Acerca de la actualización de seguridad 2009-005
En este documento, se describe la actualización de seguridad 2009-005.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.
Actualización de seguridad 2009-005
Administrador de archivos alias
ID CVE: CVE-2009-2800
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: La apertura de un archivo alias creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existe un desbordamiento de búfer en la manipulación de archivos alias. La apertura de un archivo alias creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Este problema no afecta a los sistemas de Mac OS X v10.6. Crédito: Apple.
CarbonCore
ID CVE: CVE-2009-2803
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existe un problema de corrupción de memoria en la manipulación de las bifurcaciones de recursos por parte del administrador de recursos. Abrir un archivo con una bifurcación de recursos creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejor validación de las bifurcaciones de recursos. Este problema no afecta a los sistemas de Mac OS X v10.6. Crédito: Apple.
ClamAV
ID CVE: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Disponible para Mac OS X Server v10.5.8
Impacto: Varias vulnerabilidades en ClamAV 0.94.2
Descripción: Existen varias vulnerabilidades en ClamAV 0.94.2. La más grave de ellas puede provocar la ejecución de código arbitrario. En esta actualización, se solucionan los problemas mediante la actualización de ClamAV a la versión 0.95.2. ClamAV se distribuye únicamente con sistemas Mac OS X Server. Hay más información disponible en el sitio web de ClamAV en http://www.clamav.net/ Estos problemas no afectan a los sistemas con Mac OS X v10.6.
ColorSync
ID CVE: CVE-2009-2804
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: La visualización de una imagen creada con fines malintencionados con un perfil ColorSync integrado puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existe un desbordamiento de enteros en la manipulación de imágenes con un perfil ColorSync integrado, que puede provocar un desbordamiento del búfer de montón. La apertura de una imagen creada con fines maliciosos con un perfil ColorSync incrustado podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se realiza una validación adicional de los perfiles ColorSync para solucionar el problema. Este problema no afecta a los sistemas de Mac OS X v10.6. Crédito: Apple.
CoreGraphics
ID CVE: CVE-2009-2805
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Abrir un archivo PDF creado con fines malintencionados puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Un desbordamiento de enteros en el manejo de archivos PDF por parte de CoreGraphics puede provocar un desbordamiento del búfer de montón. Abrir un archivo PDF que contenga una secuencia JBIG2 creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Agradecemos a Will Dormann de CERT/CC por informar sobre este problema. Este problema no afecta a los sistemas de Mac OS X v10.6.
CoreGraphics
ID CVE: CVE-2009-2468
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existe un desbordamiento del búfer de montón en la creación de cadenas de texto largas. Visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Este problema no afecta a los sistemas de Mac OS X v10.6. Agradecemos a Will Drewry de Google Inc. por informar sobre este problema.
CUPS
ID CVE: CVE-2009-0949
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Un atacante remoto puede ser capaz de denegar el acceso al servicio de uso compartido de impresoras
Descripción: Existe una desviación de puntero nulo en CUPS. Mediante el envío repetido de solicitudes de programación creadas con fines malintencionados, un atacante remoto puede denegar el acceso al servicio de uso compartido de impresoras. En esta actualización, se soluciona el problema mediante una mejor validación de las solicitudes de programación. Este problema no afecta a los sistemas de Mac OS X v10.6. Agradecemos a Anibal Sacco del CORE IMPACT Exploit Writing Team (EWT) en Core Security Technologies por informar sobre este problema.
CUPS
ID CVE: CVE-2009-2807
Disponible para Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Un usuario local sin privilegios puede obtener privilegios del sistema
Descripción: Existe un desbordamiento del búfer de montón en el backend USB de CUPS. Esto puede provocar que un usuario local obtenga privilegios del sistema. En esta actualización, se soluciona el problema mediante una mejora en la comprobación de límites. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5 ni a los sistemas Mac OS X v10.6.
Complemento de Flash Player
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Varias vulnerabilidades en el complemento de Adobe Flash Player
Descripción: Existen varios problemas en el complemento de Adobe Flash Player. El más grave de ellos puede provocar la ejecución de código arbitrario al visualizar un sitio web creado con fines malintencionados. Los problemas se solucionan actualizando el complemento de Flash Player en Mac OS v10.5.8 a la versión 10.0.32.18 y a la versión 9.0.246.0 en los sistemas Mac OS X v10.4.11. Para los sistemas Mac OS X v10.6, estos problemas se solucionan en Mac OS X v10.6.1. Hay más información disponible en la página web de Adobe en http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
ID CVE: CVE-2009-2809
Disponible para Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: La visualización de una imagen TIFF codificada con PixarFilm creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existen varios problemas de corrupción de memoria en la manipulación por parte de ImageIO de imágenes TIFF codificadas con PixarFilm. La visualización de una imagen TIFF codificada con PixarFilm creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización, se soluciona el problema mediante una validación adicional de las imágenes TIFF codificadas con PixarFilm. Este problema no afecta a los sistemas de Mac OS X v10.6. Crédito: Apple.
Servicios de ejecución
ID CVE: CVE-2009-2811
Disponible para Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Intentar abrir contenido descargado no seguro puede no provocar una advertencia
Descripción: En esta actualización se agrega “.fileloc” a la lista del sistema de tipos de contenido que se marcarán como potencialmente inseguros en determinadas circunstancias, como cuando se descargan de un correo electrónico. Si bien estos tipos de contenido no se inician automáticamente, si se abren manualmente, podrían provocar la ejecución de una carga malintencionada. En esta actualización, se mejora la capacidad del sistema para notificar a los usuarios antes de manipular archivos “.fileloc”. Este problema no afecta a los sistemas de Mac OS X v10.6. Crédito: Apple.
Servicios de ejecución
ID CVE: CVE-2009-2812
Disponible para Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Visitar un sitio web creado con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: Cuando se descarga una aplicación, los servicios de ejecución analizan los tipos de documentos exportados. Un problema de diseño en la manipulación de los tipos de documentos exportados puede provocar que los servicios de ejecución asocien una extensión de archivo segura con un identificador de tipo uniforme (UTI) inseguro. Visitar un sitio web creado con fines malintencionados puede provocar la apertura automática de un tipo de archivo no seguro. En esta actualización, se soluciona el problema mejorando la manipulación de los tipos de documentos exportados desde aplicaciones no fiables. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5 ni a los sistemas Mac OS X v10.6. Crédito: Apple.
MySQL
ID CVE: CVE-2008-2079
Disponible para Mac OS X Server v10.5.8
Impacto: MySQL se actualiza a la versión 5.0.82
Descripción: MySQL se actualiza a la versión 5.0.82 para solucionar un problema de implementación que permite a un usuario local obtener privilegios elevados. Este problema afecta únicamente a los sistemas Mac OS X Server. Este problema no afecta a los sistemas de Mac OS X v10.6. Hay más información en el sitio web de MySQL en http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
ID CVE: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Disponible para Mac OS X v10.5, Mac OS X Server v10.5.8
Impacto: Existen varias vulnerabilidades en PHP 5.2.8
Descripción: PHP se actualiza a la versión 5.2.10 para solucionar varias vulnerabilidades. La más grave de ellas podría ocasionar la ejecución de código arbitrario. Hay más información disponible en el sitio web de PHP en http://www.php.net/ Estos problemas no afectan a los sistemas Mac OS X v10.6.
SMB
ID CVE: CVE-2009-2813
Disponible para Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: Activar el uso compartido de archivos de Windows puede compartir carpetas inesperadamente
Descripción: Existe una condición de error no comprobada en Samba. Un usuario que no tenga un directorio de inicio configurado y se conecte al servicio de uso compartido de archivos de Windows podrá acceder al contenido del sistema de archivos, sujeto a los permisos del sistema de archivos local. En esta actualización, se soluciona el problema mejorando la manipulación de los errores de resolución de rutas. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5 ni a los sistemas Mac OS X v10.6. Agradecemos a J. David Hester de LCG Systems National Institutes of Health por informar sobre este problema.
Wiki Server
ID CVE: CVE-2009-2814
Disponible para Mac OS X Server v10.5.8
Impacto: Un atacante remoto puede obtener acceso a las cuentas de usuario de Wiki Server
Descripción: Existe un problema de scripts de sitios en la manipulación por parte de Wiki Server de solicitudes de búsqueda que contienen datos codificados en un formato distinto de UTF-8. Esto puede permitir a un atacante remoto acceder a un Wiki Server con las credenciales del usuario del Wiki Server que realiza la búsqueda. En esta actualización, se soluciona el problema estableciendo UTF-8 como conjunto de caracteres predeterminado en las respuestas HTTP. Este problema no afecta a los sistemas anteriores a Mac OS X v10.5 ni a los sistemas Mac OS X v10.6. Crédito: Apple.
Importante: la mención de sitios web y productos de terceros tiene solo fines informativos y no constituye un respaldo ni una recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que se encuentran en sitios web de terceros. Apple lo proporciona solo para comodidad de nuestros usuarios. Apple no ha probado la información que se encuentra en estos sitios y no hace declaraciones con respecto a su precisión o confiabilidad. Existen riesgos inherentes al uso de cualquier información o producto que se encuentre en Internet, y Apple no asume ninguna responsabilidad al respecto. Ten en cuenta que un sitio de terceros es independiente de Apple y que Apple no tiene control sobre el contenido de ese sitio web. Comunícate con el proveedor para obtener más información.