Apple publica parches para los 15 agujeros de seguridad encontrados en su sistema operativo Mac OS X
Apple ha publicado una nueva actualización de seguridad de su sistema operativo Mac OS X con el que espera solventar los 15 agujeros de seguridad detectados. Los parches pueden descargarse gratuitamente en Internet y afectan a componentes como Apache, Kerberos, QuickTime Streaming Server, SquirrelMail o el navegador Safari.
(Libertad Digital) La actualización, que puede descargarse gratis desde Internet, ofrece correcciones de seguridad para las versiones 10.2.8 ("Jaguar"), y las últimas 10.3.4 y 10.3.5 ("Panther"). Tal y como recoge Hispasec, los problemas que soluciona son los siguientes:
– Se ha actualizado el componente Apache a la versión 2.0.50, que corrige diversos problemas de denegación de servicio y que se incluye con Mac OS X Server.
– Programas con determinados privilegios que usen CoreFoundation pueden ser empleados para cargar ejecutables de forma automática.
– Una variable de entorno puede ser manipulada para provocar un desbordamiento de búfer que puede ser empleado para conseguir una elevación de privilegios.
– Cuando se usan certificados, servidores no autenticados pueden llegar a negociar una conexión IPSec.
– Múltiples desbordamientos de búfer en krb5_aname_to_localname de Kerberos 5 (krb5) 1.3.3 que pueden ser utilizados por atacantes remotos para lograr la ejecución de código arbitrario.
– Una condición de carrera en el servicio FTP puede ser utilizada por un usuario remoto autenticado para provocar una denegación de servicio o incluso lograr la ejecución de código arbitrario.
– Se ha corregido un problema en el componente OpenLDAP, por el que una contraseña cifrada podía ser usada como si fuera una contraseña en texto plano.
– Un servidor ssh/scp malicioso podía llegar a sobreescribir archivos locales.
– El componente PPPDialer grababa los archivos de registro en un espacio con permisos de escritura para todos los usuarios, esto podía ser empleado por un usuario malicioso para sobreescribir archivos y lograr una elevación de privilegios.
– Denegación de servicio en QuickTime Streaming Server.
– El navegador de Apple, Safari, se veía afectado por una denegación de servicio al emplear un array en JavaScript de tamaño negativo. Otro problema, permitía a un sitio web no confiable inyectar contenido en un frame empleado por otro dominio.
– SquirrelMail anterior a 1.4.3 RC1 permite a atacantes remotos la ejecución de expresiones SQL no autorizadas.
– Paquetes tcp maliciosamente creados podían provocar la caída de
tcpdump.
– Programas con determinados privilegios que usen CoreFoundation pueden ser empleados para cargar ejecutables de forma automática.
– Una variable de entorno puede ser manipulada para provocar un desbordamiento de búfer que puede ser empleado para conseguir una elevación de privilegios.
– Cuando se usan certificados, servidores no autenticados pueden llegar a negociar una conexión IPSec.
– Múltiples desbordamientos de búfer en krb5_aname_to_localname de Kerberos 5 (krb5) 1.3.3 que pueden ser utilizados por atacantes remotos para lograr la ejecución de código arbitrario.
– Una condición de carrera en el servicio FTP puede ser utilizada por un usuario remoto autenticado para provocar una denegación de servicio o incluso lograr la ejecución de código arbitrario.
– Se ha corregido un problema en el componente OpenLDAP, por el que una contraseña cifrada podía ser usada como si fuera una contraseña en texto plano.
– Un servidor ssh/scp malicioso podía llegar a sobreescribir archivos locales.
– El componente PPPDialer grababa los archivos de registro en un espacio con permisos de escritura para todos los usuarios, esto podía ser empleado por un usuario malicioso para sobreescribir archivos y lograr una elevación de privilegios.
– Denegación de servicio en QuickTime Streaming Server.
– El navegador de Apple, Safari, se veía afectado por una denegación de servicio al emplear un array en JavaScript de tamaño negativo. Otro problema, permitía a un sitio web no confiable inyectar contenido en un frame empleado por otro dominio.
– SquirrelMail anterior a 1.4.3 RC1 permite a atacantes remotos la ejecución de expresiones SQL no autorizadas.
– Paquetes tcp maliciosamente creados podían provocar la caída de
tcpdump.
Temas
En Tecnociencia
0
comentarios
Servicios
- Radarbot
- Libro