Apple liberó una actualización de seguridad para Mac OS X que repara 13 vulnerabilidades.
Apple Support
2005-009
Mac OS X 10.3.9 |
Mac OS X 10.4.3 |
Apple liberó una actualización de seguridad para Mac OS X que repara 13 vulnerabilidades.
Puede explotarse un error en el manejo de las cabeceras de HTTP del servidor Web Apache2 por personas maliciosas para realizar ataques "HTTP request smuggling" cuando se utiliza Apache en conjunto con ciertos servidores proxy, de caching, o aplicaciones Web tipo firewall.
Se podría explotar un error en el módulo "mod_ssl" del servidor Web Apache por personas maliciosas para burlar ciertas restricciones de seguridad.
Existe un error en el control de los límites de la memoria en CoreFoundation cuando resuelve ciertas URLs. Esto puede explotarse para ocasionar un desbordamiento de la memoría en el area de heap y podría permitir la ejecución de código arbitrario via una URL maliciosa. CoreFoundation es utilizado pr Safari y otras aplicaciones.
Un error en curl cuando maneja autenticación NTLM puede explotarse por personas maliciosas para comprometer el sistema de un usuario.
Existe un error en la utilidad de administración de ODBC "iodbcadmintoo". Esto puede explotarse por usuarios locales para ejecutar comandos escalando privilegios.
Un error en OpenSSL al manejar ciertas opciones de compatibilidad podría explotarse por personas maliciosas para realizar ataques "protocol rollback".
Un error en passwordserver cuando maneja la creación de un servidor maestro Open Directory podría causar que ciertas credenciales sean mostradas. Esto puede explotarse por usuarios locales para elevarse privilegios en el servidor.
Existe un error de desbordamiento de variable en la biblioteca PCRE que es utilizada por el analizador de JavaScript de Safari. Esto podría explotarse por personas maliciosas para comprometer el sistema de un usuario.
Existe un error en Safari cuando guarda un archivo descargado que tenga nombre muy largo. Esto puede explotarse para guardar el archivo descargado fuera del directorio designado.
Las cajas de diálogo de JavaScript en Safari no indican el sitio Web que las creo. Esto puede explotarse por sitios web maliciosos para engañar con cajas de diálogo.
Existe un error en el control de los límites de la memoria en WebKit cuando maneja cierto contenido malicioso. Esto puede explotarse para ocasionar un desbordamiento de memoria en el area de heap via un contenido descargado desde sitios Web maliciosos por aplicaciones que utilizan WebKit, como Safari.
Un error en sudo puede explotarse por usuarios locales para ejecutar comandos arbiotrarios con privilegios escalados.
El servidor de syslog no verífica apropiadamente los mensajes antes de guardarlos. Esto puede explotarse para falsificar registros y engañar al administrador del sistema al enviar mensajes con ciertos carácteres de control, como nueva línea, al servidor de syslog.
Security Bypass
Cross Site Scripting
Spoofing
Manipulación de datos.
Exposición de información sensible.
Escalación de privilegios.
Negación de servicios (DoS).
Acceso al sistema.
Aplicar la actualización de seguridad 2005-009.
Mac OS X 10.3.9 Cliente (Panther):
http://www.apple.com/support/downloads/securityupdate2005009pantherclient.html
Mac OS X 10.3.9 Servidor (Panther):
http://www.apple.com/support/downloads/securityupdate2005009pantherserver.html
Mac OS X 10.4.3 Cliente (Tiger):
http://www.apple.com/support/downloads/securityupdate2005009tigerclient.html
Mac OS X 10.4.3 Servidor (Tiger):
http://www.apple.com/support/downloads/securityupdate2005009tigerserver.html
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT