Este artículo se ha archivado y Apple ya no lo actualiza.

Acerca de la actualización de seguridad 2008-005

En este documento se describe la actualización de seguridad 2008-005, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización de seguridad 2008-005

  • Open Scripting Architecture

    ID de CVE: CVE-2008-2830

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: un usuario local puede ejecutar comandos con privilegios elevados.

    Descripción: existe un problema de diseño en las bibliotecas de Open Scripting Architecture al determinar si se cargan plug-ins de suma de secuencias de comandos en aplicaciones que se ejecutan con privilegios elevados. El envío de comandos de suma de secuencias de comandos a una aplicación con privilegios puede permitir la ejecución de código arbitrario con dichos privilegios. Esta actualización soluciona el problema al no cargar plug-ins de suma de secuencias de comandos en aplicaciones que se ejecutan con privilegios de sistema. Esta actualización soluciona los problemas de ARDAgent y SecurityAgent de los que se ha informado recientemente. Gracias a Charles Srstka por informar de este problema.

  • BIND

    ID de CVE: CVE-2008-1447

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: BIND es susceptible al envenenamiento de la caché DNS y puede devolver información falsificada.

    Descripción: El servidor Berkeley Internet Name Domain (BIND) se distribuye con Mac OS X, y no está activado por defecto. Cuando está activado, el servidor BIND proporciona traducción entre nombres de host y direcciones IP. Una debilidad en el protocolo DNS puede permitir a atacantes remotos realizar ataques de envenenamiento de caché DNS. Como resultado, los sistemas que dependen del servidor BIND para DNS pueden recibir información falsificada. Esta actualización soluciona el problema implementando la aleatorización del puerto de origen para mejorar la resistencia frente a los ataques de envenenamiento de caché. Para los sistemas Mac OS X v10.4.11, BIND se actualiza a la versión 9.3.5-P1. Para los sistemas Mac OS X v10.5.4, BIND se actualiza a la versión 9.4.2-P1. Gracias a Dan Kaminsky de IOActive por informar de este problema.

  • CarbonCore

    ID de CVE: CVE-2008-7259

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: procesar nombres de archivo largos puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existe un desbordamiento de búfer de pila en la gestión de nombres de archivo largos. Procesar nombres de archivo largos podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Thomas Raffetseder del International Secure Systems Lab y a Sergio 'shadown' Alvarez de n.runs AG por informar de este problema.

  • CoreGraphics

    ID de CVE: CVE-2008-2321

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: CoreGraphics contiene problemas de corrupción de memoria en el procesamiento de argumentos. Pasar una entrada no fiable a CoreGraphics a través de una aplicación, como un navegador web, puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Michal Zalewski de Google por informar de este problema.

  • CoreGraphics

    ID de CVE: CVE-2008-2322

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: la visualización de un archivo PDF creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: un desbordamiento de enteros en el manejo de archivos PDF puede dar lugar a un desbordamiento de búfer de memoria dinámica. Visualizar un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante una validación adicional de los archivos PDF. Gracias a Pariente Kobi que trabaja con iDefense VCP por informar de este problema.

  • Data Detectors Engine

    ID de CVE: CVE-2008-2323

    Disponible para: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: la visualización de mensajes creados con fines malintencionados con los Data Detectors puede provocar el cierre inesperado de la aplicación.

    Descripción: Data Detectors se utilizan para extraer información de referencia de contenidos textuales o de archivos. Existe un problema de consumo de recursos en el tratamiento del contenido textual por parte de Data Detectors. La visualización de contenido creado con fines malintencionados en una aplicación que utiliza Data Detectors puede provocar la denegación de servicio, pero no la ejecución arbitraria de código. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • Disk Utility

    ID de CVE: CVE-2008-2324

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impacto: un usuario local puede obtener privilegios del sistema.

    Descripción: la herramienta Reparar permisos de Utilidad de Discos hace que /usr/bin/emacs sea setuid. Después de ejecutar la herramienta Reparar permisos, un usuario local puede utilizar emacs para ejecutar comandos con privilegios de sistema. Esta actualización soluciona el problema corrigiendo los permisos aplicados a emacs en la herramienta Reparar permisos. Este problema no afecta a los sistemas con Mac OS X v10.5 y versiones posteriores. Gracias a Anton Rang y Brian Timares por informar de este problema.

  • OpenLDAP

    ID de CVE: CVE-2008-2952

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: un atacante remoto puede ser capaz de provocar un cierre inesperado de la aplicación.

    Descripción: existe un problema en la descodificación ASN.1 BER de OpenLDAP. El procesamiento de un mensaje LDAP creado con fines malintencionados puede desencadenar una aserción y provocar el cierre inesperado de la aplicación del daemon OpenLDAP, slapd. Esta actualización soluciona el problema mediante la validación adicional de los mensajes LDAP.

  • OpenSSL

    ID de CVE: CVE-2007-5135

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: un atacante remoto puede ser capaz de provocar el cierre inesperado de la aplicación o una ejecución arbitraria de código.

    Descripción: existe un problema de comprobación de rango en la función de utilidad SSL_get_shared_ciphers() de OpenSSL. En una aplicación que utilice esta función, el procesamiento de paquetes creados con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados.

  • PHP

    ID de CVE: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Disponible para: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: múltiples vulnerabilidades en PHP 5.2.5.

    Descripción: PHP se actualiza a la versión 5.2.6 para solucionar múltiples vulnerabilidades, la más grave de las cuales puede provocar la ejecución arbitraria de código. Puedes obtener más información en el sitio web de PHP http://www.php.net/. Solo se proporciona la versión 5.2.x de PHP con sistemas Mac OS X v10.5.

  • QuickLook

    ID de CVE: CVE-2008-2325

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: la descarga de un archivo de Microsoft Office creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.

    Descripción: existen múltiples problemas de corrupción de memoria en el manejo de archivos de Microsoft Office por parte de QuickLook. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.

  • rsync

    ID de CVE: CVE-2007-6199, CVE-2007-6200

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impacto: se puede acceder a los archivos fuera de la raíz del módulo o sobrescribirlos remotamente.

    Descripción: existen problemas de validación de rutas en el manejo de enlaces simbólicos por parte de rsync cuando se ejecuta en modo daemon. Colocar enlaces simbólicos en un módulo rsync puede permitir que se acceda a archivos fuera de la raíz del módulo o que se sobrescriban. Esta actualización soluciona el problema mejorando el manejo de los enlaces simbólicos. Puedes encontrar más información sobre los parches aplicados en el sitio web de rsync en http://rsync.samba.org/

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Contacta con el proveedor para obtener más información.

Fecha de publicación: