Acerca del contenido de seguridad de Actualización de seguridad 2009-001
En este documento se describe la actualización de seguridad 2009-001, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Actualización de seguridad 2009-001
AFP Server
ID de CVE: CVE-2009-0142
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: un usuario con la capacidad de conectarse a AFP Server puede ser capaz de desencadenar una denegación de servicio
Descripción: una condición de carrera en AFP Server puede conducir a un bucle infinito. La enumeración de archivos en un servidor AFP puede provocar una denegación de servicio. Esta actualización aborda el problema a través de una mejor lógica de enumeración de archivos. Este problema sólo afecta a los sistemas que ejecutan Mac OS X v10.5.6.
Apple Pixlet Video
ID de CVE: CVE-2009-0009
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: abrir un archivo de vídeo creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código
Descripción: existe un problema de corrupción de memoria en el manejo de archivos de vídeo que utilizan el códec Pixlet. Abrir un archivo de vídeo creado con fines malintencionados podría ocasionar que la aplicación se cierre de forma inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Apple.
CarbonCore
ID de CVE: CVE-2009-0020
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código
Descripción: existe un problema de corrupción de memoria en el manejo de las bifurcaciones de recursos por parte de Resource Manager. Abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mejorando la validación de las bifurcaciones de recursos. Gracias a Apple.
CFNetwork
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: restablece el correcto funcionamiento de las cookies con caducidad nula
Descripción: esta actualización soluciona una regresión no relacionada con la seguridad introducida en Mac OS X 10.5.6. Es posible que las cookies no se establezcan correctamente si un sitio web intenta establecer una cookie de sesión proporcionando un valor nulo en el campo "expires", en lugar de omitir el campo. Esta actualización soluciona el problema ignorando el campo "expires" si tiene un valor nulo.
CFNetwork
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: restablece el correcto funcionamiento de las cookies de sesión en todas las aplicaciones
Descripción: esta actualización soluciona una regresión no relacionada con la seguridad introducida en Mac OS X 10.5.6. Es posible que CFNetwork no guarde las cookies en el disco si varias aplicaciones abiertas intentan establecer cookies de sesión. Esta actualización soluciona el problema asegurando que cada aplicación almacena sus cookies de sesión por separado.
Certificate Assistant
ID de CVE: CVE-2009-0011
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: un usuario local puede manipular archivos con los privilegios de otro usuario que ejecute Certificate Assistant
Descripción: existe una operación de archivo no segura en el manejo de archivos temporales por parte de Certificate Assistant. Esto podría permitir a un usuario local sobrescribir archivos con los privilegios de otro usuario que esté ejecutando Certificate Assistant. Esta actualización soluciona el problema mediante la gestión mejorada de los archivos temporales. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Apple.
ClamAV
ID de CVE: CVE-2008-5050, CVE-2008-5314
Disponible para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impacto: múltiples vulnerabilidades en ClamAV 0.94
Descripción: existen múltiples vulnerabilidades en ClamAV 0.94, la más grave de las cuales puede conducir a la ejecución arbitraria de código. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.94.2. ClamAV se distribuye únicamente con sistemas Mac OS X Server. Más información en el sitio web de ClamAV en http://www.clamav.net/
CoreText
ID de CVE: CVE-2009-0012
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: la visualización de contenido Unicode creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: puede producirse un desbordamiento de búfer de memoria dinámica al procesar cadenas Unicode en CoreText. El uso de CoreText para manejar cadenas Unicode creadas con fines malintencionados, como cuando se visualiza una página web creada con fines malintencionados, puede resultar en una terminación inesperada de la aplicación o en la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Rosyna de Unsanity por informar de este problema.
CUPS
ID de CVE: CVE-2008-5183
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: visitar un sitio web creado con fines malintencionados puede provocar la finalización inesperada de la aplicación
Descripción: si se supera el número máximo de suscripciones RSS, se produce una desviación de puntero nulo en la interfaz web de CUPS. Esto puede provocar la finalización inesperada de la aplicación al visitar un sitio web creado con fines malintencionados. Para desencadenar este problema, el atacante debe conocer las credenciales de usuario válidas o bien deben estar almacenadas en caché en el navegador web del usuario. CUPS se reiniciará automáticamente después de que se desencadena este problema. Esta actualización soluciona el problema gestionando correctamente el número de suscripciones RSS. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5.
DS Tools
CVE-ID: CVE-2009-0013
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: las contraseñas suministradas a dscl están expuestas a otros usuarios locales
Descripción: La herramienta de línea de comandos dscl requería que se le pasaran las contraseñas en sus argumentos, exponiendo potencialmente las contraseñas a otros usuarios locales. Las contraseñas expuestas incluyen las de usuarios y administradores. Con esta actualización, el parámetro de la contraseña pasa a ser opcional y, en caso de ser necesario, dscl solicitará la contraseña. Gracias a Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: múltiples vulnerabilidades en fetchmail 6.3.8
Descripción: existen múltiples vulnerabilidades en fetchmail 6.3.8, la más grave de las cuales puede provocar una denegación de servicio. Esta actualización resuelve los problemas actualizando a la versión 6.3.9. Más información en el sitio web de fetchmail en http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: otros usuarios locales pueden acceder a la carpeta Descargas
Descripción: existe un problema de permisos por defecto en Folder Manager. Cuando un usuario elimina su carpeta Descargas y Folder Manager la vuelve a crear, la carpeta se crea con permisos de lectura para todo el mundo. Esta actualización soluciona el problema haciendo que Folder Manager limite los permisos para que sólo el usuario pueda acceder a la carpeta. Este problema sólo afecta a las aplicaciones que utilizan Folder Manager. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Graham Perrin de CENTRIM, University of Brighton por informar de este problema.
FSEvents
CVE-ID: CVE-2009-0015
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: utilizando el marco FSEvents, un usuario local puede ver la actividad del sistema de archivos que de otro modo no estaría disponible
Descripción: existe un problema de gestión de credenciales en fseventsd. Mediante el uso del marco FSEvents, un usuario local puede ver la actividad del sistema de archivos que de otro modo no estaría disponible. Esto incluye el nombre de un directorio que el usuario no podría ver de otro modo, y la detección de actividad en el directorio en un momento dado. Esta actualización soluciona el problema mejorando la validación de credenciales en fseventsd. Este problema no afecta a sistemas anteriores a Mac OS X v10.5. Gracias a Mark Dalrymple por informar de este problema.
Network Time
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: se ha actualizado la configuración del servicio Hora de red
Descripción: como medida de seguridad proactiva, esta actualización cambia la configuración por defecto del servicio Hora de red. La información sobre la hora y la versión del sistema ya no estará disponible en la configuración predeterminada de ntpd. En los sistemas Mac OS X v10.4.11, la nueva configuración entra en vigor tras un reinicio del sistema cuando el servicio Hora de red está activado.
perl
ID de CVE: CVE-2008-1927
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: usar expresiones regulares que contengan caracteres UTF-8 puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código
Descripción: existe un problema de corrupción de memoria en el manejo de ciertos caracteres UTF-8 en expresiones regulares. Analizar expresiones regulares creadas con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de un código arbitrario. Esta actualización soluciona el problema mediante la validación adicional de las expresiones regulares.
Printing
ID de CVE: CVE-2009-0017
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: un usuario local puede obtener privilegios del sistema
Descripción: existe un problema de gestión de errores en csregprinter, que puede provocar un desbordamiento de búfer de memoria dinámica. Esto puede permitir a un usuario local obtener privilegios del sistema. Esta actualización soluciona el problema mediante la gestión mejorada de los errores. Gracias a Lars Haulin por informar de este problema.
python
ID de CVE: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: múltiples vulnerabilidades en python
Descripción: existen múltiples vulnerabilidades en python, la más grave de las cuales puede conducir a la ejecución de código arbitrario. Esta actualización resuelve los problemas mediante la aplicación de parches del proyecto python.
Remote Apple Events
ID de CVE: CVE-2009-0018
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: El envío de eventos de Remote Apple puede conducir a la divulgación de información sensible
Descripción: existe un problema de búfer no inicializado en el servidor Remote Apple Events que puede dar lugar a la divulgación del contenido de la memoria a clientes de red. Esta actualización soluciona el problema mediante una correcta inicialización de la memoria. Gracias a Apple.
Remote Apple Events
ID de CVE: CVE-2009-0019
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: la activación de Remote Apple Events puede provocar la finalización inesperada de la aplicación o la divulgación de información confidencial
Descripción: existe un acceso a memoria fuera de los límites en Remote Apple Events. La activación de Remote Apple Events puede provocar la finalización inesperada de la aplicación o la divulgación de información confidencial a los clientes de la red. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Apple.
Safari RSS
ID de CVE: CVE-2009-0137
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: el acceso a un feed: URL creado con fines malintencionados puede conducir a la ejecución de código arbitrario
Descripción: existen múltiples problemas de validación de entradas en el manejo de los feed: URL. Los problemas permiten la ejecución de JavaScript arbitrario en la zona de seguridad local. Esta actualización soluciona los problemas gracias a la mejora de la gestión de JavaScript incrustado en los feeds: URL. Gracias a Clint Ruoho de Laconic Security, Billy Rios de Microsoft y Brian Mastenbrook por informar de estos problemas.
servermgrd
ID de CVE: CVE-2009-0138
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: los atacantes remotos pueden ser capaces de acceder a Server Manager sin credenciales válidas
Descripción: un problema en la validación de credenciales de autenticación de Server Manager podría permitir a un atacante remoto alterar la configuración del sistema. Esta actualización soluciona el problema mediante una validación adicional de las credenciales de autenticación. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Apple.
SMB
ID de CVE: CVE-2009-0139
Disponible para: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: la conexión a un sistema de archivos SMB creado con fines malintencionados puede provocar un cierre inesperado del sistema o la ejecución de código arbitrario con privilegios del sistema
Descripción: un desbordamiento de enteros en el sistema de archivos SMB puede provocar un desbordamiento de búfer de memoria dinámica. La conexión a un sistema de archivos SMB creado con fines malintencionados puede provocar un cierre inesperado del sistema o la ejecución de código arbitrario con privilegios del sistema. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5. Gracias a Apple.
SMB
ID de CVE: CVE-2009-0140
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: la conexión a un servidor de archivos SMB creado con fines malintencionados puede provocar un cierre inesperado del sistema
Descripción: existe un problema de agotamiento de memoria en la gestión de los nombres del sistema por parte de SMB File System. La conexión a un servidor de archivos SMB creado con fines malintencionados puede provocar un cierre inesperado del sistema. Esta actualización soluciona el problema limitando la cantidad de memoria asignada por el cliente para los nombres de los sistemas de archivos. Gracias a Apple.
SquirrelMail
ID de CVE: CVE-2008-2379, CVE-2008-3663
Disponible para: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impacto: múltiples vulnerabilidades en SquirrelMail
Descripción: SquirrelMail se actualiza a la versión 1.4.17 para corregir varias vulnerabilidades, la más grave de las cuales es un problema de secuencia de comandos en sitios cruzados. Hay más información disponible en el sitio web de SquirrelMail en http://www.SquirrelMail.org/
X11
ID de CVE: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: múltiples vulnerabilidades en el servidor X11
Descripción: existen múltiples vulnerabilidades en el servidor X11. La más grave de ellas puede conducir a la ejecución de código arbitrario con los privilegios del usuario que ejecuta el servidor X11, si el atacante puede autenticarse en el servidor X11. Esta actualización soluciona los problemas aplicando los parches X.Org actualizados. Más información en el sitio web de X.Org en http://www.x.org/wiki/Development/Security
X11
ID de CVE: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impacto: múltiples vulnerabilidades en FreeType v2.1.4
Descripción: existen múltiples vulnerabilidades en FreeType v2.1.4, la más grave de las cuales puede conducir a la ejecución de código arbitrario al procesar un tipo de letra creado con fines malintencionados. Esta actualización resuelve los problemas mediante la incorporación de las correcciones de seguridad de FreeType 2.3.6 y versiones posteriores. Más información en el sitio web de FreeType en http://www.freetype.org/ Los problemas ya se han solucionado en los sistemas que ejecutan Mac OS X v10.5.6.
X11
ID de CVE: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impacto: múltiples vulnerabilidades en LibX11
Descripción: existen múltiples vulnerabilidades en LibX11, la más grave de las cuales puede conducir a la ejecución de código arbitrario al procesar un tipo de letra creado con fines malintencionados. Esta actualización soluciona los problemas aplicando los parches X.Org actualizados. Más información en el sitio web de X.Org en http://www.x.org/wiki/Development/Security Estos problemas no afectan a los sistemas que ejecutan Mac OS X v10.5 o versiones posteriores.
XTerm
ID de CVE: CVE-2009-0141
Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impacto: un usuario local puede enviar información directamente al Xterm de otro usuario
Descripción: existe un problema de permisos en Xterm. Cuando se utiliza con luit, Xterm crea dispositivos tty accesibles para todo el mundo. Esta actualización soluciona el problema haciendo que Xterm limite los permisos para que los dispositivos tty sólo sean accesibles por el usuario.
Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.