Acerca de Security Update 2006-003

En este documento se describe Security Update 2006-003, que puede descargarse e instalarse mediante las preferencias de Actualización de Software, o desde Descargas de Apple.

Para mantener la protección de nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya realizado una investigación exhaustiva y estén disponibles todas las versiones y actualizaciones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta "Cómo utilizar la clave PGP de seguridad de los productos de Apple".

Cuando es posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a la hora de obtener más información.

Para obtener información sobre otras actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Security Update 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: los caracteres introducidos en un campo de texto seguro pueden ser leídos por otras aplicaciones en la misma sesión de ventana

    Descripción: en determinadas circunstancias, al alternar entre campos de entrada de texto, NSSecureTextField no vuelve a activar la introducción de eventos segura. Esto permite que otras aplicaciones en la misma sesión de ventana vean algunos caracteres de entrada y eventos de teclado. Esta actualización soluciona el problema asegurando que se activa correctamente la introducción de eventos segura. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de una imagen GIF o TIFF creada con fines malintencionados puede provocar la ejecución de código arbitrario

    Descripción: la gestión de una imagen GIF o TIFF mal formada puede provocar la ejecución de código arbitrario al analizar una imagen creada con fines malintencionados. Esto afecta a las aplicaciones que utilizan las arquitecturas ImageIO (Mac OS X v10.4 Tiger) o AppKit (Mac OS X v10.3 Panther) para leer imágenes. Esta actualización soluciona el problema realizando una validación adicional de las imágenes GIF y TIFF.

  • BOM

    CVE-ID: CVE-2006-1985

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: descomprimir un archivo puede provocar la ejecución de código arbitrario

    Descripción: un atacante podría provocar un desbordamiento del búfer de montones en BOM creando cuidadosamente un archivo (como un archivo Zip) que contenga nombres de ruta largos. Esto podría provocar la ejecución de código arbitrario. BOM se utiliza para el manejo de archivos en Finder y otras aplicaciones. Esta actualización soluciona el problema mediante la gestión adecuada de las condiciones de límite.

  • BOM

    CVE-ID: CVE-2006-1440

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: descomprimir un archivo comprimido malicioso podría provocar la creación o sobrescritura arbitraria de archivos

    Descripción: un problema con el manejo de los enlaces simbólicos transversales de directorios encontrados en los archivos comprimidos puede hacer que BOM cree o sobrescriba archivos en ubicaciones arbitrarias accesibles al usuario que descomprima el archivo. BOM maneja los archivos por petición del Finder u otras aplicaciones. Esta actualización soluciona el problema asegurándose de que los archivos descomprimidos de un archivo comprimido no se ubiquen fuera del directorio de destino.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: visitar sitios web maliciosos puede provocar la ejecución de código arbitrario

    Descripción: un desbordamiento de enteros en el manejo de la codificación de transferencia por fragmentos puede provocar la ejecución de código arbitrario Safari y otras aplicaciones utilizan CFNetwork. En esta actualización se soluciona el problema mediante una validación adicional. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Disponible para: Mac OS X Server v10.4.6

    Impacto: procesar mensajes de correo electrónico creados con fines malintencionados con ClamAV puede provocar la ejecución de código arbitrario

    Descripción: el software de análisis de virus ClamAV se ha actualizado para incorporar mejoras de seguridad en su última versión. ClamAV apareció por primera vez en Mac OS X v10.4 para analizar correo electrónico. En los casos más graves, este problema podría provocar la ejecución de código arbitrario con los privilegios de ClamAV. Para obtener más información, consulta el sitio web del proyecto en http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: registrar un paquete que no sea de confianza provocar la ejecución de código arbitrario

    Descripción: en determinadas circunstancias, las aplicaciones del sistema registran paquetes de forma implícita. Una característica del API del paquete permite a las bibliotecas dinámicas cargarse y ejecutarse cuando un paquete se registra, incluso aunque la aplicación cliente no lo solicite de forma explícita. Como resultando, se podría ejecutar código arbitrario de un paquete no de confianza sin interacción explícita con el usuario. Esta actualización soluciona el problema cargando y ejecutando las bibliotecas del paquete únicamente en el momento adecuado.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la conversión de cadenas en representación del sistema de archivos puede provocar la ejecución de código arbitrario

    Descripción: un desbordamiento de enteros durante el proceso de una condición de límite en CFStringSystemRepresentation podría provocar la ejecución de código arbitrario. Las aplicaciones que utilizan este API o uno de los API relacionados, como getFileSystemRepresentation:maxLength:withPath: de NSFileManager puede desencadenar este problema y provocar la ejecución de código arbitrario. Esta actualización soluciona el problema mediante la gestión adecuada de las condiciones de límite.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: los caracteres introducidos en un campo de texto seguro pueden ser leídos por otras aplicaciones en la misma sesión de ventana

    Descripción: Quark Event Services proporciona aplicaciones con la capacidad de observar y modificar eventos del usuario de bajo nivel. Normalmente, las aplicaciones no pueden interceptar eventos cuando se habilita la introducción segura de eventos. No obstante, si la opción "Activar acceso para dispositivos de ayuda" está activada, Quartz Event Services puede utilizarse para interceptar eventos incluso cuando la introducción segura de eventos está activada. Esta actualización soluciona el problema mediante el filtrado de eventos cuando la introducción segura de eventos está activada. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Gracias a Damien Bobillot por informar de este problema.

  • Finder

    CVE-ID: CVE-2006-1448

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: ejecutar un ítem Dirección de Internet puede provocar la ejecución de código arbitrario

    Descripción: los ítems Dirección de Internet son contenedores de URL sencillos que pueden hacer referencia a direcciones URL tipo http://, ftp:// y file://, así como a algunos otros esquemas URL. Estos distintos tipos de ítems Dirección de Internet se diferencian visualmente y se busca que sea seguro ejecutarlos de forma explícita. No obstante, el esquema de la dirección URL puede ser diferente del tipo de Dirección de Internet. Como consecuencia, un atacante podría convencer a un usuario para que ejecutase un ítem supuestamente benigno (como una Dirección de Internet Web, http://) y el resultado sería la ejecución de otro esquema URL. En determinadas circunstancias, esto puede provocar la ejecución de código arbitrario. Esta actualización soluciona estos problemas restringiendo el esquema URL para que se base en el tipo de Dirección de Internet.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: las operaciones de FTP realizadas por usuarios de FTP autenticados pueden provocar la ejecución de código arbitrario

    Descripción: diversos problemas en el manejo de los nombres de ruta de servidores FTP podrían provocar un desbordamiento de búfer. Un usuario autenticado malicioso podría desencadenar este desbordamiento, el cual podría a su vez provocar la ejecución de código arbitrario con los privilegios del servidor FTP. Esta actualización soluciona el problema mediante la gestión adecuada de las condiciones de límite.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la reproducción de contenidos Flash podría provocar la ejecución de código arbitrario

    Descripción: Adobe Flash Player contiene vulnerabilidades críticas que podría provocar la ejecución de código arbitrario al cargar archivos creados especialmente. Puedes encontrar más información en el sitio web de Adobe en http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Esta actualización soluciona el problema con la incorporación de Flash Player 8.0.24.0.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de una imagen JPEG creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: se produce un desbordamiento de enteros al procesar metadatos JPEG que puede provocar un desbordamiento del búfer de montones. Creando cuidadosamente una imagen con metadatos JPEG mal formados, un atacante podría provocar la ejecución de código arbitrario al visualizarse dicha imagen. Esta actualización soluciona el problema realizando una validación adicional de las imágenes Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Gracias a Brent Simmons, de NewsGator Technologies, Inc. por informar de este problema.

  • Llavero

    CVE-ID: CVE-2006-1446

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: una aplicación podría utilizar ítems del Llavero cuando el Llavero está bloqueado

    Descripción: cuando un Llavero está bloqueado, las aplicaciones no pueden acceder a los elementos que contiene sin solicitar antes que el Llavero se desbloquee. No obstante, una aplicación que haya obtenido una referencia a un ítem del Llavero antes de que éste se bloqueara podría, en determinadas circunstancias, seguir utilizando ese ítem independientemente de que el Llavero esté o no bloqueado. Esta actualización soluciona el problema rechazando las peticiones para utilizar ítems del Llavero cuando se encuentra bloqueado. Gracias a Tobias Hahn de HU Berlin por informar de este problema.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de un sitio web malicioso podría provocar la ejecución de código arbitrario

    Descripción: las extensiones de nombre de archivo largas pueden impedir que la validación de descargas determine correctamente la aplicación con la que debe abrirse un ítem. Como resultado, un atacante podría evitar la validación de descargas y conseguir que Safari abra automáticamente contenidos no seguros si la opción "Abrir archivos 'seguros' al descargarlos" está activada y determinadas aplicaciones no están instaladas. Esta actualización soluciona el problema mejorando la comprobación de la extensión de los nombres de archivo. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la gestión de URL por parte de libcurl podría provocar la ejecución de código arbitrario

    Descripción: la biblioteca HTTP de código abierto libcurl contiene desbordamientos de búfer en el manejo de direcciones URL. Las aplicaciones que utilicen curl para el manejo de URL pueden desencadenar el problema y provocar la ejecución de código arbitrario. Esta actualización resuelve el problema actualizando libcurl a la versión 7.15.1. Este problema no afecta a los sistemas anteriores a Mac OS X 10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de un mensaje de correo malintencionado podría provocar la ejecución de código arbitrario

    Descripción: creando un mensaje de correo electrónico especialmente diseñado con adjuntos encapsulados MacMIME, un atacante podría desencadenar un desbordamiento de enteros. Esto podría provocar la ejecución de código arbitrario con los privilegios del usuario que ejecuta Mail. Esta actualización soluciona el problema realizando comprobaciones adicionales de los mensajes.

  • Mail

    CVE-ID: CVE-2006-1450

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de un mensaje de correo malintencionado podría provocar la ejecución de código arbitrario

    Descripción: el manejo de información de color no válida en mensajes de correo con texto enriquecido podría provocar la asignación e inicialización de clases arbitrarias. Esto podría provocar la ejecución de código arbitrario con los privilegios del usuario que ejecuta Mail. Esta actualización soluciona el problema gestionando correctamente los datos mal formados de texto enriquecido.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Disponible para: Mac OS X Server v10.4.6

    Impacto: puede accederse a la base de datos MySQL con una contraseña vacía

    Descripción: durante la configuración inicial de un servidor de base de datos MySQL utilizando MySQL Manager, puede introducirse la "New MySQL root password" ("Nueva contraseña raíz MySQL"). Sin embargo, esta contraseña no se utiliza en realidad. Por lo tanto, la contraseña root de MySQL se quedará vacía. Un usuario local podría entonces acceder a la base de datos MySQL con todos los privilegios. Esta actualización soluciona el problema cerciorándose de que la contraseña introducida se guarde. Este problema no afecta a sistemas anteriores a Mac OS X v10.4. Gracias a Ben Low de la University of New South Wales por informar de este problema.

  • Vista previa

    CVE-ID: CVE-2006-1452

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: navegar por una jerarquía de directorios creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: cuando se navega por jerarquías de directorios muy profundas en Vista Previa, podría desencadenarse un desbordamiento del búfer de pila. Creando cuidadosamente un jerarquía de directorios de este tipo, un atacante podría provocar la ejecución de código arbitrario si los directorios se abren en Vista Previa. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: la visualización de una imagen PICT creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existen dos problemas que afectan a QuickDraw al procesar imágenes PICT. La información sobre fuentes mal formada puede provocar un desbordamiento del búfer de pila, y los datos de imagen mal formados pueden provocar un desbordamiento del búfer de montones. Creando cuidadosamente una imagen PICT con fines malintencionados, un atacante podría provocar la ejecución de código arbitrario cuando se visualice la imagen. Esta actualización soluciona el problema realizando una validación adicional de las imágenes PICT. Gracias a Mike Price de McAfee AVERT Labs por informar de este problema.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Disponible para: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impacto: una película QuickTime mal formada podría hacer que el QuickTime Streaming Server se bloquee

    Descripción: una película QuickTime a la que falte una pista podría provocar una falta de referencia a un puntero nulo, con lo que el proceso del servidor se bloquearía. Esto llevaría a la interrupción de las conexiones activas de los clientes. No obstante, el servidor se reinicia automáticamente. Esta actualización soluciona el problema emitiendo un error cuando se encuentran películas mal formadas.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Disponible para: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impacto: una petición RTSP creada con fines malintencionados puede provocar bloqueos o la ejecución de código arbitrario

    Descripción: creando cuidadosamente una petición RTSP, un atacante podría desencadenar un desbordamiento de búfer durante el registro del mensaje. Esto podría provocar la ejecución de código arbitrario con los privilegios del QuickTime Streaming Server. Esta actualización soluciona el problema mediante la gestión adecuada de las condiciones de límite. Gracias al equipo de investigación de Mu Security por informar acerca de este problema.

  • Ruby

    CVE-ID: CVE-2005-2337

    Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: las restricciones de nivel seguro de Ruby pueden evitarse

    Descripción: el lenguaje de script Ruby contiene un mecanismo denominado "niveles seguros" que se utiliza para restringir determinadas operaciones. Este mecanismo se usa sobre todo al ejecutar aplicaciones Ruby con privilegios o aplicaciones de red Ruby. En determinadas circunstancias, un atacante podría evitar las restricciones de esas aplicaciones. Las aplicaciones que no dependen de niveles seguros no se ven afectadas. Esta actualización soluciona el problema asegurándose de que los niveles seguros no se puedan evitar.

  • Safari

    CVE-ID: CVE-2006-1457

    Disponible para: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impacto: visitar sitios web malintencionados podría permitir la manipulación de archivos o la ejecución de código arbitrario

    Descripción: cuando la opción de Safari "Abrir archivos 'seguros' al descargarlos" está activada, los archivos se descomprimen automáticamente. Si el archivo comprimido contiene un enlace simbólico, el symlink objetivo podría desplazarse al escritorio del usuario y ejecutarse. Esta actualización soluciona el problema impidiendo la resolución de vínculos simbólicos descargados. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.

Fecha de publicación: