Detalles sobre la macroactualización de seguridad para Apple Mac OS X

Las vulnerabilidades podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Esta actualización incluye un parche para BIND destinado a mitigar los efectos de la vulnerabilidad de falsificación de DNS descubierta por Kaminsky. Por otra parte, los clientes DNS de Apple siguen sin implementar la contramedida recomendada, que consiste en introducir más aleatoriedad en los puertos de origen de las peticiones. El resto de grandes fabricantes de sistemas operativos sí que han implementado dicha contramedida en sus parches, disponibles desde el pasado 8 de julio.

El resto de vulnerabilidades corregidas, que afectarían a Mac OS X 10.4.11 y Mac OS X 10.5.4, son las siguientes:

* Una vulnerabilidad en CarbonCore al procesar nombres de archivos demasiado largos que podría causar una desbordamiento de pila que permitiría la ejecución de código arbitrario.

* Múltiples errores de corrupción de memoria en CoreGraphics que podrían causar que la aplicación dejase de responder y permitir la ejecución de código.

* Un error en CoreGraphics al procesar archivos PDF que contengan la fuentes “Type 1” podría permitir la ejecución de código arbitrario.

* Múltiples errores en QuickLook al descargar archivos de Microsoft Office. Un atacante podría corromper la memoria pudiendo ejecutar código arbitrario.

* Un error en el motor Data Detectors al visualizar un mensaje especialmente manipulado podría causar el consumo de grandes cantidades de memoria y provocar el cierre de la aplicación.

* Un error en Disk Utility permitiría que un usuario local escalase privilegios.

* Un error en OpenLDAP al procesar paquetes codificados con ASN.1 BER podría causar una denegación de servicio.

* Un error de límites en la función SSL_get_shared_ciphers en OpenSSL podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

* Múltiples vulnerabilidades en PHP 5.2.5 que podrían ser aprovechadas para saltarse restricciones de seguridad, causar una denegación de servicio o ejecutar código arbitrario.

* Escalada de privilegios a través de las librerías de Open Scripting Architecture.

* Dos errores en Rsync al manejar vínculos simbólicos podrían ser aprovechados para saltarse restricciones de seguridad.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

El sector TIC español invertirá más en innovación a lo largo del próximo año

Las implantación de nuevas herramientas, la optimización de productos ya existentes y la adopción de…

21 mins ago

PUE DATA: “Sin duda, el 2025 la explosión de los espacios de datos”

Entrevistamosa Sergio Rodríguez, CTO de PUE DATA, para hablar del "boom" de los espacios de…

2 horas ago

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

2 días ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

3 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

3 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

3 días ago