Acerca de la actualización de seguridad 2006-003
En este documento, se describe la actualización de seguridad 2006-003, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde la página Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.
Actualización de seguridad 2006-003
AppKit
ID CVE: CVE-2006-1439
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Otras aplicaciones pueden leer los caracteres ingresados en un campo de texto seguro en la misma sesión de ventana.
Descripción: En determinadas circunstancias, cuando se cambia entre campos de entrada de texto, NSSecureTextField puede presentar una falla cuando se vuelve a activar la entrada segura de eventos. Esto puede permitir que otras aplicaciones en la misma sesión de ventana vean algunos caracteres de entrada y eventos de teclado. En esta actualización, se garantiza que la entrada segura de eventos está activada correctamente para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
AppKit, ImageIO
ID CVE: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de una imagen TIFF o GIF creada con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: El manejo de una imagen TIFF o GIF con formato incorrecto puede ocasionar la ejecución de código arbitrario cuando se analiza una imagen creada con fines malintencionados. Esto afecta a las aplicaciones que utilizan la estructura ImageIO (Mac OS X v10.4 Tiger) o AppKit (Mac OS X v10.3 Panther) para leer imágenes. En esta actualización, se realiza una validación adicional de las imágenes TIFF y GIF para solucionar el problema.
BOM
ID CVE: CVE-2006-1985
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La expansión de un archivo puede ocasionar la ejecución de código arbitrario.
Descripción: Mediante la creación cuidadosa de un archivo (por ejemplo, un archivo Zip) que contenga nombres de ruta largos, un atacante puede provocar un desbordamiento del búfer de montón en BOM. Esto puede ocasionar la ejecución de código arbitrario. BOM se utiliza para manejar archivos en el Finder y otras aplicaciones. En esta actualización, se manejan correctamente las condiciones de límites para solucionar el problema.
BOM
ID CVE: CVE-2006-1440
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La expansión de un archivo creado con fines malintencionados puede provocar la creación o sobrescritura de archivos arbitrarios.
Descripción: Debido a un problema en el manejo de los enlaces simbólicos de cruce de directorios encontrados en archivos comprimidos, BOM puede crear o sobrescribir archivos en ubicaciones arbitrarias a las que puede acceder el usuario que expande el archivo. BOM maneja archivos comprimidos en nombre del Finder y otras aplicaciones. En esta actualización, se garantiza que los archivos expandidos desde un archivo no se coloquen fuera del directorio de destino para solucionar el problema.
CFNetwork
ID CVE: CVE-2006-1441
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Visitar sitios web creados con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Un desbordamiento de enteros en el manejo de la codificación de transferencias fragmentadas podía ocasionar la ejecución de código arbitrario. Safari y otras aplicaciones usan CFNetwork. En esta actualización, se realiza una validación adicional para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
ClamAV
ID CVE: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Disponible para Mac OS X Server v10.4.6
Impacto: El procesamiento de mensajes de correo electrónico creados con fines malintencionados usando ClamAV puede ocasionar la ejecución de código arbitrario.
Descripción: El software de detección de virus ClamAV se ha actualizado para incorporar correcciones de seguridad en la versión más reciente. ClamAV se incorporó en Mac OS X Server v10.4 para escanear correos electrónicos. El más grave de estos problemas podía ocasionar la ejecución de código arbitrario con los privilegios de ClamAV. Para obtener más información, consulta el sitio web del proyecto en http://www.clamav.net.
CoreFoundation
ID CVE: CVE-2006-1442
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: El registro de un paquete no fiable puede ocasionar la ejecución de código arbitrario.
Descripción: En determinadas circunstancias, las aplicaciones o el sistema registran implícitamente los paquetes. Una característica de la API de paquetes permite que las bibliotecas dinámicas se carguen y ejecuten cuando se registra un paquete, aunque la aplicación cliente no lo solicite explícitamente. Como resultado, se pude ejecutar código arbitrario desde un paquete no fiable sin la interacción explícita del usuario. En esta actualización, se cargan y ejecutan las bibliotecas del paquete solo en el momento adecuado para solucionar el problema.
CoreFoundation
ID CVE: CVE-2006-1443
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Las conversiones de cadenas a la representación del sistema de archivos puede ocasionar la ejecución de código arbitrario.
Descripción: Un subdesbordamiento de enteros durante el procesamiento de una condición de límites en CFStringGetFileSystemRepresentation puede ocasionar la ejecución de código arbitrario. Las aplicaciones que utilizan esta API o una de las API relacionadas, como getFileSystemRepresentation:maxLength:withPath: de NSFileManager, pueden provocar el problema y ocasionar la ejecución de código arbitrario. En esta actualización, se manejan correctamente las condiciones de límites para solucionar el problema.
CoreGraphics
ID CVE: CVE-2006-1444
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Otras aplicaciones pueden leer los caracteres ingresados en un campo de texto seguro en la misma sesión de ventana.
Descripción: Quartz Event Services brinda a las aplicaciones la capacidad de observar y alterar eventos de entrada de usuario de bajo nivel. Normalmente, las aplicaciones no pueden interceptar eventos cuando la entrada segura de eventos está activada. Sin embargo, si la opción de acceso para los dispositivos de ayuda está activada, Quartz Event Services puede utilizarse para interceptar eventos incluso cuando la entrada segura de eventos está activada. En esta actualización, se filtran los eventos cuando está activada la entrada segura de eventos para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4 Queremos darle las gracias a Damien Bobillot por informar este problema.
Finder
ID CVE: CVE-2006-1448
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La ejecución de un elemento de dirección de Internet puede ocasionar la ejecución de código arbitrario.
Descripción: Los elementos de dirección de Internet son simples contenedores de URL que pueden hacer referencia a direcciones URL http://, ftp://, and file://, así como a algunos otros esquemas de URL. Estos diferentes tipos de elementos de dirección de Internet son visualmente distintos y están pensados para ejecutarse explícitamente de forma segura. Sin embargo, el esquema de la dirección URL puede ser diferente del tipo de dirección de Internet. Como resultado, un atacante puede convencer a un usuario para que ejecute un elemento supuestamente benigno (por ejemplo, una dirección web de Internet, http://), pero en realidad se utiliza otro esquema de URL. En determinadas circunstancias, esto puede ocasionar la ejecución de código arbitrario. En esta actualización, se restringe el esquema de URL basado en el tipo de dirección de Internet para solucionar el problema.
FTPServer
ID CVE: CVE-2006-1445
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Las operaciones FTP realizadas por usuarios FTP autenticados pueden ocasionar la ejecución de código arbitrario.
Descripción: Varios problemas en el manejo de nombres de ruta del servidor FTP podían ocasionar un desbordamiento de búferes. Un usuario autenticado malintencionado podía provocar este desbordamiento que podía ocasionar la ejecución de código arbitrario con los privilegios del servidor FTP. En esta actualización, se manejan correctamente las condiciones de límites para solucionar el problema.
Flash Player
ID CVE: CVE-2005-2628, CVE-2006-0024
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La reproducción de contenido Flash puede ocasionar la ejecución de código arbitrario.
Descripción: Adobe Flash Player contiene vulnerabilidades críticas que pueden ocasionar la ejecución de código arbitrario cuando se cargan archivos creados con fines especiales. Para obtener más información, visita el sitio web de Adobe en http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. En esta actualización, se soluciona el problema mediante la incorporación de la versión 8.0.24.0 de Flash Player.
ImageIO
ID CVE: CVE-2006-1552
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de una imagen JPEG creada con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Un desbordamiento de enteros en el procesamiento de metadatos JPEG puede ocasionar un desbordamiento del búfer de montón. Mediante la creación cuidadosa de una imagen con metadatos JPEG y formato incorrecto, un atacante puede ocasionar la ejecución de código arbitrario cuando se visualiza la imagen. Esta actualización soluciona el problema mediante una validación adicional de las imágenes. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Queremos agradecerle a Brent Simmons de NewsGator Technologies, Inc. por informar este problema.
Keychain
ID CVE: CVE-2006-1446
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Una aplicación puede utilizar elementos del llavero cuando este está bloqueado.
Descripción: Cuando un llavero está bloqueado, las aplicaciones no pueden acceder a los elementos que contiene el llavero sin solicitar primero que se desbloquee el llavero. Sin embargo, una aplicación que haya obtenido una referencia a un elemento del llavero antes de que este se haya bloqueado puede, en determinadas circunstancias, seguir utilizando dicho elemento independientemente de si el llavero está bloqueado o desbloqueado. En esta actualización, se rechazan las solicitudes de uso de elementos del llavero cuando este está bloqueado para solucionar el problema. Queremos darle las gracias a Tobias Hahn de HU Berlin por informar este problema.
LaunchServices
ID CVE: CVE-2006-1447
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de un sitio web creado con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Las extensiones de nombre de archivo largas pueden impedir que la validación de descargas determine correctamente la aplicación con la que se puede abrir un elemento. Como resultado, un atacante puede omitir la validación de descarga y hacer que Safari abra automáticamente contenido que no es seguro si la opción “Abrir archivos seguros al descargarlos” está activada y ciertas aplicaciones no están instaladas. En esta actualización, se soluciona el problema mediante la mejora de la comprobación de la extensión del nombre del archivo. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
libcurl
ID CVE: CVE-2005-4077
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: El manejo de direcciones URL en libcurl puede ocasionar la ejecución de código arbitrario.
Descripción: La biblioteca HTTP de código abierto libcurl contiene desbordamientos de búferes en el manejo de direcciones URL. Las aplicaciones que utilizan curl para el manejo de direcciones URL pueden provocar el problema y ocasionar la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante la incorporación de la versión 7.15.1 de libcurl. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
Mail
ID CVE: CVE-2006-1449
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de un mensaje de correo creado con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Al preparar un mensaje de correo electrónico creado con fines especiales y archivos adjuntos encapsulados MacMIME, un atacante puede provocar un desbordamiento de enteros. Esto puede ocasionar la ejecución de código arbitrario con los privilegios del usuario que ejecuta Mail. En esta actualización, se realiza una validación adicional de los mensajes para solucionar el problema.
Mail
ID CVE: CVE-2006-1450
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de un mensaje de correo creado con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: El manejo de información de color no válida en mensajes de correo electrónico de texto enriquecido podía provocar la asignación e inicialización de clases arbitrarias. Esto puede ocasionar la ejecución de código arbitrario con los privilegios del usuario que ejecuta Mail. En esta actualización, se manejan correctamente los datos de texto enriquecido con formato incorrecto para solucionar el problema.
MySQL Manager
ID CVE: CVE-2006-1451
Disponible para Mac OS X Server v10.4.6
Impacto: Se puede acceder a la base de datos MySQL con una contraseña vacía.
Descripción: Durante la configuración inicial de un servidor de base de datos MySQL mediante MySQL Manager, se puede proporcionar la “Nueva contraseña root de MySQL”. Sin embargo, esta contraseña no se utiliza realmente. Como resultado, la contraseña root de MySQL permanecerá vacía. Un usuario local puede obtener acceso a la base de datos MySQL con todos los privilegios. En esta actualización, se garantiza que se guarda la contraseña ingresada para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X Server v10.4. Queremos agradecerle a Ben Low de University of New South Wales por informar este problema.
Preview
ID CVE: CVE-2006-1452
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La navegación por una jerarquía de directorios creada con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Al navegar por jerarquías de directorios muy profundas en la vista previa, puede provocarse un desbordamiento del búfer de pila. Mediante la creación cuidadosa de dicha jerarquía de directorios, es posible que un atacante ocasione la ejecución de código arbitrario si los directorios se abren en la vista previa. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
QuickDraw
ID CVE: CVE-2006-1453, CVE-2006-1454
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de una imagen PICT creada con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Dos problemas afectan a QuickDraw cuando se procesan imágenes PICT. La información de tipo de letra con formato incorrecto puede ocasionar un desbordamiento del búfer de pila, y los datos de imagen con formato incorrecto pueden ocasionar un desbordamiento del búfer de montón. Mediante la creación cuidadosa de una imagen PICT maliciosa, un atacante puede ocasionar la ejecución de código arbitrario cuando se visualiza la imagen. En esta actualización, se realiza una validación adicional de las imágenes PICT para solucionar el problema. Queremos darle las gracias a Mike Price de McAfee AVERT Labs por informar este problema.
QuickTime Streaming Server
ID CVE: CVE-2006-1455
Disponible para Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Impacto: Un video QuickTime con formato incorrecto puede ocasionar el cierre de QuickTime Streaming Server.
Descripción: Un video QuickTime al que le falta una pista puede provocar una falta de referencia de puntero nulo y el cierre del proceso del servidor. Esto provoca la interrupción de las conexiones de cliente activas. Sin embargo, el servidor se reinicia automáticamente. En esta actualización, se produce un error cuando se encuentran videos con formato incorrecto para solucionar el problema.
QuickTime Streaming Server
ID CVE: CVE-2006-1456
Disponible para Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Impacto: Las solicitudes RTSP creadas con fines malintencionados pueden ocasionar cierres o la ejecución de código arbitrario.
Descripción: Mediante la creación cuidadosa de una solicitud RTSP, un atacante puede provocar un desbordamiento de búferes durante el registro de mensajes. Esto puede ocasionar la ejecución de código arbitrario con los privilegios de QuickTime Streaming Server. En esta actualización, se manejan correctamente las condiciones de límites para solucionar el problema. Queremos darle las gracias al equipo de investigación de Mu Security por informar este problema.
Ruby
ID CVE: CVE-2005-2337
Disponible para Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Se pueden omitir las restricciones de nivel seguro de Ruby.
Descripción: El lenguaje de scripts Ruby tiene un mecanismo llamado “niveles seguros” que se utiliza para restringir ciertas operaciones. Este mecanismo se utiliza más comúnmente cuando se ejecutan aplicaciones Ruby privilegiadas o aplicaciones Ruby de red. En determinadas circunstancias, un atacante puede omitir las restricciones de dichas aplicaciones. Las aplicaciones que no dependen de niveles seguros no se ven afectadas. En esta actualización, se garantiza que los niveles seguros no se puedan omitir para solucionar el problema.
Safari
ID CVE: CVE-2006-1457
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Visitar sitios web creados con fines malintencionados puede ocasionar la manipulación de archivos o la ejecución de código arbitrario.
Descripción: Cuando la opción “Abrir archivos seguros al descargarlos” de Safari está activada, los archivos se expandirán automáticamente. Si el archivo contiene un enlace simbólico, el enlace simbólico de destino puede trasladarse al escritorio del usuario y ejecutarse. En esta actualización, no se resuelven los enlaces simbólicos descargados para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.