Actualización de seguridad 2005-01 de Apple Mac OS X

Los parches corrigen un problema en la familia de herramientas ‘at’, al no liberar los privilegios adquiridos de forma adecuada, lo que puede ser explotado para borrar archivos arbitrarios, ejecutar comandos con privilegios escalados o leer el contenido de archivos arbitrarios.

Otro problema es un error de comprobación de tamaños de variables en el componente ColorSync cuando se procesan perfiles de color ICC puede ser explotado para provocar un desbordamiento de búfer basado en heap, y con ello la ejecución de código arbitrario.

Igualmente el componente libxml2 se ve afectado por varias vulnerabilidades que pueden ser también explotadas para comprometer un sistema afectado.

Otro componente, en este caso, Mail, tiene una vulnerabilidad que permitiría conocer desde que sistema en concreto se ha enviado un mensaje. El problema está relacionado con una filtración de información asociada al dispositivo Ethernet de la máquina.

Igualmente hay también diversas vulnerabilidades en PHP que podrían ser explotadas para provocar denegaciones de servicio o la ejecución remota de código arbitrario.

Safari no queda libre de problemas y se ve afectado por un problema de seguridad que explotado por un atacante podría falsificar el contenido de sitios web.

Y finalmente, una vulnerabilidad en SquirrelMail puede ser explotada por usuarios maliciosos para realizar ataques de tipo cross site scripting.

Se recomienda instalar la actualización de seguridad 2005-001 (según versiones):

Mac OS X 10.2.8 Client:

http://www.apple.com/support/downloads/securityupdate2005001macosx1028client.html

Mac OS X 10.2.8 Server:

http://www.apple.com/support/downloads/securityupdate2005001macosx1028server.html

Mac OS X 10.3.7 Client:

http://www.apple.com/support/downloads/securityupdate2005001macosx1037client.html

Mac OS X 10.3.7 Server:

http://www.apple.com/support/downloads/securityupdate2005001macosx1037server.html