Mac OS X es el último sistema operativo nativo de la compañía Apple, que proporciona un entorno moderno y de calidad para plataformas PowerPC.
La actualización 2004-09-07, gratuita, ofrece correcciones de seguridad para las versiones 10.2.8 (“Jaguar”), y las últimas 10.3.4 y 10.3.5 (“Panther”).
Hay que aclarar que si esta actualización se instala en un sistema 10.3.4 y posteriormente este se actualiza a la versión 10.3.5, deberá instalarse de nuevo en los sistemas actualizados.
Se solucionan los siguientes problemas:
– Se ha actualizado el componente Apache a la versión 2.0.50, que corrige diversos problemas de denegación de servicio y que se incluye con Mac OS X Server.
– Programas con determinados privilegios que usen CoreFoundation pueden ser empleados para cargar ejecutables de forma automática.
– Una variable de entorno puede ser manipulada para provocar un desbordamiento de búfer que puede ser empleado para conseguir una elevación de privilegios.
– Cuando se usan certificados, servidores no autenticados pueden llegar a negociar una conexión IPSec.
– Múltiples desbordamientos de búfer en krb5_aname_to_localname de Kerberos 5 (krb5) 1.3.3 que pueden ser utilizados por atacantes remotos para lograr la ejecución de código arbitrario.
– Una condición de carrera en el servicio FTP puede ser utilizada por un usuario remoto autenticado para provocar una denegación de servicio o incluso lograr la ejecución de código arbitrario.
– Se ha corregido un problema en el componente OpenLDAP, por el que una contraseña cifrada podía ser usada como si fuera una contraseña en texto plano.
– Un servidor ssh/scp malicioso podía llegar a sobreescribir archivos locales.
– El componente PPPDialer grababa los archivos de registro en un espacio con permisos de escritura para todos los usuarios, esto podía ser empleado por un usuario malicioso para sobreescribir archivos y lograr una elevación de privilegios.
– Denegación de servicio en QuickTime Streaming Server.
– El navegador de Apple, Safari, se veía afectado por una denegación de servicio al emplear un array en JavaScript de tamaño negativo. Otro problema, permitía a un sitio web no confiable inyectar contenido en un frame empleado por otro dominio.
– SquirrelMail anterior a 1.4.3 RC1 permite a atacantes remotos la ejecución de expresiones SQL no autorizadas.
– Paquetes tcp maliciosamente creados podían provocar la caída de tcpdump.
Hispasec recomienda a todos los usuarios Apple que instalen estas actualizaciones, que pueden descargarse desde las siguientes direcciones:
Para Mac OS X 10.2.8
Para Mac OS X 10.3.4
Para Mac OS X 10.3.5
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…