Este artículo se ha archivado y Apple ya no lo actualiza.

Acerca de la actualización de seguridad 2009-005

En este documento se describe la actualización de seguridad 2009-005.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Actualización de seguridad 2009-005

  • Alias Manager

    ID de CVE: CVE-2009-2800

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: abrir un archivo alias creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de búfer en la gestión de los archivo alias. Abrir de un archivo alias creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.

  • CarbonCore

    ID de CVE: CVE-2009-2803

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un problema de corrupción de memoria en la gestión de las bifurcaciones de recursos por parte de Resource Manager. Abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mejorando la validación de las bifurcaciones de recursos. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.

  • ClamAV

    ID de CVE: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    Disponible para: Mac OS X Server v10.5.8

    Impacto: múltiples vulnerabilidades en ClamAV 0.94.2

    Descripción: existen múltiples vulnerabilidades en ClamAV 0.94.2, la más grave de las cuales puede llevar a la ejecución de código arbitrario. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.95.2. ClamAV se distribuye únicamente con sistemas Mac OS X Server. Más información en el sitio web de ClamAV en http://www.clamav.net/ Estos problemas no afectan a los sistemas Mac OS X v10.6.

  • ColorSync

    ID de CVE: CVE-2009-2804

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: la visualización de una imagen creada con fines malintencionados con un perfil ColorSync integrado puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código

    Descripción: existe un desbordamiento de enteros en el tratamiento de imágenes con un perfil ColorSync integrado, que puede provocar un desbordamiento de búfer de memoria dinámica. La apertura de una imagen creada con fines malintencionados con un perfil ColorSync integrado podría provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema realizando una validación adicional de los perfiles ColorSync. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.

  • CoreGraphics

    ID de CVE: CVE-2009-2805

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: abrir un archivo PDF creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código

    Descripción: un desbordamiento de enteros en el manejo de archivos PDF por parte de CoreGraphics puede dar lugar a un desbordamiento de búfer de memoria dinámica. Abrir un archivo PDF que contenga una cadena JBIG2 creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Gracias a Will Dormann de CERT/CC por informar de este problema. Este problema no afecta a los sistemas Mac OS X v10.6.

  • CoreGraphics

    ID de CVE: CVE-2009-2468

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código

    Descripción: existe un desbordamiento del búfer de memoria dinámica en el dibujo de cadenas de texto largas. Visitar un sitio web creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Will Drewry de Google Inc. por informar de este problema.

  • CUPS

    ID de CVE: CVE-2009-0949

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: un atacante remoto puede ser capaz de denegar el acceso al servicio de uso compartido de impresoras

    Descripción: Existe una desviación de puntero nulo en CUPS. Mediante el envío repetido de solicitudes de programación creadas con fines malintencionados, un atacante remoto puede ser capaz de denegar el acceso al servicio de uso compartido de impresoras. Esta actualización soluciona el problema mejorando la validación de las solicitudes de programación. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Anibal Sacco de CORE IMPACT Exploit Writing Team (EWT) en Core Security Technologies por informar de este problema.

  • CUPS

    ID de CVE: CVE-2009-2807

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: un usuario local sin privilegios puede obtener privilegios del sistema

    Descripción: existe un desbordamiento de búfer de memoria interna en el backend USB de CUPS. Esto puede permitir a un usuario local obtener privilegios del sistema. Esta actualización soluciona el problema mediante la comprobación mejorada de los límites especificados. Este problema no afecta a sistemas anteriores a Mac OS X v10.5 o Mac OS X v10.6.

  • Flash Player plug-in

    ID de CVE: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: múltiples vulnerabilidades en el plug-in de Adobe Flash Player

    Descripción: existen varios problemas en el plug-in de Adobe Flash Player, el más grave de los cuales puede dar lugar a la ejecución de código arbitrario al visualizar un sitio web creado con fines malintencionados. Los problemas se solucionan actualizando el plug-in de Flash Player en Mac OS v10.5.8 a la versión 10.0.32.18, y a la versión 9.0.246.0 en los sistemas Mac OS X v10.4.11. Para los sistemas Mac OS X v10.6, estos problemas se solucionan en Mac OS X v10.6.1. Más información en el sitio web de Adobe en http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    ID de CVE: CVE-2009-2809

    Disponible para: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: ver una imagen TIFF codificada con PixarFilm creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código

    Descripción: existen múltiples problemas de corrupción de memoria en el manejo de las imágenes TIFF codificadas con PixarFilm por parte de ImageIO. La visualización de una imagen TIFF codificada con PixarFilm creada con fines malintencionados puede provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código. Esta actualización soluciona el problema mediante la validación adicional de las imágenes TIFF codificadas con PixarFilm. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.

