Este documento describe el contenido de seguridad de OS X Lion v10.7.2 y la actualización de seguridad 2011-006, que se pueden descargar e instalar a través de las preferencias de Actualización de software o de Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".


OS X Lion v10.7.2 y actualización de seguridad 2011-006
- 

- 

Apache

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Diversas vulnerabilidades en Apache

Descripción: Apache se ha actualizado a la versión 2.2.20 para solucionar diversas vulnerabilidades, la más grave de las cuales puede provocar una denegación de servicio. CVE-2011-0419 no afecta a los sistemas OS X Lion. Para obtener más información, visita el sitio web de Apache http://httpd.apache.org/

ID CVE

CVE-2011-0419

CVE-2011-3192

 

- 

- 

Firewall de aplicación

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La ejecución de un binario con un nombre creado con fines malintencionados puede provocar una ejecución de código arbitrario con privilegios de alto nivel

Descripción: Existía una vulnerabilidad de cadena de formato en el registro de depuración en el Firewall de aplicación.

ID CVE

CVE-2011-0185: Un informante anónimo

 

- 

- 

ATS

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización o la descarga de un documento que contiene una fuente incrustada creada con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: Existía un problema de presencia de signo en el procesamiento de fuentes de tipo 1 en ATS. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3437

 

- 

- 

ATS

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización o la descarga de un documento que contiene una fuente incrustada creada con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: Existía un problema de acceso a la memoria fuera de los límites en el procesamiento de fuentes de tipo 1 en ATS. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0229: Will Dormann de CERT/CC

 

- 

- 

ATS

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Las aplicaciones que utilizan la API ATSFontDeactivate podrían ser vulnerables al cierre inesperado de una aplicación o a la ejecución de código arbitrario

Descripción: Existía un problema de desbordamiento en el búfer en la API ATSFontDeactivate.

ID CVE

CVE-2011-0230: Steven Michaud de Mozilla

 

- 

- 

BIND

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Diversas vulnerabilidades en BIND 9.7.3

Descripción: Existían varios problemas de denegación de servicio en BIND 9.7.3. Para solucionar estos problemas, se debe actualizar BIND a la versión 9.7.3-P3.

ID CVE

CVE-2011-1910

CVE-2011-2464

 

- 

- 

BIND

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Diversas vulnerabilidades en BIND

Descripción: Existían varios problemas de denegación de servicio en BIND. Para solucionar estos problemas, se debe actualizar BIND a la versión 9.6-ESV-R4-P3.

ID CVE

CVE-2009-4022

CVE-2010-0097

CVE-2010-3613

CVE-2010-3614

CVE-2011-1910

CVE-2011-2464

 

- 

- 

Política de confianza en certificados

Disponible: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1.

Impacto: Se han actualizado los certificados raíz

Descripción: Se han agregado varios certificados de confianza a la lista de certificados raíz del sistema. Varios certificados existentes se han actualizado a sus versiones más recientes. La lista completa reorganizada de certificados raíz del sistema puede verse mediante la aplicación Acceso a llaveros.

 

- 

- 

CFNetwork

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Safari podría almacenar cookies que se ha configurado para no aceptar

Descripción: Existía un problema de sincronización en el manejo de políticas de cookies por parte de CFNetwork. Las preferencias de cookies de Safari podrían no respetarse, y eso podría permitir que los sitios web configuren cookies que se bloquearían si se aplicaran las preferencias. Esta actualización soluciona el problema con un manejo mejorado del almacenamiento de cookies.

ID CVE

CVE-2011-0231: Martin Tessarek, Steve Riggins de Geeks R Us, Justin C. Walker y Stephen Creswell

 

- 

- 

CFNetwork

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de información confidencial

Descripción: Existía un problema en el procesamiento de cookies HTTP por parte de CFNetwork. Al acceder a una dirección URL HTTP o HTTPS creada con fines malintencionados, CFNetwork enviaba por error las cookies para un dominio a un servidor fuera de dicho dominio. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3246: Erling Ellingsen de Facebook

 

- 

- 

CoreFoundation

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria en el manejo de las cadenas de token por parte de CoreFoundation. Este problema no afecta a los sistemas OS X Lion. Esta actualización soluciona el problema mediante una mejora en la comprobación de límites.

ID CVE

CVE-2011-0259: Apple

 

- 

- 

CoreMedia

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de los datos de video desde otro sitio

Descripción: Existía un problema de origen cruzado en el manejo de redireccionamientos entre sitios cruzados por parte de CoreMedia. Para solucionar este problema, se debe mejorar el seguimiento de orígenes.

ID CVE

CVE-2011-0187: Nirankush Panchbhai y Microsoft Vulnerability Research (MSVR)

 

- 

- 

CoreMedia

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en el manejo de los archivos de película de QuickTime. Estos problemas no afectan a los sistemas OS X Lion.

ID CVE

CVE-2011-0224: Apple

 

- 

- 

CoreProcesses

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Una persona con acceso físico a un sistema podría omitir parcialmente el bloqueo de pantalla

Descripción: Una ventana de sistema, como un mensaje de solicitud de contraseña VPN, que se muestra cuando la pantalla está bloqueada podría aceptar pulsaciones con la pantalla bloqueada. Para solucionar este problema, se debe evitar que las ventanas de sistema soliciten pulsaciones de tecla mientras la pantalla está bloqueada. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-0260: Clint Tseng de University of Washington, Michael Kobb y Adam Kemp

 

- 

- 

CoreStorage

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La conversión a FileVault no borra todos los datos existentes

Descripción: Después de activar FileVault, se han dejado sin encriptar aproximadamente 250 MB al comienzo del volumen en una zona sin usar del disco. Únicamente los datos presentes en el volumen antes de que se activara FileVault se han dejado sin encriptar. Para solucionar este problema, se debe borrar esta zona cuando se activa FileVault y al usar por primera vez un volumen encriptado afectado por este problema. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3212: Judson Powers de ATC-NY

 

- 

- 

Sistemas de archivos

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un atacante en una posición de red privilegiada podría manipular los certificados de los servidores HTTPS y provocar la divulgación de información confidencial

Descripción: Existía un problema en el manejo de volúmenes WebDAV de los servidores HTTPS. Si el servidor presentaba una cadena de certificados que no se podía verificar automáticamente, se mostraba una advertencia y se cerraba la conexión. Si el usuario hacía clic en el botón "Continuar" en el cuadro de diálogo de advertencia, se aceptaban todos los certificados de la siguiente conexión a dicho servidor. Un atacante en una posición de red privilegiada podría manipular la conexión para obtener información confidencial o realizar acciones en el servidor en nombre del usuario. Esta actualización resuelve el problema, ya que comprueba que el certificado recibido en la segunda conexión es el mismo que se presentó originalmente al usuario.

ID CVE

CVE-2011-3213: Apple

 

- 

- 

IOGraphics

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Una persona con acceso físico podría ser capaz de omitir el bloqueo de pantalla

Descripción: Existía un problema con el bloqueo de pantalla cuando se utilizaba con pantallas Apple Cinema Display. Cuando se requiere una contraseña para activar el sistema tras un reposo, una persona con acceso físico podría acceder al sistema sin contraseña si el sistema está en el modo reposo de pantalla. Esta actualización resuelve el problema, ya que garantiza que el bloqueo de pantalla está correctamente activado en el modo reposo de pantalla. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-3214: Apple

 

- 

- 

Servidor de iChat

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un atacante remoto podría provocar que el servidor Jabber consumiera recursos del sistema desproporcionadamente

Descripción: Existía un problema en el manejo de entidades externas de XML en jabberd2, un servidor para el protocolo extensible de mensajería y comunicación de presencia (XMPP). jabberd2 expande las entidades externas en las solicitudes entrantes. Esto permite que el atacante consuma recursos del sistema a gran velocidad, con lo que se deniega el servicio a usuarios legítimos del servidor. Esta actualización resuelve el problema, ya que desactiva la expansión de entidades en las solicitudes entrantes.

ID CVE

CVE-2011-1755

 

- 

- 

Kernel

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Una persona con acceso físico podría ser capaz de acceder a la contraseña del usuario

Descripción: Un error lógico en la protección DMA para el kernel permitía el DMA por FireWire en las ventanas de inicio de sesión, arranque y apagado, pero no en el bloqueo de pantalla. Esta actualización resuelve el problema, ya que evita el DMA por FireWire en todos los estados en los que el usuario no ha iniciado sesión.

ID CVE

CVE-2011-3215: Passware, Inc.

 

- 

- 

Kernel

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un usuario sin privilegios podría eliminar los archivos de otro usuario en un directorio compartido

Descripción: Existía un error lógico en el manejo que el kernel efectuaba sobre la eliminación de archivos en directorios con sticky bit.

ID CVE

CVE-2011-3216: Gordon Davisson de Crywolf, Linc Davis, R. Dormer, y Allan Schmid y Oliver Jeckel de brainworks Training

 

- 

- 

libsecurity

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un sitio web o un mensaje de correo electrónico creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un error de manejo al analizar la extensión de una lista de revocaciones de certificados no estándar.

ID CVE

CVE-2011-3227: Richard Godbee de Virginia Tech

 

- 

- 

Mailman

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Diversas vulnerabilidades en Mailman 2.1.14

Descripción: Mailman 2.1.14 presentaba varios problemas de secuencias de comandos entre sitios cruzados. Para solucionar estos problemas, se debe mejorar la codificación de los caracteres en la salida HTML. Se ofrece más información sobre esto en el sitio de Mailman en http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0707

 

- 

- 

MediaKit

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Abrir una imagen de disco creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en el manejo de las imágenes de disco. Estos problemas no afectan a los sistemas OS X Lion.

ID CVE

CVE-2011-3217: Apple

 

- 

- 

Open Directory

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Cualquier usuario podría leer los datos de contraseña de otro usuario local

Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3435: Arek Dreyer de Dreyer Network Consultants, Inc. y Patrick Dunstan de defenseindepth.net

 

- 

- 

Open Directory

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un usuario autenticado podría cambiar la contraseña de la cuenta sin proporcionar la contraseña actual

Descripción: Existía un problema de control de acceso en Open Directory. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3436: Patrick Dunstan de defenceindepth.net

 

- 

- 

Open Directory

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un usuario podría iniciar sesión sin contraseña

Descripción: Cuando Open Directory se enlaza con un servidor LDAPv3 mediante RFC2307 o asignaciones personalizadas, como cuando no existe un atributo AuthenticationAuthority para un usuario, un usuario LDAP podría iniciar sesión sin contraseña. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3226: Jeffry Strunk de University of Texas en Austin, Steven Eppler de Colorado Mesa University, Hugh Cole-Baker y Frederic Metoz de Institut de Biologie Structurale

 

- 

- 

PHP

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo PDF creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de presencia de signo en el procesamiento de fuentes de tipo 1 en FreeType. Este problema se resuelve con la actualización de FreeType a la versión 2.4.6. Este problema no afecta a los sistemas anteriores a OS X Lion. Se ofrece más información sobre esto en el sitio de FreeType en http://www.freetype.org/

ID CVE

CVE-2011-0226

 

- 

- 

PHP

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Diversas vulnerabilidades en libpng 1.4.3

Descripción: Se debe actualizar libpng a la versión 1.5.4 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Se ofrece más información sobre esto en el sitio de libpng en http://www.libpng.org/pub/png/libpng.html

ID CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692

 

- 

- 

PHP

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Diversas vulnerabilidades en PHP 5.3.4

Descripción: Se debe actualizar PHP a la versión 5.3.6 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Este problema no afecta a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de PHP en http://www.php.net/

ID CVE

CVE-2010-3436

CVE-2010-4645

CVE-2011-0420

CVE-2011-0421

CVE-2011-0708

CVE-2011-1092

CVE-2011-1153

CVE-2011-1466

CVE-2011-1467

CVE-2011-1468

CVE-2011-1469

CVE-2011-1470

CVE-2011-1471

 

- 

- 

postfix

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Diversas vulnerabilidades en Postfix

Descripción: Se debe actualizar Postfix a la versión 2.5.14 para resolver varias vulnerabilidades, la más grave de las cuales puede permitir que un atacante con una posición de red privilegiada manipule la sesión de correo para obtener información confidencial desde el tráfico encriptado. Estos problemas no deberían afectar a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de Postfix en http://www.postfix.org/announcements/postfix-2.7.3.html

ID CVE

CVE-2011-0411

CVE-2011-1720

 

- 

- 

python

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Diversas vulnerabilidades en python

Descripción: Existían varias vulnerabilidades en python, la más grave de las cuales podía provocar la ejecución de código arbitrario. Esta actualización soluciona el problema, ya que aplica revisiones del proyecto Python. Se ofrece más información sobre esto en el sitio de python en http://www.python.org/download/releases/

ID CVE

CVE-2010-1634

CVE-2010-2089

CVE-2011-1521

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existían varios problemas de corrupción de memoria en el manejo de archivos de película por parte de QuickTime.

ID CVE

CVE-2011-3228: Apple

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSC en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0249: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSS en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0250: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STSZ en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0251: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer de pila durante el procesamiento de átomos STTS en los archivos de películas de QuickTime. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-0252: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Un atacante en una posición de red privilegiada podría inyectar scripts en un dominio local cuando se visualiza la plantilla HTML

Descripción: Existía un problema de secuencias de comandos entre sitios cruzados en la exportación de QuickTime Player con "Guardar para web". Los archivos de plantilla HTML generados por esta característica hacían referencia a un archivo de script con un origen no encriptado. Un atacante en una posición de red privilegiada podría inyectar scripts creados con fines malintencionados en el dominio local si el usuario visualiza un archivo de plantilla localmente. Para resolver este problema, se debe eliminar la referencia a un script en línea. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-3218: Aaron Sigel de vtty.com

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos de película codificados H.264 por parte de QuickTime.

ID CVE

CVE-2011-3219: Damian Put en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar la divulgación de contenido de la memoria

Descripción: Existía un problema de acceso a la memoria no inicializada en el procesamiento de datos de los usuarios de URL dentro de los archivos de película por parte de QuickTime.

ID CVE

CVE-2011-3220: Luigi Auriemma en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de implementación en el manejo de la jerarquía de átomos dentro de un archivo de película por parte de QuickTime.

ID CVE

CVE-2011-3221: Un investigador anónimo en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo FlashPix creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos FlashPix por parte de QuickTime.

ID CVE

CVE-2011-3222: Damian Put en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

QuickTime

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento en el búfer durante el procesamiento de archivos FLIC por parte de QuickTime.

ID CVE

CVE-2011-3223: Matt 'j00ru' Jurczyk en colaboración con Zero Day Initiative de TippingPoint

 

- 

- 

Servidor de archivos SMB

Disponible para: OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Un usuario invitado podría explorar carpetas compartidas

Descripción: Existía un problema de control de acceso en el servidor de archivos SMB. Si se desautoriza el acceso de invitado al registro de punto compartido para una carpeta, se evita que el usuario "_unknown" explore el punto compartido, pero no los invitados (usuario "nobody"). Para solucionar este problema, se debe aplicar el control de acceso al usuario invitado. Este problema no afecta a los sistemas anteriores a OS X Lion.

ID CVE

CVE-2011-3225

 

- 

- 

Tomcat

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Diversas vulnerabilidades en Tomcat 6.0.24

Descripción: Tomcat se ha actualizado a la versión 6.0.32 para solucionar varias vulnerabilidades, la más grave de las cuales puede producir un ataque de secuencias de comandos entre sitios cruzados. Tomcat solo se suministra con sistemas Mac OS X Server. Este problema no afecta a los sistemas OS X Lion. Se ofrece más información sobre esto en el sitio de Tomcat en http://tomcat.apache.org/

ID CVE

CVE-2010-1157

CVE-2010-2227

CVE-2010-3718

CVE-2010-4172

CVE-2011-0013

CVE-2011-0534

 

- 

- 

Documentación para el usuario

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impacto: Un atacante en una posición de red privilegiada podría manipular el contenido de la ayuda de la tienda App Store y así, provocar la ejecución de código arbitrario

Descripción: El contenido de la ayuda de la tienda App Store se ha actualizado a través de HTTP. Esta actualización soluciona el problema, ya que actualiza el contenido de la ayuda de la tienda App Store a través de HTTPS. Este problema no afecta a los sistemas OS X Lion.

ID CVE

CVE-2011-3224: Aaron Sigel de vtty.com y Brian Mastenbrook

 

- 

- 

Servidor web

Disponible para: Mac OS X Server v10.6.8

Impacto: Es posible que los clientes no puedan acceder a servicios web que requieren autenticación Digest

Descripción: Se ha resuelto un problema en el manejo de la autenticación HTTP Digest. Es posible que los usuarios sufran una denegación de acceso a los recursos del servidor cuando la configuración del servidor debe permitir el acceso. Este problema no representa un riesgo para la seguridad y se ha solucionado para facilitar el uso de mecanismos de autenticación más fuertes. Este problema no afecta a los sistemas donde se ejecuta OS X Lion Server.

 

- 

- 

X11

Disponible para: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 y v10.7.1, OS X Lion Server v10.7 y v10.7.1

Impacto: Diversas vulnerabilidades en libpng

Descripción: Existían varias vulnerabilidades en libpng, la más grave de las cuales podía provocar la ejecución de código arbitrario. Para solucionar estos problemas, se debe actualizar libpng a la versión 1.5.4 en los sistemas OS Lion y a la versión 1.2.46 en los sistemas Mac OS X v10.6. Se ofrece más información sobre esto en el sitio de libpng en http://www.libpng.org/pub/png/libpng.html

ID CVE

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692