Acerca del contenido de seguridad de la actualización de AirPort 2006-001 y la actualización de seguridad 2006-005
En este documento se describe la actualización de seguridad 2006-005 y el contenido de la actualización de AirPort 2006-001, que se pueden descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta “Cómo utilizar la clave PGP de seguridad de los productos Apple”.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
Actualización de AirPort 2006-001 y actualización de seguridad 2006-005
AirPort
CVE-ID: CVE-2006-3507
Disponible para: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: atacantes en la red inalámbrica podrían provocar la ejecución de código arbitrario
Descripción: la gestión de tramas mal formadas en el controlador inalámbrico AirPort cuenta con dos desbordamientos de búfer de pila independientes. Un atacante en las proximidades podría ser capaz de desencadenar un desbordamiento mediante la inyección en la red inalámbrica de una trama creada con fines malintencionados. Cuando AirPort está activado, esto podría llevar a la ejecución de código arbitrario con privilegios del sistema. Este problema afecta a los ordenadores Mac mini con procesador PowerPC, Power Mac, PowerBook, iBook, iMac, Mac Pro y Xserve con capacidad inalámbrica. Los ordenadores Mac mini, MacBook y MacBook Pro con procesadores Intel no se ven afectados. No se sabe de ningún ataque que haya aprovechado este problema. Esta actualización soluciona los problemas realizando una validación adicional de las tramas inalámbricas.
AirPort
CVE-ID: CVE-2006-3508
Disponible para: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: atacantes en la red inalámbrica podrían causar bloqueos del sistema, elevación de privilegios o ejecución de código arbitrario
Descripción: la gestión de actualizaciones de caché de escaneado en el controlador inalámbrico AirPort cuenta con un desbordamiento de búfer de montículo. Un atacante en las proximidades podría ser capaz de desencadenar el desbordamiento mediante la inyección en la red inalámbrica de una trama creada con fines malintencionados. Esto podría provocar un bloqueo del sistema, elevación de privilegios o ejecución de código arbitrario con privilegios del sistema. El problema afecta a ordenadores Mac mini, MacBook y MacBook Pro con procesador Intel y capacidad inalámbrica. Los ordenadores Mac mini con procesador PowerPC, Power Mac, PowerBook, iBook, iMac, Mac Pro y Xserve no se ven afectados. Esta actualización soluciona el problema realizando una validación adicional de las tramas inalámbricas. No se sabe de ningún ataque que haya aprovechado este problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
AirPort
CVE-ID: CVE-2006-3509
Disponible para: Mac OS X v10.4.7, Mac OS X Server v10.4.7
Impacto: en función del software inalámbrico de otros fabricantes que se esté utilizando, atacantes en la red inalámbrica pueden provocar bloqueos o la ejecución de código arbitrario
Descripción: la API para software inalámbrico de otros fabricantes en el controlador inalámbrico AirPort cuenta con un desbordamiento de entero. En función del uso de la API, podría producirse un desbordamiento de búfer en tales aplicaciones. En este momento, no se sabe de ninguna aplicación afectada. Si una aplicación se ve afectada, un atacante en las proximidades podría ser capaz de desencadenar un desbordamiento mediante la inyección en la red inalámbrica de una trama creada con fines malintencionados. Esto podría provocar bloqueos o la ejecución de código arbitrario con los privilegios del usuario de la aplicación. El problema afecta a ordenadores Mac mini, MacBook y MacBook Pro con procesador Intel y capacidad inalámbrica. Los ordenadores Mac mini con procesador PowerPC, Power Mac, PowerBook, iBook, iMac, Mac Pro y Xserve no se ven afectados. Esta actualización soluciona los problemas realizando una validación adicional de las tramas inalámbricas. No se sabe de ningún ataque que haya aprovechado este problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
Nota sobre la instalación
La utilidad Actualización de software presentará la actualización correspondiente a la configuración de tu sistema. Solo una es necesaria, ya sea la actualización de AirPort 2006-001 o la actualización de seguridad 2006-005.
A modo de referencia si se instala desde un paquete descargado de forma manual:
La actualización de AirPort 2006-001 se instalará en los sistemas siguientes:
Mac OS X v10.4.7, compilaciones 8J2135 o 8J2135a
La actualización de seguridad 2006-005 se instalará en los sistemas siguientes:
Mac OS X v10.3.9
Mac OS X Server v10.3.9
Mac OS X v10.4.7, compilaciones 8J135, 8K1079, 8K1106, 8K1123 o 8K1124
Mac OS X Server v10.4.7, compilaciones 8J135 o 8K1079
En el caso de los sistemas Mac OS X 10.3.9 y Mac OS X Server 10.3.9, si Actualización de software no muestra la actualización de seguridad 2006-005, es necesario instalar las actualizaciones siguientes: