Actualización de seguridad de Mac OS X 10.2.8 y 10.3.3
Apple ha publicado una actualización de seguridad para su sistema Mac OS
X que corrige algunas vulnerabilidades ya conocidas, además de otros
problemas de los que no ha dado detalles.
-Se han corregido algunas vulnerabilidades en Apache 2 que podían ser
explotadas por usuarios maliciosos para inyectar caracteres maliciosos
en los archivos de traza y provocar una denegación de servicio.
-Se han corregido dos vulnerabilidades en la implementación de IPSec que
podían ser explotadas por usuarios maliciosos para perpetrar ataques
“man-in-the-middle”, realizar conexiones no autorizadas o denegaciones
de servicio.
-Se ha corregido una vulnerabilidad en
AppleFileServer que puede ser explotada por usuarios maliciosos para
comprometer un sistema vulnerable. El problema se debe a un
desbordamiento de búfer cuando se realiza en análisis de paquetes AFP
“LoginExt” con un campo que sobrepasa el tamaño establecido, y
permitiría la ejecución de código con privilegios de root.
-Se ha
corregido una vulnerabilidad (sin especificar) en CoreFoundation cuando
se tratan variables de entorno, lo que podría permitir la realización de
escaladas de privilegios locales.
-Se ha corregido una
vulnerabilidad sin especificar en RAdmin, que se presenta cuando maneja
peticiones grandes y que podría ser explotado para comprometer el
sistema. Según Apple, este problema sólo afectaría a la versión 10.2.8.
Como en muchas otras ocasiones, la gravedad de los problemas sin especificar
son probablemente mayor que las sugeridas por el fabricante. Ya que, por
ejemplo, el tercero de los problemas descritos anteriormente se describe
por el fabricante con un simple “mejora del manejo de claves largas”,
cuando según el aviso de @stake, esta vulnerabilidad permite un
desbordamiento de búfer y puede ser explotada para comprometer un
sistema.
Las direcciones para la descarga de la actualización de
seguridad 2004-05-03 son las siguientes: