Fuente: You are not allowed to view links.
Register or
LoginApple ha publicado una actualización de seguridad para Mac OS X Leopard recomendada para todos los usuarios. La actualización, que incluye todas las mejoras de seguridad de las actualizaciones de las versiones anteriores, está disponible a través del Panel de Control de Actualización de software o como descarga weben Apple. El enlace con los datos de la actualización de seguridad suministrado da error. La actualización ocupa 143 Mb, requiere Mac OS X 10.5.8 y soluciona problemas con PDF maliciosos, películas H.264 e imágenes de disco que podrían ejecutar código arbitrario entre otros problemas.
pues eso chicos, nueva actualización de seguridad, ayer la instale en mi mac, y todo ok
algunos datos
You are not allowed to view links.
Register or
LoginDATOS DE LA INSTALACIÓN
Fuente: support.apple.com
Security Update 2009-006 / Mac OS X v10.6.2
AFP Client
CVE-ID: CVE-2009-2819
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: acceder a un servidor AFP malicioso puede ocasionar la finalización inesperada del sistema o permitir la ejecución de código arbitrario con privilegios de sistema
Descripción: existen numerosos problemas de corrupción de memoria en AFP Client. Conectarse a un servidor AFP malicioso puede ocasionar la finalización inesperada del sistema o permitir la ejecución de código arbitrario con privilegios de sistema. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas con Mac OS X v10.6. Gracias a: Apple.
Adaptive Firewall
CVE-ID: CVE-2009-2818
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 y v10.6.1
Impacto: Adaptive Firewall podría no detectar un ataque de diccionario o de fuerza bruta para adivinar una contraseña de acceso SSH
Descripción: Adaptive Firewall responde a toda actividad sospechosa, como una cantidad de intentos de acceso no habitual, creando una regla temporal para restringir el acceso. En determinadas circunstancias, Adaptive Firewall podría no detectar los intentos de conexión SSH utilizando nombres de usuario no válidos. Esta actualización soluciona el problema mejorando la detección de intentos de conexión SSH no válidos. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a: Apple.
Apache
CVE-ID: CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1890, CVE-2009-1891, CVE-2009-1955, CVE-2009-1956
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: varias vulnerabilidades en Apache 2.2.11
Descripción: Apache se ha actualizado a la versión 2.2.13 para solucionar varias vulnerabilidades; la más grave de ellas podría permitir la obtención indebida de privilegios. Puedes obtener más información en el sitio web de Apache: You are not allowed to view links.
Register or
LoginApache
CVE-ID: CVE-2009-2823
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: un atacante remoto podría realizar ataques basados en la vulnerabilidad de secuencias de comandos entre sitios cruzados contra el servidor web Apache
Descripción: el servidor web Apache permite el método TRACE HTTP. Un atacante remoto podría utilizar esta prestación para realizar ataques basados en la vulnerabilidad de secuencias de comandos entre sitios cruzados mediante cierto software de cliente web. Este problema se ha solucionado actualizando la configuración para deshabilitar la compatibilidad con el método TRACE.
Apache Portable Runtime
CVE-ID: CVE-2009-0023, CVE-2009-1955, CVE-2009-1956, CVE-2009-2412
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: las aplicaciones que utilizan Apache Portable Runtime (apr) podrían explotarse para permitir la ejecución de código
Descripción: existen varios desbordamientos de enteros en Apache Portable Runtime (apr) que pueden provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Estos problemas se resuelven actualizando Apache Portable Runtime a la versión 1.3.8 en sistemas Mac OS X v10.6 y aplicando las revisiones de Apache Portable Runtime en sistemas Mac OS X v10.5.8. Los sistemas que ejecuten Mac OS X v10.6 sólo se ven afectados por CVE-2009-2412. Puedes obtener más información en el sitio web de Apache Portable Runtime: You are not allowed to view links.
Register or
LoginATS
CVE-ID: CVE-2009-2824
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: la visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: existen múltiples desbordamientos de búfer en el manejo de fuentes incrustadas por parte de Apple Type Services. La visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados puede provocar la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas con Mac OS X v10.6. Gracias a: Apple.
Asistente para Certificados
CVE-ID: CVE-2009-2825
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: podría engañarse a un usuario para que acepte un certificado para un dominio distinto
Descripción: existe un problema de implementación en el manejo de certificados SSL que incluyan caracteres NUL en el campo Nombre común. Se podría engañar a un usuario para aceptar un certificado creado por un atacante que tuviera el mismo aspecto que el dominio visitado por el usuario. Este problema no resulta tan grave, ya que Mac OS X no considera ningún certificado de este tipo como válido para ningún dominio. Esta actualización resuelve el problema mejorando el procesamiento de los certificados SSL.
CoreGraphics
CVE-ID: CVE-2009-2826
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: la apertura de un archivo PDF creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: se producen varios desbordamientos de enteros en el procesamiento de archivos PDF por parte de CoreGraphics que pueden provocar un desbordamiento del búfer de pila. La apertura de un archivo PDF creado con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas con Mac OS X v10.6. Gracias a: Apple.
CoreMedia
CVE-ID: CVE-2009-2202
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de archivos de películas H.264. La visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a Tom Ferris del Adobe Secure Software Engineering Team por informar de este problema.
CoreMedia
CVE-ID: CVE-2009-2799
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento del búfer de pila en la gestión de archivos de películas H.264. La visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6. Gracias a un investigador anónimo que trabaja con TippingPoint y Zero Day Initiative por informar de este problema.
CUPS
CVE-ID: CVE-2009-2820
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: acceder a una URL o sitio web creados con fines malintencionados podría permitir un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados o de división de respuestas HTTP
Descripción: un problema en CUPS podría permitir un ataque basado en la vulnerabilidad de secuencias de comandos entre sitios cruzados y de división de respuestas HTTP. Acceder a una URL o sitio web creados con fines malintencionados podría permitir a un atacante acceder al contenido disponible para el usuario local actual a través de la interfaz web de CUPS. Esto podría permitir la impresión de la configuración del sistema y los títulos de los trabajos que se han imprimido. Este problema se ha resuelto mejorando la gestión de cabeceras HTTP y de esquemas HTTP. Gracias a: Apple.
Diccionario
CVE-ID: CVE-2009-2831
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un usuario de la red local podría provocar la ejecución de código arbitrario
Descripción: un problema con el diseño de Diccionario podría permitir a una secuencia Javascript creada con fines malintencionados escribir datos arbitrarios en localizaciones arbitrarias del sistema de archivos del usuario. Esto podría permitir a otro usuario de la red local ejecutar código arbitrario en el sistema del usuario. Esta actualización resuelve el problema eliminando el código vulnerable. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
DirectoryService
CVE-ID: CVE-2009-2828
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un atacante remoto puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en DirectoryService. Esto podría permitir a un atacante remoto provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización sólo afecta a sistemas configurados como servidores DirectoryService. Esta actualización soluciona el problema mejorando la gestión de memoria. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
Imágenes de disco
CVE-ID: CVE-2009-2827
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: descargar una imagen de disco creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento del búfer de pila en la gestión de imágenes de disco que contienen sistemas de archivos FAT. Descargar una imagen de disco creada con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
Dovecot
CVE-ID: CVE-2009-3235
Disponible para: Mac OS X Server v10.6 y v10.6.1
Impacto: un usuario local podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema
Descripción: dovecot-sieve presenta varios desbordamientos del búfer de pila. Mediante la implementación de un script dovecot-sieve creado con fines malintencionados, un usuario local podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios de sistema. Esta actualización soluciona el problema realizando una validación adicional de los scripts dovecot-sieve. Este problema afecta únicamente a los sistemas Mac OS X Server. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.
Event Monitor
CVE-ID: CVE-2009-2829
Disponible para: Mac OS X Server v10.5.8
Impacto: un atacante remoto podría provocar una inyección en el registro
Descripción: existe un problema de inyección en el registro en Event Monitor. Conectándose al servidor SSH con información de autenticación creada con fines malintencionados, un atacante remoto podría provocar una inyección en el registro. Esto podría conducir a una negación del servicio mientras otros servicios procesan los datos de registro. Esta actualización soluciona el problema mejorando el escape de salidas XML. Este problema afecta únicamente a los sistemas Mac OS X Server. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
fetchmail
CVE-ID: CVE-2009-2666
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: actualización de fetchmail a la versión 6.3.11
Descripción: fetchmail se ha actualizado a la versión 6.3.11 para solucionar un problema "man-in-the-middle" ("intermediario"). Puedes obtener más información en el sitio web de fetchmail: You are not allowed to view links.
Register or
Loginfile
CVE-ID: CVE-2009-2830
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: ejecutar el comando file en un archivo Common Document Format (CDF) creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existen numerosas vulnerabilidades de desbordamiento del búfer de pila en la herramienta de línea de comandos file. Ejecutar el comando file en un archivo Common Document Format (CDF) creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Estos problemas se solucionan actualizando file a la versión 5.03. Estos problemas no afectan a sistemas anteriores a Mac OS X v10.6.
Servidor FTP
CVE-ID: CVE-2009-2832
Disponible para: Mac OS X Server v10.5.8, Mac OS X Server v10.6 y v10.6.1
Impacto: un atacante con acceso a FTP y la capacidad de crear directorios en un sistema podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento del búfer de pila en la herramienta de línea de comandos de Servidor FTP CWD. Utilizar el comando CWD en un directorio muy profundo dentro de la jerarquía puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema afecta únicamente a los sistemas Mac OS X Server. Gracias a: Apple.
Visor de ayuda
CVE-ID: CVE-2009-2808
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: utilizar Visor de Ayuda en una red que no sea de fiar podría provocar la ejecución de código arbitrario
Descripción: Visor de Ayuda no utiliza HTTPS para visualizar contenidos remotos de Ayuda de Apple. Un usuario de la red local podría enviar respuestas HTTP falsificadas que contengan enlaces help:runscript maliciosos. Esta actualización soluciona el problema utilizando HTTPS cuando se soliciten contenidos de Ayuda de Apple. Gracias a Brian Mastenbrook por informar de este problema.
ImageIO
CVE-ID: CVE-2009-2285
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un desbordamiento del búfer de pila en el manejo de imágenes TIFF por parte de ImageIO. La visualización de una imagen TIFF creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites.
Componentes internacionales para Unicode
CVE-ID: CVE-2009-2833
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: las aplicaciones que utilizan la API UCCompareTextDefault pueden estar expuestas a una finalización inesperada o a la ejecución de código arbitrario
Descripción: la API UCCompareTextDefault exhibe un desbordamiento del búfer de pila que puede provocar la finalización inesperada o la ejecución de código arbitrario. Esta actualización soluciona el problema mejorando la gestión de memoria. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a Nikita Zhuk y a Petteri Kamppuri de MK&C por informar de este problema.
IOKit
CVE-ID: CVE-2009-2834
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: un usuario sin privilegios podría ser capaz de modificar el firmware del teclado
Descripción: un usuario sin privlegios podría ser capaz de modificar el firmware de un teclado USB o Bluetooth de Apple. Esta actualización soluciona el problema exigiendo privilegios de sistema para enviar firmware a teclados USB o Bluetooth de Apple. Gracias a K. Chen del Georgia Institute of Technology por informar de este problema.
IPSec
CVE-ID: CVE-2009-1574, CVE-2009-1632
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: múltiples vulnerabilidades en el daemon racoon pueden provocar una prohibición de acceso al servicio
Descripción: múltiples vulnerabilidades en el daemon racoon en versiones de ipsec-tools anteriores a la 0.7.2 pueden provocar una prohibición de acceso al servicio. En esta actualización el problema se resuelve aplicando revisiones del proyecto IPsec-Tools. Para obtener más información, visita el sitio web de IPsec-Tools: You are not allowed to view links.
Register or
LoginKernel
CVE-ID: CVE-2009-2835
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: un usuario local podría provocar la divulgación de información, el cierre inesperado del sistema o la ejecución de código arbitrario
Descripción: existen múltiples problemas de validación de entrada en la gestión de segmentos de estado de tarea por parte de Kernel. Éstos podrían permitir a un usuario local provocar la divulgación de información, el cierre inesperado del sistema o la ejecución de código arbitrario. En esta actualización se solucionan estos problemas mediante la mejora de la validación de entrada. Gracias a Regis Duchesne de VMware, Inc. por informar de este problema.
Launch Services
CVE-ID: CVE-2009-2810
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: es posible que no se genere un aviso al intentar abrir contenido descargado no seguro
Descripción: cuando se pide a Launch Services que abra una carpeta en cuarentena, eliminará de forma recursiva la información de cuarentena de todos los archivos contenidos en la carpeta. La información de cuarentena eliminada se utiliza para activar un aviso para el usuario antes de abrir el elemento. Esto podría permitir al usuario iniciar un ítem potencialmente no seguro, como una aplicación, sin recibir el correspondiente cuadro de diálogo de aviso. En esta actualización se soluciona el problema impidiendo la eliminación de esta información sobre cuarentena del contenido de la carpeta. Este problema no afecta a sistemas anteriores a Mac OS X v10.6. Gracias a: Apple.
libsecurity
CVE-ID: CVE-2009-2409
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la compatibilidad con certificados X.509 con hashes MD2 podría exponer a los usuarios a falsificaciones y a la divulgación de información a medida que los ataques mejoran
Descripción: no se conoce ninguna debilidad criptográfica en el algoritmo del hash MD2. La investigación podría permitir la creación de certificados X.509 con valores controlados por el atacante en los que el sistema confiaría. Esto podría hacer que los protocolos basados en X.509 fuesen vulnerables a falsificaciones, ataques "man-in-the-middle" ("intermediario") y a la divulgación de información. Aunque organizar un ataque utilizando estas debilidades aún no se considera factible computacionalmente hablando, esta actualización deshabilita la compatibilidad con todo certificado X.509 con un hash MD2 a excepción de los que se usen como certificado raíz de confianza. Se trata de un cambio proactivo para proteger a los usuarios frente a ataques mejorados contra el algoritmo del hash MD2. Gracias a Dan Kaminsky de IOACTIVE y a Microsoft Vulnerability Research (MSVR) por informar de este problema.
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: el análisis de contenidos XML creados con fines malintencionados puede provocar la finalización inesperada de una aplicación
Descripción: existen múltiples problemas de uso después de liberación en libxml2; el más importante puede provocar la finalización inesperada de una aplicación. En esta actualización se solucionan los problemas mejorando la gestión de memoria. Gracias a Rauli Kaksonen y a Jukka Taimisto del proyecto CROSS en Codenomicon Ltd. por informar de estos problemas.
Ventana de inicio de sesión
CVE-ID: CVE-2009-2836
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: un usuario podría iniciar sesión en cualquier cuenta sin introducir contraseña alguna
Descripción: se produce un estado de carrera en la ventana de inicio de sesión. Si una cuenta del sistema no tiene contraseña, como la cuenta para invitados, un usuario podría iniciar sesión en cualquier cuenta sin introducir contraseña alguna. Esta actualización soluciona el problema mejorando las comprobaciones de acceso. Este problema no afecta a los sistemas anteriores a Mac OS X v10.6.
OpenLDAP
CVE-ID: CVE-2009-2408
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: un atacante "man-in-the-middle" ("intermediario") podría hacerse pasar por un servidor o usuario OpenLDAP de confianza incluso si se utiliza SSL
Descripción: OpenLDAP presenta un problema de implementación en el manejo de certificados SSL que tengan caracteres NUL en el campo Nombre común. Mediante el uso de un certificado SSL creado con fines malintencionados, un atacante podría realizar un ataque "man-in-the-middle" ("intermediario") sobre transacciones OpenLDAP que utilicen SSL. Esta actualización resuelve el problema mejorando el procesamiento de los certificados SSL.
OpenLDAP
CVE-ID: CVE-2007-5707, CVE-2007-6698, CVE-2008-0658
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: varias vulnerabilidades en OpenLDAP
Descripción: OpenLDAP presenta varias vulnerabilidades; la más grave podría provocar la prohibición de acceso al servicio o a la ejecución de código arbitrario. Esta actualización soluciona los problemas aplicando las revisiones de OpenLDAP para los CVE-ID mencionados. Para obtener más información, visita el sitio web de OpenLDAP: You are not allowed to view links.
Register or
Login. Este problema no afecta a los sistemas con Mac OS X v10.6.
OpenSSH
CVE-ID: CVE-2008-5161
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: los datos de una sesión OpenSSH podrían divulgarse
Descripción: OpenSSH presenta en error de gestión que podría provocar la divulgación de ciertos datos en una sesión SSH. Esta actualización resuelve el problema actualizando OpenSSH a la versión 5.2p1. Para obtener más información, visita el sitio web de OpenSSH en You are not allowed to view links.
Register or
Login. Este problema no afecta a sistemas Mac OS X v10.6.
PHP
CVE-ID: CVE-2009-3291, CVE-2009-3292, CVE-2009-3293
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: varias vulnerabilidades en PHP 5.2.10
Descripción: PHP se actualiza a la versión 5.2.11 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Encontrarás más información en el sitio web de PHP, en You are not allowed to view links.
Register or
Login. Estos problemas no afectan a los sistemas Mac OS X v.10.6.
QuickDraw Manager
CVE-ID: CVE-2009-2837
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la apertura de una imagen PICT creada con fines malintencionados puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario.
Descripción: se produce un desbordamiento del búfer de pila durante el tratamiento de los archivos PICT por parte de QuickDraw. La apertura de una imagen PICT creada con fines malintencionados puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona el problema realizando una validación adicional de las imágenes PICT. Gracias a Nicolas Joly del VUPEN Vulnerability Research Team informar de este problema.
QuickLook
CVE-ID: CVE-2009-2838
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: la descarga de un archivo de Microsoft Office creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: se produce un desbordamiento de enteros durante la gestión de archivos Microsoft Office por parte de QuickLook que podría provocar un desbordamiento del búfer. La descarga de un archivo de Microsoft Office creado con fines malintencionados puede provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
QuickTime
CVE-ID: CVE-2009-2202
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de corrupción de memoria en la gestión de archivos de películas H.264. La visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema ya se solucionó en QuickTime 7.6.4 para Mac OS X v10.5.8 y Windows. Gracias a Tom Ferris del Adobe Secure Software Engineering Team por informar de este problema.
QuickTime
CVE-ID: CVE-2009-2799
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existe un problema de desbordamiento del búfer de pila en la gestión de archivos de películas H.264. La visualización de una película H.264 creada con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema ya se solucionó en QuickTime 7.6.4 para Mac OS X v10.5.8 y Windows. Gracias a un investigador anónimo, colaborador de Zero Day Initiative de TippingPoint, por informar de este problema.
QuickTime
CVE-ID: CVE-2009-2203
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la apertura de un archivo de vídeo MPEG-4 creado con fines malintencionados puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: se produce un desbordamiento del búfer en el manejo de archivos de vídeo MPEG-4 por parte de QuickTime. La apertura de un archivo de vídeo MPEG-4 creado con fines malintencionados puede ocasionar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema ya se solucionó en QuickTime 7.6.4 para Mac OS X v10.5.8 y Windows. Gracias a Alex Selivanov por informar de este problema.
QuickTime
CVE-ID: CVE-2009-2798
Disponible para: Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: la visualización de un archivo FlashPix creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: se produce un desbordamiento del búfer de pila en el manejo de archivos FlashPix por parte de QuickTime. La visualización de un archivo FlashPix creado con fines malintencionados puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se soluciona el problema mejorando la comprobación de los límites. Este problema ya se solucionó en QuickTime 7.6.4 para Mac OS X v10.5.8 y Windows. Gracias a Damian Put en colaboración con Zero Day Initiative de TippingPoint por informar de este problema.
FreeRADIUS
CVE-ID: CVE-2009-3111
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un atacante remoto podría finalizar la ejecución del servicio RADIUS
Descripción: FreeRADIUS muestra un problema en la gestión de mensajes de petición de acceso. Un atacante remoto podría provocar la finalización del servicio RADIUS enviando un mensaje de petición de acceso que contenga un atributo Tunnel-Password con un valor de atributo de longitud cero. Después de una finalización inesperada, el servicio RADIUS se reiniciará automáticamente. Esta actualización resuelve el problema mejorando la validación de los atributos de longitud cero. Este problema no afecta a los sistemas Mac OS X v10.6.
Compartir Pantalla
CVE-ID: CVE-2009-2839
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: el acceso a un servidor VNC malicioso puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existen varios problemas de corrupción de memoria en el cliente de Compartir Pantalla. El acceso a un servidor VNC malicioso (por ejemplo, abriendo una URL vnc://) puede provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario. En esta actualización se solucionan los problemas mejorando la gestión de memoria. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
Spotlight
CVE-ID: CVE-2009-2840
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impacto: un usuario local podría manipular archivos con los privilegios de otro usuario
Descripción: existe una operación de archivo insegura en la gestión de archivos temporales por parte de Spotlight. Esto podría permitir a un usuario local sobrescribir archivos con los privilegios de otro usuario. Esta actualización revuelve el problema mejorando la gestión de los archivos temporales. Este problema no afecta a los sistemas Mac OS X v10.6. Gracias a: Apple.
Subversion
CVE-ID: CVE-2009-2411
Disponible para: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 y v10.6.1, Mac OS X Server v10.6 y v10.6.1
Impacto: el acceso a un depósito de Subversion podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario
Descripción: existen varios desbordamientos del búfer de pila en Subversion que pueden provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario. Esta actualización soluciona estos problemas actualizando Subversion a la versión 1.6.5 en sistemas Mac OS X v10.6 y aplicando las revisiones de Subversion en sistemas Mac OS X v10.5.8. Puedes obtener más información en el sitio web de Subversion, You are not allowed to view links.
Register or
Loginsaludos,
