integrado que podía provocar un desbordamiento del búfer de pila. La apertura de una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.
ID CVE
CVE-2011-0200: binaryproof en colaboración con Zero Day Initiative de TippingPoint
CoreFoundation
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Las aplicaciones que utilizan la estructura CoreFoundation pueden ser vulnerables al cierre de la aplicación de manera inesperada o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento del búfer de un byte en la gestión de CFStrings. Las aplicaciones que utilizan la estructura CoreFoundation pueden ser vulnerables al cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.
ID CVE
CVE-2011-0201: Harry Sintonen
CoreGraphics
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario
Descripción: Existía un problema de desbordamiento de enteros en la gestión de tipos de letra de Tipo 1. La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados puede provocar la ejecución de código arbitrario.
ID CVE
CVE-2011-0202: Cristian Draghici de Modulo Consulting, Felix Grobert del Google Security Team
Servidor FTP
Disponible para: Mac OS X Server v10.6 hasta v10.6.7
Impacto: Una persona con acceso al FTP podría añadir archivos al sistema
Descripción: Existía un problema de validación de rutas en xftpd. Una persona con acceso al FTP podría generar una lista recursiva de directorios que comience por el directorio raíz y que incluya directorios que no se comparten para el FTP. La lista incluirá finalmente cualquier archivo al que podría acceder el usuario del FTP. El contenido de los archivos no se revela. Este problema se soluciona mediante una validación de rutas mejorada. Este problema afecta únicamente a los sistemas Mac OS X Server.
ID CVE
CVE-2011-0203: Equipo karlkani
ImageIO
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Visualizar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer de memoria dinámica en la gestión de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.
ID CVE
CVE-2011-0204: Dominic Chell de NGS Secure
ImageIO
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento del búfer de memoria dinámica en la gestión de imágenes JPEG2000 por parte de ImageIO. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID CVE
CVE-2011-0205: Harry Sintonen
Componentes internacionales para Unicode
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Las aplicaciones que utilizan componentes internacionales para Unicode (ICU) podrían ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento del búfer en la gestión de cadenas con mayúsculas por parte de los ICU. Las aplicaciones que utilizan componentes internacionales para Unicode pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario.
ID CVE
CVE-2011-0206: David Bienvenu de Mozilla
Kernel
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Un usuario local podría provocar que el dispositivo se restableciese
Descripción: Existía un problema de falta de referencia nula en la gestión de las opciones de socket para IPV6. Un usuario local podría provocar el restablecimiento del sistema.
ID CVE
CVE-2011-1132: Thomas Clement de Intego
Libsystem
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Las aplicaciones que utilizan la API glob(3) pueden ser vulnerables a una denegación de servicio
Descripción: Las aplicaciones que utilizan la API glob(3) pueden ser vulnerables a una denegación de servicio. Si el patrón glob procede de una entrada que no sea de confianza, la aplicación puede colgarse o utilizar demasiados recursos de la CPU. Este problema se resuelve mejorando la validación de los patrones glob.
ID CVE
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de las direcciones en la memoria dinámica
Descripción: La implementación de libxsl de la función de XPath generate-id() divulgaba la dirección de un búfer de pila. La visita de un sitio web creado con fines malintencionados puede ocasionar la divulgación de las direcciones de la memoria dinámica. Este problema se resuelve generando un ID basado en la diferencia entre las direcciones de dos búferes de pila.
ID CVE
CVE-2011-0195: Chris Evans del Google Chrome Security Team
MobileMe
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Un atacante con una posición de red privilegiada podría leer los alias de correo electrónico de MobileMe de un usuario
Descripción: Al comunicarse con MobileMe para determinar los alias de correo electrónico de un usuario, Mail realizará peticiones a través de HTTP. De este modo, un atacante con una posición de red privilegiada puede leer los alias de correo electrónico de MobileMe de un usuario. Este problema se resuelve utilizando SSL para acceder a los alias de correo electrónico del usuario.
ID CVE
CVE-2011-0207: Aaron Sigel de vtty.com
MySQL
Disponible para: Mac OS X Server v10.5.8 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Varias vulnerabilidades en MySQL 5.0.91
Descripción: MySQL se actualiza a la versión 5.0.92 para resolver varias vulnerabilidades. La más grave de ellas podría provocar la ejecución de código arbitrario. MySQL solo se suministra con sistemas Mac OS X Server.
ID CVE
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Varias vulnerabilidades en OpenSSL
Descripción: Existían varias vulnerabilidades en OpenSSL. La más grave de ellas podría provocar la ejecución de código arbitrario. Estos problemas se resuelven actualizando OpenSSL a la versión 0.9.8r.
ID CVE
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
Corrección
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La ejecución de una corrección en un archivo de corrección creado con fines malintencionados puede provocar la creación o la sobrescritura de archivos arbitrarios
Descripción: Existía un problema de denegación de directorios en la corrección de GNU. La ejecución de una corrección en un archivo de corrección creado con fines malintencionados puede provocar la creación o la sobrescritura de archivos arbitrarios. Este problema se resuelve mejorando la validación de los archivos de corrección.
ID CVE
CVE-2010-4651
QuickLook
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Descargar un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de Microsoft Office por parte de QuickLook. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.
ID CVE
CVE-2011-0208: Tobias Klein en colaboración con iDefense VCP
QuickTime
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La visualización de un archivo WAV creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento de enteros en la gestión de los archivos WAV RIFF por parte de QuickTime. La visualización de un archivo WAV creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.
ID CVE
CVE-2011-0209: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint
QuickTime
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria en la gestión de las tablas de muestra en los archivos de película por parte de QuickTime. La visualización de un archivo de película creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
ID CVE
CVE-2011-0210: Honggang Ren de FortiGuard Labs de Fortinet
QuickTime
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento de enteros en la gestión de archivos de película por parte de QuickTime. La visualización de un archivo de película creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
ID CVE
CVE-2011-0211: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint
QuickTime
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer en la gestión de imágenes PICT por parte de QuickTime. La visualización de una imagen PICT creada con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario.
ID CVE
CVE-2010-3790: Subreption LLC en colaboración con Zero Day Initiative de TippingPoint
QuickTime
Disponible para: Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer en la gestión de archivos JPEG por parte de QuickTime. La visualización de una imagen JPEG creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.
ID CVE
CVE-2011-0213: Luigi Auriemma en colaboración con iDefense
Samba
Disponible para: Mac OS X v10.5.8 y Mac OS X Server v10.5.8
Impacto: Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario
Descripción: Existía un desbordamiento del búfer de pila en la gestión de los ID de seguridad de Windows por parte de Samba. Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario. Para sistemas con Mac OS X v10.6, este problema se ha resuelto en Mac OS X 10.6.7.
ID CVE
CVE-2010-3069
Samba
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria en la gestión de descriptores de archivos por parte de Samba. Si está activado el uso compartido de archivos mediante SMB, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario.
ID CVE
CVE-2011-0719: Volker Lendecke de SerNet
servermgrd
Disponible para: Mac OS X Server v10.5.8 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Un atacante remoto podría leer los archivos arbitrarios del sistema
Descripción: Existía un problema con entidades externas XML en la gestión de peticiones XML-RPC por parte de servermgrd. Este problema se ha resuelto eliminando la interfaz XML-RPC de servermgrd. Este problema afecta únicamente a los sistemas Mac OS X Server.
ID CVE
CVE-2011-0212: Apple
Subversion
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hasta v10.6.7 y Mac OS X Server v10.6 hasta v10.6.7
Impacto: Si se ha configurado un servidor Subversion basado en http, un atacante remoto podría provocar una denegación de servicio
Descripción: Existía un problema de falta de referencia nula en la gestión de los tokens de bloqueo enviados a través de HTTP por parte de Subversion. Si se ha configurado un servidor Subversion basado en http, un atacante remoto podría provocar una denegación de servicio. Para los sistemas con Mac OS X v10.6, Subversion se ha actualizado a la versión 1.6.6. Para los sistemas con Mac OS X v10.5.8, el problema se ha resuelto mediante la validación adicional de los tokens de bloqueo. Encontrarás más información en el sitio web de Subversion en http://subversion.apache.org/.
ID CVE
CVE-2011-0715