  • Launch Services

    ID de CVE: CVE-2009-2811

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: es posible que al intentar abrir un contenido descargado no seguro no aparezca una advertencia

    Descripción: esta actualización añade '.fileloc' a la lista de tipos de contenido del sistema que se marcarán como potencialmente no seguros en determinadas circunstancias, como cuando se descargan de un correo electrónico. Aunque estos tipos de contenido no se abren automáticamente, si se abren manualmente podrían provocar la ejecución de una carga útil diseñada con fines malintencionados. Esta actualización mejora la capacidad del sistema para notificar a los usuarios antes de gestionar los archivos '.fileloc'. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Apple.

  • Launch Services

    ID de CVE: CVE-2009-2812

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: visitar un sitio web creado con fines malintencionados puede llevar a la ejecución de código arbitrario

    Descripción: cuando se descarga una aplicación, Launch Services analiza sus tipos de documentos exportados. Un problema de diseño en el manejo de los tipos de documentos exportados puede hacer que Launch Services asocie una extensión de archivo segura con un Identificador de Tipo Uniforme (UTI) no seguro. Visitar un sitio web creado con fines malintencionados puede hacer que se abra automáticamente un tipo de archivo no seguro. Esta actualización soluciona el problema mejorando la gestión de los tipos de documentos exportados desde aplicaciones que no son de confianza. Este problema no afecta a sistemas anteriores a Mac OS X v10.5 o Mac OS X v10.6. Gracias a Apple.

  • MySQL

    ID de CVE: CVE-2008-2079

    Disponible para: Mac OS X Server v10.5.8

    Impacto: MySQL se ha actualizado a la versión 5.0.82

    Descripción: MySQL se ha actualizado a la versión 5.0.82 para solucionar un problema de implementación que permite a un usuario local obtener privilegios elevados. Este problema afecta únicamente a los sistemas Mac OS X Server. Este problema no afecta a los sistemas Mac OS X v10.6. Más información en el sitio web de MySQL en http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    ID de CVE: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    Disponible para: Mac OS X v10.5, Mac OS X Server v10.5.8

    Impacto: múltiples vulnerabilidades en PHP 5.2.8

    Descripción: PHP se ha actualizado a la versión 5.2.10 para solucionar múltiples vulnerabilidades, la más grave de las cuales puede provocar la ejecución arbitraria de código. Más información en el sitio web de PHP en http://www.php.net/ Estos problemas no afectan a los sistemas Mac OS X v10.6.

  • SMB

    ID de CVE: CVE-2009-2813

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: activar el uso compartido de archivos de Windows puede compartir carpetas inesperadamente

    Descripción: existe una condición de error no comprobada en Samba. Un usuario que no tenga un directorio personal configurado y se conecte al servicio de uso compartido de archivos de Windows podrá acceder al contenido del sistema de archivos, sujeto a los permisos del sistema de archivos local. Esta actualización soluciona el problema mejorando el tratamiento de los errores de resolución de ruta. Este problema no afecta a sistemas anteriores a Mac OS X v10.5 o Mac OS X v10.6. Gracias a J. David Hester de LCG Systems National Institutes of Health por informar de este problema.

  • Wiki Server

    ID de CVE: CVE-2009-2814

    Disponible para: Mac OS X Server v10.5.8

    Impacto: un atacante remoto puede obtener acceso a las cuentas de usuario de Wiki Server

    Descripción: existe un problema de secuencias de comandos en sitios cruzados en el manejo por parte de Wiki Server de las peticiones de búsqueda que contienen datos codificados en formato no UTF-8. Esto puede permitir a un atacante remoto acceder a un Wiki Server con las credenciales del usuario del Wiki Server que realiza la búsqueda. Esta actualización soluciona el problema estableciendo UTF-8 como juego de caracteres por defecto en las respuestas HTTP. Este problema no afecta a sistemas anteriores a Mac OS X v10.5 o Mac OS X v10.6. Gracias a Apple.

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: