Múltiples vulnerabilidades en Mac OS X

MacWorkspace

Apple ha publicado una actualización para Mac OS X que solventa hasta doce problemas de seguridad. Algunos pueden ser aprovechados para ejecutar código remoto, eludir restricciones de seguridad o provocar denegaciones de servicio.

Un error en el componente CFNetwork que permite a páginas SSL manipuladas aparecer como legítimas a clientes CFNetwork (por ejemplo safari).

Varios errores en Flash Player que pueden ser aprovechados por atacantes para eludir restricciones de seguridad y comprometer sistemas vulnerables.

Un error en el componente ImageIO a la hora de procesar imágenes JPEG2000 puede ser aprovechado para provocar un desbordamiento de memoria intermedia y ejecutar código arbitrario.

En error en el kernel a la hora de manejar un mecanismo conocido como Mach exception ports puede ser aprovechado por atacantes locales para ejecutar código en aplicaciones privilegiadas.

Una condición de error no comprobada en el componente LoginWindow puede hacer que los tickets kerberos sean accesibles por otros usuarios locales después de un intento no exitoso de presentación.

Otro error en el componente LoginWindows a la hora de manejar “Fast User Switching” puede hacer que los tickets kerberos estén accesibles para otros usuarios locales.

Un error lógico en el componente LoginWindows puede hacer que cuentas de red sin GUIDs eludan el servicio de control de acceso LoginWindow.

Un fallo hace posible que una cuenta administre aplicaciones WebOjects después de que los privilegios de “Admin” hayan sido revocados.

Un problema de corrupción de memoria en QuickDraw Manager a la hora de procesar imágenes PICT puede ser aprovechado a través de una imagen especialmente manipulada para ejecutar código arbitrario.

Un error en SASL puede ser aprovechado por atacantes para provocar una denegación de servicio contra IMAP.

Un error de manejo de memoria en el manejo de Webkit de cierto código HTML puede ser aprovechado por atacantes para comprometer el sistema.

Un error en el administrador de grupos de trabajo puede provocar que cuentas que vienen de NetInfo usen crypt para cifrar contraseñas incluso cuando parezca que utiliza contraseñas ShadowHash.

Se recomienda aplicar los parches correspondientes desde las actualizaciones automáticas o desde:

Mac OS X 10.4.8 Upgrade (Intel)

Security Upgrade 2006-006 (10.3.9 cliente)

Security Upgrade 2006-006 (10.3.9 servidor)

Mac OS X 10.4.8 Upgrade (PPC)

Mac OS X 10.4.8 Combo Upgrade (PPC)

Mac OS X 10.4.8 Combo Upgrade (Intel)

Mac OS X servidor 10.4.8 Upgrade (PPC)

Mac OS X servidor 10.4.8 Combo Upgrade (PPC)

Mac OS X servidor 10.4.8 Upgrade (Universal)