Acerca del contenido de seguridad de la actualización Mac OS X 10.4.7

Este documento describe el contenido de seguridad de la actualización Mac OS X 10.4.7, que se puede descargar e instalar a través de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

Actualización Mac OS X v10.4.7

  • AFP

    ID de CVE: CVE-2006-1468

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: los nombres de archivos y carpetas pueden revelarse a usuarios no autorizados.

    Descripción: un problema en el servidor AFP permite que los resultados de la búsqueda incluyan nombres de archivos y carpetas para los que el usuario que realiza la búsqueda no tiene acceso. Esto podría dar lugar a la revelación de información si los propios nombres son información sensible. Esta actualización soluciona el problema asegurando que los resultados de la búsqueda solo incluyan elementos para los que el usuario esté autorizado. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • ClamAV

    ID de CVE: CVE-2006-1989

    Disponible para: Mac OS X Server v10.4.6

    Impacto: cuando el análisis de virus está configurado para actualizarse automáticamente, una réplica maliciosa de la base de datos puede provocar la ejecución arbitraria de código.

    Descripción: un problema en la actualización automática de la base de datos de virus de ClamAV puede provocar un desbordamiento de búfer de pila. Una réplica maliciosa o suplantada de la base de datos de ClamAV puede provocar la ejecución arbitraria de código con los privilegios de ClamAV. El servicio de Mail, el análisis de virus y las actualizaciones automáticas de la base de datos de virus están desactivados por defecto. Esta actualización soluciona el problema incorporando la ClamAV 0.88.2. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • ImageIO

    ID de CVE: CVE-2006-1469

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar el bloqueo de la aplicación o la ejecución arbitraria de código.

    Descripción: mediante la creación cuidadosa de una imagen TIFF corrupta, un atacante puede provocar un desbordamiento de búfer de pila que puede dar lugar a un fallo de la aplicación o a la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la validación adicional de las imágenes TIFF. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • launchd

    ID de CVE: CVE-2006-1471

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: los usuarios locales pueden obtener privilegios elevados.

    Descripción: una vulnerabilidad de cadena de formato en el programa setuid launchd puede permitir a un usuario local autenticado ejecutar código arbitrario con privilegios del sistema. El problema está presente en la función de registro de launchd. Esta actualización soluciona el problema realizando una validación adicional al registrar los mensajes. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Gracias a Kevin Finisterre de DigitalMunition por informar de este problema.

  • OpenLDAP

    ID de CVE: CVE-2006-1470

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: los atacantes remotos pueden provocar la caída del servidor Open Directory.

    Descripción: mediante la creación cuidadosa de una solicitud LDAP no válida, un atacante remoto puede ser capaz de desencadenar una aserción en el servidor OpenLDAP, dando lugar a una denegación de servicio. Esta actualización soluciona el problema descartando la solicitud no válida. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Gracias al equipo de investigación de Mu Security por informar de este problema.

Fecha de publicación: