Acerca del contenido de seguridad de OS X Lion v10.7.2 y la Actualización de seguridad 2011-006

En este documento se describe el contenido de seguridad de OS X Lion v10.7.2 y la Actualización de seguridad 2011-006.

Este documento describe el contenido de seguridad de OS X Lion v10.7.2 y la Actualización de seguridad 2011-006, que se pueden descargar e instalar desde las preferencias de Actualización de software, o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
 

OS X Lion v10.7.2 y Actualización de seguridad 2011-006

  • Apache

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Varias vulnerabilidades en Apache

    Descripción: Apache se ha actualizado a la versión 2.2.20 para solucionar varias vulnerabilidades. La más grave de ellas puede provocar la denegación del servicio. CVE-2011-0419 no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Apache: http://httpd.apache.org/.

    ID CVE

    CVE-2011-0419

    CVE-2011-3192

  • Firewall de aplicaciones

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La ejecución de un binario con un nombre creado con fines malintencionados puede provocar una ejecución de código arbitrario con privilegios de alto nivel

    Descripción: Existía una vulnerabilidad de cadena de formato en el registro de depuración del Firewall de aplicación.

    ID CVE

    CVE-2011-0185: Un informador anónimo

  • ATS

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados pueden provocar la ejecución de código arbitrario

    Descripción: Existía un problema de signo numérico cuando ATS manejaba tipos de letra de tipo 1. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3437

  • ATS

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización o la descarga de un documento que contenga un tipo de letra incrustado creado con fines malintencionados pueden provocar la ejecución de código arbitrario

    Descripción: Existía un problema de acceso a memoria fuera de los límites cuando ATS manejaba tipos de letra de tipo 1. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0229: Will Dormann de CERT/CC.

  • ATS

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Las aplicaciones que utilizan la API ATSFontDeactivate podrían ser vulnerables a una finalización inesperada de la aplicación o ejecución de código arbitrario

    Descripción: Existía un problema de desbordamiento del búfer en la API ATSFontDeactivate.

    ID CVE

    CVE-2011-0230: Steven Michaud de Mozilla

  • BIND

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Varias vulnerabilidades en BIND 9.7.3

    Descripción: Existían varios problemas de denegación de servicio en BIND 9.7.3. Estos problemas están solucionados con la actualización de BIND a la versión 9.7.3-P3.

    ID CVE

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en BIND

    Descripción: Existían varios problemas de denegación de servicio en BIND. Estos problemas están solucionados con la actualización de BIND a la versión 9.6-ESV-R4-P3.

    ID CVE

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Política de confianza en certificados

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1.

    Impacto: Los certificados raíz se han actualizado

    Descripción: Se han añadido varios certificados de confianza a la lista de certificados raíz del sistema. Varios de los certificados existentes se han actualizado a su versión más reciente. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

  • CFNetwork

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Safari podría almacenar cookies que está configurado para no aceptar

    Descripción: Existía un problema de sincronización cuando CFNetwork manejaba las políticas de cookies. Las preferencias de cookies de Safari podrían no respetarse, permitiendo a sitios web configurar las cookies que estarían bloqueadas si las preferencias se respetaran. Esta actualización soluciona el problema con un manejo mejorado del almacenamiento de cookies.

    ID CVE

    CVE-2011-0231: Martin Tessarek, Steve Riggins de Geeks R Us, Justin C. Walker y Stephen Creswell

  • CFNetwork

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visita a un sitio web creado con fines malintencionados puede ocasionar la divulgación de información confidencial

    Descripción: Existía un problema en el procesamiento de las cookies HTTP por parte de CFNetwork. Al acceder a una URL HTTP o HTTPS creada con fines malintencionados, CFNetwork enviaba incorrectamente las cookies para un dominio a un servidor fuera de dicho dominio. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3246: Erling Ellingsen de Facebook

  • CoreFoundation

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria cuando CoreFoundation manejaba las cadenas de token. Este problema no afecta a los sistemas OS X Lion. En esta actualización se soluciona el problema mejorando la comprobación de los límites.

    ID CVE

    CVE-2011-0259: Apple

  • CoreMedia

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visita a un sitio web creado con fines malintencionados puede provocar la divulgación de datos de vídeo de otro sitio

    Descripción: Existía un problema de origen cruzado en la gestión de redireccionamientos entre sitios cruzados por parte de CoreMedia. Este problema se resuelve con un seguimiento de orígenes mejorado.

    ID CVE

    CVE-2011-0187: Nirankush Panchbhai y Microsoft Vulnerability Research (MSVR).

  • CoreMedia

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria cuando QuickTime manejaba los archivos de película. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0224: Apple

  • CoreProcesses

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Una persona con acceso físico a un sistema podría omitir parcialmente el bloqueo de pantalla

    Descripción: Una ventana de sistema, como un cuadro de diálogo solicitando una contraseña VPN, que aparece cuando la pantalla está bloqueada podría aceptar pulsaciones. Este problema se ha solucionado impidiendo que las ventanas de sistema soliciten pulsaciones mientras la pantalla está bloqueada. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-0260: Clint Tseng de la University of Washington, Michael Kobb y Adam Kemp

  • CoreStorage

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La conversión a FileVault no elimina todos los datos existentes

    Descripción: Después de activar FileVault, se han dejado sin encriptar aproximadamente 250 MB al comienzo del volumen en una zona sin usar del disco. Únicamente los datos que estaban en el volumen antes de que se activara FileVault se han dejado sin encriptar. Este problema se resuelve borrando los datos de esta zona al activar FileVault en el primer uso de un volumen encriptado afectado por este problema. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3212: Judson Powers de ATC-NY

  • Sistemas de archivo

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un atacante con una posición de red privilegiada podría manipular los certificados de servidores HTTPS, provocando la divulgación de información confidencial

    Descripción: Existía un problema en el manejo de volúmenes WebDAV de los servidores HTTPS. Si el servidor presentaba una cadena de certificados que no se podía verificar automáticamente, se mostraba una advertencia y se cerraba la conexión. Si el usuario hacía clic en el botón "Continuar" del cuadro de diálogo de advertencia, se aceptaban todos los certificados de la siguiente conexión a dicho servidor. Un atacante con una posición de red privilegiada podría manipular la conexión para obtener información confidencial o realizar acciones en el servidor en nombre del usuario. Esta actualización resuelve el problema comprobando que el certificado recibido durante la segunda conexión es el mismo que se presentó originalmente al usuario.

    ID CVE

    CVE-2011-3213: Apple

  • IOGraphics

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Una persona con acceso físico podría omitir el bloqueo de pantalla

    Descripción: Existía un problema con el bloqueo de pantalla cuando se utilizaba con monitores Apple Cinema Display. Cuando se requiere una contraseña para activar tras el reposo, una persona con acceso físico podría acceder al sistema sin contraseña si el sistema está en el modo reposo de la pantalla. Esta actualización resuelve el problema asegurando que el bloqueo de pantalla está correctamente activado en el modo reposo de la pantalla. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3214: Apple

  • Servidor de iChat

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un atacante remoto podría provocar que el servidor Jabber consumiera desproporcionadamente los recursos del sistema

    Descripción: Existía un problema en el manejo de entidades externas de XML de jabberd2, un servidor para el protocolo Extensible Messaging and Presence Protocol (XMPP). jabberd2 expande las entidades externas en las solicitudes entrantes. Esto le permite al atacante consumir recursos del sistema muy rápidamente, denegando el servicio a usuarios legítimos del servidor. Esta actualización resuelve el problema desactivando la expansión de entidades en las solicitudes entrantes.

    ID CVE

    CVE-2011-1755

  • Kernel

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Una persona con acceso físico podría acceder a la contraseña del usuario

    Descripción: Un error lógico en la protección DMA de kernel permitía el firewire DMA en los estados de ventana de inicio de sesión, arranque y apagado, pero no en el de bloqueo de pantalla. Esta actualización resuelve el problema evitando el firewire DMA en todos los estados en los que el usuario no ha iniciado sesión.

    ID CVE

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario sin privilegios podría eliminar los archivos de otro usuario en un directorio compartido

    Descripción: Existía un error lógico cuando kernel gestionaba la eliminación de archivos en directorios con el sticky bit.

    ID CVE

    CVE-2011-3216: Gordon Davisson de Crywolf; Linc Davis, R. Dormer, Allan Schmid y Oliver Jeckel de brainworks Training

  • libsecurity

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un error de manejo al analizar una lista de extensiones de revocación de certificados no estándar.

    ID CVE

    CVE-2011-3227: Richard Godbee de Virginia Tech

  • Mailman

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en Mailman 2.1.14

    Descripción: Existían varios problemas de secuencias de comandos entre sitios cruzados en Mailman 2.1.14. Estos problemas se solucionan con la codificación mejorada de los caracteres en la salida HTML. Para obtener más información, visita el sitio web de Mailman http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0707

  • MediaKit

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: La apertura de una imagen de disco creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria en el manejo de imágenes de disco. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3217: Apple

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Cualquier usuario podría leer los datos de contraseña de otro usuario local

    Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3435: Arek Dreyer de Dreyer Network Consultants, Inc, y Patrick Dunstan en defenseindepth.net

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario autenticado podría cambiar la contraseña de la cuenta sin proporcionar la contraseña actual

    Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3436: Patrick Dunstan en defenceindepth.net

  • Open Directory

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario podría iniciar sesión sin la contraseña

    Descripción: Cuando Open Directory está enlazado con un servidor LDAPv3 usando RFC2307 o asignaciones estándar, como cuando no hay atributo de AuthenticationAuthority para un usuario, un usuario LDAP podría iniciar sesión sin contraseña. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3226: Jeffry Strunk de la University of Texas en Austin, Steven Eppler de Colorado Mesa University, Hugh Cole-Baker, y Frederic Metoz del Institut de Biologie Structurale

  • PHP

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visualizar un archivo PDF creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de presencia de signo cuando FreeType manejaba tipos de letra de tipo 1. Este problema se resuelve con la actualización de FreeType a la versión 2.4.6. Este problema no afecta a los sistemas anteriores a OS X Lion. Más información disponible mediante el sitio de FreeType en /http://www.freetype.org/.

    ID CVE

    CVE-2011-0226

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Varias vulnerabilidades en libpng versión 1.4.3

    Descripción: libpng se actualiza a la versión 1.5.4 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html.

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en PHP 5.3.4

    Descripción: PHP se ha actualizado a la versión 5.3.6 para resolver varias vulnerabilidades, la más grave de las cuales podría provocar la ejecución de código arbitrario. Este problema no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de PHP en http://www.php.net/.

    ID CVE

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en Postfix

    Descripción: Postfix se ha actualizado a la versión 2.5.14 para resolver varias vulnerabilidades, la más grave de las cuales permite a un atacante con una posición de red privilegiada manipular la sesión de correo para obtener información confidencial desde el tráfico encriptado. Estos problemas no deberían afectar a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Postfix en http://www.postfix.org/announcements/postfix-2.7.3.html.

    ID CVE

    CVE-2011-0411

    CVE-2011-1720

  • python

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Múltiples vulnerabilidades en python

    Descripción: Existían varias vulnerabilidades en python, la más grave de las cuales puede provocar la ejecución de código arbitrario. En esta actualización el problema se resuelve aplicando revisiones del proyecto Python. Para obtener más información, visita el sitio web de python en http://www.python.org/download/releases/.

    ID CVE

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de memoria cuando QuickTime manejaba archivos de película.

    ID CVE

    CVE-2011-3228: Apple

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de montículo en la gestión de átomos STSC en los archivos de película de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0249: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de montículo en la gestión de átomos STSS en los archivos de película de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0250: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer de montículo en la gestión de átomos STSZ en los archivos de película de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0251: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento de búfer de montículo en el manejo de átomos STTS en los archivos de película de QuickTime. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-0252: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Un atacante con una posición de red privilegiada podría inyectar scripts en un dominio local cuando se visualiza una plantilla HTML

    Descripción: Existía un problema de secuencias de comandos entre sitios cruzados en la exportación de QuickTime Player "Guardar para web". Los archivos de plantilla HTML generados por esta característica hacían referencia a un archivo de script con un origen no encriptado. Un atacante con una posición de red privilegiada podría inyectar scripts creados con fines malintencionados en el dominio local si el usuario visualiza un archivo de plantilla localmente. Este problema se puede solucionar eliminando la referencia a un script en línea. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3218: Aaron Sigel de vtty.com

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento en el búfer de montículo cuando QuickTime manejaba los archivos de película codificados de H.264.

    ID CVE

    CVE-2011-3219: Damian Put en colaboración con la Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Ver un archivo de película creado con fines malintencionados puede provocar la revelación de contenido de la memoria

    Descripción: Existía un problema de acceso a la memoria no inicializada cuando QuickTime manejaba los datos de los usuarios de URL dentro de los archivos de película.

    ID CVE

    CVE-2011-3220: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un problema de implementación cuando QuickTime manejaba la jerarquía de átomos dentro de un archivo de película.

    ID CVE

    CVE-2011-3221: Un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: La visualización de un archivo FlashPix creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer cuando QuickTime manejaba archivos FlashPix.

    ID CVE

    CVE-2011-3222: Damian Put en colaboración con Zero Day Initiative de TippingPoint

  • QuickTime

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Visualizar un archivo de película creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: Existía un desbordamiento del búfer cuando QuickTime manejaba archivos FLIC.

    ID CVE

    CVE-2011-3223: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

  • Servidor de archivos SMB

    Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Un usuario invitado podría explorar carpetas compartidas

    Descripción: Existía un problema de control de acceso en el servidor de archivos SMB. Si se desautoriza el acceso de invitado al registro de punto compartido para una carpeta, se evita que el usuario '_unknown' explore el punto compartido, pero no los invitados (usuario 'nobody'). Este problema se resuelve aplicando el control de acceso al usuario invitado. Este problema no afecta a los sistemas anteriores a OS X Lion.

    ID CVE

    CVE-2011-3225

  • Tomcat

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Varias vulnerabilidades en Tomcat 6.0.24

    Descripción: Tomcat se ha actualizado a la versión 6.0.32 para solucionar varias vulnerabilidades; la más grave de ellas podía producir la ejecución de secuencias de comandos entre sitios. Tomcat solo se suministra con sistemas Mac OS X Server. Este problema no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Tomcat en http://tomcat.apache.org/.

    ID CVE

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Documentación del usuario

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impacto: Un atacante con una posición de red privilegiada podría manipular el contenido de la ayuda de la App Store, provocando la ejecución de código arbitrario

    Descripción: El contenido de la ayuda de la App Store se ha actualizado a través de HTTP. Esta actualización soluciona el problema actualizando el contenido de la ayuda de la App Store a través de HTTPS. Este problema no afecta a los sistemas OS X Lion.

    ID CVE

    CVE-2011-3224: Aaron Sigel de vtty.com y Brian Mastenbrook

  • Servidor web

    Disponible para: Mac OS X Server v10.6.8

    Impacto: Puede que los clientes no puedan acceder a servicios web que requieren autenticación Digest

    Descripción: Se ha resuelto el problema en el manejo de la autenticación HTTP Digest. Puede que a los usuarios se les deniegue el acceso a los recursos del servidor, cuando la configuración del servidor debería haber permitido el acceso. Este problema no representa un riesgo para la seguridad y se ha solucionado para facilitar el uso de mecanismos de autenticación más fuertes. Los sistemas con OS X Lion Server no están afectados por este problema.

  • X11

    Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

    Impacto: Varias vulnerabilidades en libpng

    Descripción: Existían varias vulnerabilidades en libpng, la más grave de las cuales puede provocar la ejecución de código arbitrario. Estos problemas se resuelven con la actualización de libpng a la versión 1.5.4 en sistemas OS Lion, y a la versión 1.2.46 en sistemas Mac OS X v10.6. Para obtener más información, visita el sitio web de libpng en http://www.libpng.org/pub/png/libpng.html.

    ID CVE

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: