Acerca del contenido de seguridad de la actualización de seguridad 2008-008/Mac OS X v10.5.6

En este documento, se describe el contenido de seguridad de la actualización de seguridad 2008-008/Mac OS X v10.5.6, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde la página Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.

Actualización de seguridad 2008-008/Mac OS X v10.5.6

  • ATS

    ID CVE: CVE-2008-4236

    Disponible para Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: La visualización o la descarga de un archivo PDF con un tipo de letra integrado creado con fines malintencionados pueden provocar una denegación de servicio.

    Descripción: Puede producirse un ciclo infinito en el manejo de tipos de letra integrados en archivos PDF por parte del servidor de Servicios de clase Apple. La visualización o la descarga de un archivo PDF con un tipo de letra integrado creado con fines malintencionados pueden provocar una denegación de servicio. En esta actualización, se soluciona el problema mediante la validación adicional de fuentes integradas. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Queremos darles las gracias a Michael Samarin y Mikko Vihonen de Futurice Ltd. por informar este problema.

  • BOM

    ID CVE: CVE-2008-4217

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: La descarga o la visualización de un archivo CPIO creado con fines malintencionados pueden ocasionar la ejecución de código arbitrario o el cierre inesperado de una aplicación.

    Descripción: Existe un problema de firma en el manejo de los encabezados CPIO por parte de BOM, lo que puede provocar un desbordamiento del búfer de pila. La descarga o la visualización de un archivo CPIO creado con fines malintencionados pueden ocasionar la ejecución de código arbitrario o el cierre inesperado de una aplicación. En esta actualización, se realiza una validación adicional de los encabezados CPIO para solucionar el problema. Crédito: Apple.

  • CoreGraphics

    ID CVE: CVE-2008-3623

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: La visualización de una imagen creada con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existe un desbordamiento del búfer de montón en el manejo de los espacios de color en CoreGraphics. La visualización de una imagen creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Crédito: Apple.

  • CoreServices

    ID CVE: CVE-2008-3170

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la divulgación de credenciales de usuarios.

    Descripción: Safari permite a los sitios web establecer cookies para dominios de nivel superior específicos de un país, lo que puede permitir a un atacante remoto realizar un ataque de fijación de sesión y apropiarse de las credenciales de un usuario. En esta actualización, se realiza una validación adicional de los nombres de dominio para solucionar el problema. Queremos agradecerle a Alexander Clauss de iCab.de por informar este problema.

  • CoreTypes

    ID CVE: CVE-2008-4234

    Disponible para Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Es posible que no aparezca una advertencia al intentar abrir contenido que se descargó y que no es seguro.

    Descripción: Mac OS X ofrece la función de validación de descargas para indicar archivos que pueden no ser seguros. Aplicaciones como Safari y otras utilizan la validación de descargas para advertirles a los usuarios antes de abrir archivos marcados como potencialmente inseguros. En esta actualización, se agrega a la lista de tipos potencialmente inseguros. Se agrega el tipo de contenido para archivos que tienen permisos ejecutables y ninguna asociación de aplicación específica. Estos archivos son potencialmente inseguros, ya que se abrirán en Terminal y su contenido se ejecutará como comandos. Si bien estos archivos no se abren automáticamente, si se abren manualmente, podrían ocasionar la ejecución de código arbitrario. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Existen varias vulnerabilidades en el módulo de Adobe Flash Player.

    Descripción: Existen varios problemas en el módulo de Adobe Flash Player, el más grave de los cuales puede ocasionar la ejecución de código arbitrario al visualizar un sitio web creado con fines malintencionados. Los problemas se solucionan mediante la actualización del módulo Flash Player a la versión 9.0.151.0. Puedes obtener más información en el sitio web de Adobe en http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    ID CVE: CVE-2008-4218

    Disponible para Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Un usuario local puede obtener privilegios del sistema.

    Descripción: Existen problemas de desbordamiento de enteros en las llamadas al sistema i386_set_ldt y i386_get_ldt, lo que puede permitir a un usuario local ejecutar código arbitrario con privilegios del sistema. En esta actualización, se solucionan los problemas mediante una mejora en la comprobación de límites. Estos problemas no afectan a los sistemas PowerPC. Queremos agradecerle a Richard van Eeden de IOActive, Inc. por informar estos problemas.

  • Kernel

    ID CVE: CVE-2008-4219

    Disponible para Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: La ejecución de un ejecutable que enlaza bibliotecas dinámicas en un recurso compartido NFS puede provocar que el sistema se apague de forma inesperada.

    Descripción: Puede producirse un ciclo infinito cuando un programa ubicado en un recurso compartido NFS recibe una excepción. Esto podía provocar un apagado inesperado del sistema. En esta actualización, se soluciona el problema mediante un mejor manejo de las excepciones. Queremos agradecerle a Ben Loer de Princeton University por informar este problema.

  • Libsystem

    ID CVE: CVE-2008-4220

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Las aplicaciones que utilizan la API inet_net_pton pueden ser vulnerables a la ejecución de código arbitrario o al cierre inesperado de una aplicación.

    Descripción: Existe un desbordamiento de enteros en la API inet_net_pton de Libsystem, lo que puede ocasionar la ejecución de código arbitrario o el cierre inesperado de una aplicación que utiliza la API. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Esta API no se llama normalmente con datos que no sean de confianza, y no se conocen casos que puedan aprovecharse en relación con este problema. Esta actualización se brinda para ayudar a mitigar posibles ataques contra cualquier aplicación que utilice esta API.

  • Libsystem

    ID CVE: CVE-2008-4221

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Las aplicaciones que utilizan la API strptime pueden ser vulnerables a la ejecución de código arbitrario o al cierre inesperado de una aplicación.

    Descripción: Existe un problema de daños en la memoria en la API strptime de Libsystem. El análisis de una cadena de fecha creada con fines malintencionados puede ocasionar la ejecución de código arbitrario o el cierre inesperado de una aplicación. En esta actualización, se soluciona el problema mediante una mejora en la asignación de memoria. Crédito: Apple.

  • Libsystem

    ID CVE: CVE-2008-1391

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Las aplicaciones que utilizan la API strfmon pueden estar expuestas al cierre inesperado de una aplicación o a la ejecución de código arbitrario.

    Descripción: Existen varios desbordamientos de enteros en la implementación de strfmon de Libsystem. Una aplicación que llame a strfmon con valores grandes de ciertos campos enteros en el argumento de la cadena de formato puede cerrarse de manera inesperada u ocasionar la ejecución de código arbitrario. En esta actualización, se solucionan los problemas mediante una mejora en la comprobación de los límites.

  • Managed Client

    ID CVE: CVE-2008-4237

    Disponible para Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: No se aplica la configuración del protector de pantalla administrado.

    Descripción: El método mediante el cual el software de un sistema cliente administrado instala la información de configuración por host no siempre identifica correctamente el sistema. En un sistema que no se identifica correctamente, no se aplica la configuración por host, incluido el bloqueo del protector de pantalla. En esta actualización, el cliente administrado usa la identificación de sistema correcta para solucionar el problema. Este problema no afecta a los sistemas con Ethernet integrada. Queremos agradecerles a John Barnes de ESRI y Trevor Lalish-Menagh de Tamman Technologies, Inc. por informar este problema.

  • network_cmds

    ID CVE: CVE-2008-4222

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: Un atacante remoto puede provocar una denegación de servicio si la opción Compartir Internet está activada.

    Descripción: Puede producirse un ciclo infinito en el manejo de paquetes TCP en natd. Mediante el envío de un paquete TCP creado con fines malintencionados, un atacante remoto puede provocar una denegación de servicio si la opción Compartir Internet está activada. En esta actualización, se soluciona el problema mediante una validación adicional de paquetes TCP. Queremos agradecerles a Alex Rosenberg de Ohmantics y Gary Teter de Paizo Publishing por informar este problema.

  • Podcast Producer

    ID CVE: CVE-2008-4223

    Disponible para Mac OS X Server v10.5 a v10.5.5

    Impacto: Un atacante remoto puede acceder a las funciones administrativas de Podcast Producer.

    Descripción: Existe un problema de omisión de autenticación en Podcast Producer Server, lo que puede permitir a un usuario no autorizado acceder a funciones administrativas en el servidor. En esta actualización, se soluciona el problema mediante un mejor manejo de las restricciones de acceso. Podcast Producer se incorporó en Mac OS X Server v10.5.

  • UDF

    ID CVE: CVE-2008-4224

    Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 a v10.5.5, Mac OS X Server v10.5 a v10.5.5

    Impacto: La apertura de un archivo ISO puede provocar que el sistema se apague de forma inesperada.

    Descripción: Existe un problema de validación de entradas en el manejo de volúmenes UDF con formato incorrecto. La apertura de un archivo ISO creado con fines malintencionados puede provocar que el sistema se apague de forma inesperada. En esta actualización, se soluciona el problema mediante una mejora en la validación de entradas. Queremos agradecerle a Mauro Notarianni de PCAX Solutions por informar este problema.

Importante: la mención de sitios web y productos de terceros tiene solo fines informativos y no constituye un respaldo ni una recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que se encuentran en sitios web de terceros. Apple lo proporciona solo para comodidad de nuestros usuarios. Apple no ha probado la información que se encuentra en estos sitios y no hace declaraciones con respecto a su precisión o confiabilidad. Existen riesgos inherentes al uso de cualquier información o producto que se encuentre en Internet, y Apple no asume ninguna responsabilidad al respecto. Ten en cuenta que un sitio de terceros es independiente de Apple y que Apple no tiene control sobre el contenido de ese sitio web. Comunícate con el proveedor para obtener más información.

Fecha de publicación: