Acerca del contenido de seguridad de la actualización de Mac OS X 10.4.7
En este documento, se describe el contenido de seguridad de la actualización de Mac OS X 10.4.7, que se puede descargar e instalar a través de Actualización de software o desde la página Descargas de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta “Actualizaciones de seguridad”.
Actualización de Mac OS X v10.4.7
AFP
ID CVE: CVE-2006-1468
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Los nombres de archivos y carpetas se pueden revelar a usuarios no autorizados.
Descripción: Debido a un problema en el servidor AFP, en los resultados de búsqueda se incluyen los nombres de archivos y carpetas para los que el usuario que realiza la búsqueda no tiene acceso. Esto podría provocar la divulgación de información si los nombres son información confidencial. En esta actualización, se garantiza que los resultados de búsqueda solo incluirán elementos para los que el usuario esté autorizado a fin de solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
ClamAV
ID CVE: CVE-2006-1989
Disponible para Mac OS X Server v10.4.6
Impacto: Cuando la detección de virus está configurada para actualizarse automáticamente, una réplica de base de datos creada con fines malintencionados puede ocasionar la ejecución de código arbitrario.
Descripción: Un problema en la actualización automática de la base de datos de virus de ClamAV puede provocar un desbordamiento del búfer basado en pila. Una réplica maliciosa o falsificada de la base de datos de ClamAV puede ocasionar la ejecución de código arbitrario con los privilegios de ClamAV. El servicio de correo, la detección de virus y las actualizaciones automáticas de la base de datos de virus están desactivados de forma predeterminada. En esta actualización, se soluciona el problema mediante la incorporación de ClamAV 0.88.2. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
ImageIO
ID CVE: CVE-2006-1469
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: La visualización de una imagen TIFF creada con fines malintencionados puede ocasionar el cierre de una aplicación o la ejecución de código arbitrario.
Descripción: Mediante la creación cuidadosa de una imagen TIFF dañada, un atacante puede provocar un desbordamiento del búfer basado en pila que puede ocasionar el cierre de una aplicación o a la ejecución de código arbitrario. En esta actualización, se realiza una validación adicional de las imágenes TIFF para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4.
launchd
ID CVE: CVE-2006-1471
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Los usuarios locales pueden obtener privilegios elevados.
Descripción: Una vulnerabilidad de cadena de formato en el programa setuid launchd puede permitir que un usuario local autenticado ejecute código arbitrario con privilegios del sistema. El problema se encuentra en la función de registro de launchd. En esta actualización, se realiza una validación adicional cuando se registran los mensajes para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Queremos darle las gracias a Kevin Finisterre de DigitalMunition por informar este problema.
OpenLDAP
ID CVE: CVE-2006-1470
Disponible para Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impacto: Los atacantes remotos pueden ocasionar el cierre del servidor Open Directory.
Descripción: Mediante la creación cuidadosa de una solicitud LDAP no válida, un atacante remoto puede provocar una aserción en el servidor OpenLDAP, lo que provoca una denegación de servicio. En esta actualización, se descarta la solicitud no válida para solucionar el problema. Este problema no afecta a los sistemas anteriores a Mac OS X v10.4. Queremos darle las gracias al equipo de investigación de Mu Security por informar este problema.