1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2830/05/2008=29_Actualizaci=F3n_de_seguridad

    From noticias@hispasec.com@2:341/201.99 to All on Fri May 30 21:15:00 2008
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 30/05/2008
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Actualización de seguridad para Apple Mac OS X y Mac OS X Server
    ----------------------------------------------------------------

    Apple ha lanzado recientemente una nueva actualización de seguridad para
    su sistema operativo Mac OS X que solventa más de 40 vulnerabilidades
    que podrían ser aprovechadas por un atacante local o remoto para
    saltarse restricciones de seguridad, acceder a información sensible,
    escalar privilegios, perpetrar ataques de cross-site scripting, provocar denegaciones de servicio o incluso ejecutar código arbitrario en un
    sistema vulnerable.

    Esta es la tercera gran actualización del año (con el código 2008-003).
    Los componentes y software afectados (propios y de terceros) son, entre
    otros muchos: Apache, AppKit, Apple Pixlet Video, ATS, CoreFoundation, CoreGraphics, iCal y Help Viewer.

    A continuación se exponen con brevedad algunas de las vulnerabilidades solucionadas:

    * Error en AFP Server que podría permitir que un atacante accediera a
    archivos o carpetas para los que no tendría permiso de acceso.

    * Múltiples vulnerabilidades en Apache que podrían permitir ataques de cross-site scripting.

    * Ejecución de código arbitrario si se abre un archivo especialmente
    modificado con un editor que haga uso de AppKit.

    * Posible denegación de servicio o ejecución de código arbitrario
    provocada por una corrupción de memoria al abrir un archivo malicioso
    haciendo uso de Apple Pixlet Video.

    * Ejecución de código arbitrario al imprimir un archivo PDF con fuentes embebidas debido a una corrupción de memoria en Apple Type Services
    (ATS).

    * Revelación de información sensible a través de CFNetwork si se visita
    una web especialmente manipulada.

    * Posible ejecución remota de código o denegación de servicio provocada
    por un desbordamiento de enteros en CoreFundation al manejar objetos
    CFData.

    * Posible ejecución remota de código o denegación de servicio en
    CoreGraphics al procesar un archivo PDF especialmente manipulado.

    * Ampliación de la lista de tipos de contenidos potencialmente inseguros
    en CoreTypes.

    * Revelación de información sensible a través de CUPS.

    * Ejecución remota de código arbitrario a través del plug-in de Flash
    Player.

    * Posible ejecución remota debido a un manejo incorrecto de las URLs del
    tipo “ayuda:asunto” en Help Viewer.

    * Ejecución remota de código o denegación de servicio al abrir un
    archivo iCalendar malicioso con iCal.

    * Revelación de información provocado por un error de conversión en ICU.

    * Escalada de privilegios en Image Capture y revelación de información provocada por una vulnerabilidad de directorio trasversal.

    * Múltiples vulnerabilidades, una de ellas reportada por Hispasec, en
    ImageIO: Revelación de información, problemas de seguridad causados por
    libpng, denegaciones de servicio o ejecución remota de código.

    * Múltiples denegaciones de servicio en el kernel de Mac OS X.

    * Posible ejecución remota de código, denegación de servicio o revelación
    de información en Mail.

    * Lectura de archivos arbitrarios por parte de un atacante remoto en
    Ruby.

    * Acceso local a información sensible a través de Single Sign-On.

    * Acceso remoto a nombres de usuario (revelación de información sensible)
    en servidores con Wiki Server habilitado.

    Las actualizaciones pueden ser instaladas a través de la funcionalidad
    de actualización (Software Update) de Mac OS X o, según versión y
    plataforma, descargándolas directamente desde:

    Mac OS X Server 10.5.3 Update (489 MB) http://www.apple.com/support/downloads/macosxserver1053update.html

    Mac OS X Server 10.5.3 Combo Update (632 MB) http://www.apple.com/support/downloads/macosxserver1053comboupdate.html

    Mac OS X 10.5.3 Update (420 MB) http://www.apple.com/support/downloads/macosx1053update.html

    Mac OS X 10.5.3 Combo Update (536 MB) http://www.apple.com/support/downloads/macosx1053comboupdate.html

    Security Update 2008-003 (Intel) (111 MB) http://www.apple.com/support/downloads/securityupdate2008003intel.html

    Security Update 2008-003 (PPC) (72 MB) http://www.apple.com/support/downloads/securityupdate2008003ppc.html

    Security Update 2008-003 Server (Universal) (118 MB) http://www.apple.com/support/downloads/securityupdate2008003serveruniversal.html

    Security Update 2008-003 Server (PPC) (89 MB) http://www.apple.com/support/downloads/securityupdate2008003serverppc.html

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3506/comentar

    Más Información

    About the security content of Security Update 2008-003 / Mac OS X 10.5.3 http://support.apple.com/kb/HT1897

    Información sobre actualizaciones previas:

    20/03/2008 Apple Mac OS X soluciona más de 90 vulnerabilidades en su
    último paquete
    http://www.hispasec.com/unaaldia/3435

    15/02/2008 Actualización de seguridad para Apple Mac OS X http://www.hispasec.com/unaaldia/3401


    Pablo Molina
    pmolina@hispasec.com


    Tal día como hoy:
    -----------------

    30/05/2007: 14 vulnerabilidades al día
    http://www.hispasec.com/unaaldia/3140

    30/05/2006: Los motores de búsqueda como medio de difusión de contenidos fraudulentos
    http://www.hispasec.com/unaaldia/2775

    30/05/2005: Malware diseñado para el espionaje industrial
    http://www.hispasec.com/unaaldia/2410

    30/05/2004: Desbordamiento de búfer en mod_ssl 2.x para Apache 1 y 2
    http://www.hispasec.com/unaaldia/2044

    30/05/2003: Actualización para Internet Information Service
    http://www.hispasec.com/unaaldia/1678

    30/05/2002: eEurope 2005 un nuevo marco para seguridad de la información
    http://www.hispasec.com/unaaldia/1313

    30/05/2001: A vueltas con Sulfnbk.exe
    http://www.hispasec.com/unaaldia/948

    30/05/2000: Disney distribuye un virus informático
    http://www.hispasec.com/unaaldia/581

    30/05/1999: Estafas telefónicas a través de la pornografía en Internet
    http://www.hispasec.com/unaaldia/215


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2008 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)