Acerca de la actualización de seguridad 2010-001

En este documento se describe la actualización de seguridad 2010-001, que se puede descargar e instalar a través de las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Actualización de seguridad 2010-001

  • CoreAudio

    ID de CVE: CVE-2010-0036

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: la reproducción de un archivo de audio mp4 creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de búfer en el manejo de archivos de audio mp4. La reproducción de un archivo de audio mp4 creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Tobias Klein de trapkit.de por informar de este problema.

  • CUPS

    ID de CVE: CVE-2009-3553

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: un atacante remoto puede provocar una terminación inesperada de la aplicación cupsd

    Descripción: existe un problema de vulnerabilidad “use-after-free” en cupsd. Mediante la emisión de una solicitud get-printer-jobs creada con fines malintencionados, un atacante puede provocar una denegación de servicio remota. Esto se mitiga mediante el reinicio automático de cupsd tras su finalización. Este problema se resuelve mejorando el seguimiento del uso de las conexiones.

  • Flash Player plug-in

    ID de CVE: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: múltiples vulnerabilidades en el plug-in de Adobe Flash Player

    Descripción: existen varios problemas en el plug-in de Adobe Flash Player, el más grave de los cuales puede dar lugar a la ejecución de código arbitrario al visualizar un sitio web creado con fines malintencionados. Los problemas se solucionan actualizando el plug-in de Flash Player a la versión 10.0.42. Más información en el sitio web de Adobe en http://www.adobe.com/support/security/bulletins/apsb09-19.html Gracias a un investigador anónimo y a Damian Put en colaboración con TippingPoints Zero Day Initiative, Bing Liu de FortiGuard Global Security Research Team de Fortinet, Will Dormann de CERT, Manuel Caballero y Microsoft Vulnerability Research (MSVR).

  • ImageIO

    ID de CVE: CVE-2009-2285

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un subdesbordamiento de búfer en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Para sistemas con Mac OS X v10.6, este problema se ha resuelto en Mac OS X v10.6.2.

  • Image RAW

    ID de CVE: CVE-2010-0037

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: la visualización de una imagen DNG creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: existe un desbordamiento de búfer en el manejo de imágenes DNG por parte de Image RAW. La visualización de una imagen DNG creada con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario. Este problema se ha solucionado mejorando la comprobación de los límites. Gracias a Jason Carr de Carnegie Mellon University Computing Services por informar de este problema.

  • OpenSSL

    ID de CVE: CVE-2009-3555

    Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Impacto: un atacante con una posición privilegiada en la red puede capturar datos o cambiar las operaciones realizadas en sesiones protegidas por SSL

    Descripción: existe una vulnerabilidad "man-in-the-middle" en los protocolos SSL y TLS. Más información en http://www.phonefactor.com/sslgap El IETF está modificando el protocolo de renegociación. Esta actualización desactiva la renegociación en OpenSSL como medida de seguridad preventiva. El problema no afecta a los servicios que utilizan Secure Transport, ya que este no admite la renegociación. Gracias a Steve Dispensa y Marsh Ray de PhoneFactor, Inc. por informar de este problema.

Importante: La mención de sitios web y productos de terceros es solo para fines informativos y no constituye ni aprobación ni recomendación. Apple no asume ninguna responsabilidad con respecto a la selección, el rendimiento o el uso de la información o los productos que aparecen en sitios web de terceros. Apple proporciona esta información solo para comodidad de nuestros usuarios. Apple no ha probado la información incluida en estos sitios web y no se responsabiliza de su precisión o fiabilidad. Siempre existen riesgos inherentes al uso de cualquier información o producto que se encuentre en internet, y Apple no asume ninguna responsabilidad al respecto. Debes comprender que el sitio web de un tercero es independiente de Apple y que Apple no tiene control sobre su contenido. Por favor, contacta con el proveedor para obtener más información.

Fecha de publicación: