Apple ha liberado la versión 10.6.8 de su sistema operativo junto a la actualización de seguridad 2011-004. Esta actualización soluciona múltiples vulnerabilidades, algunas de ellas críticas, que podrían ser explotadas por usuarios maliciosos.
Las actualizacion de seguridad 2011-004 y Mac OS X v10.6.8 corrigen las siguientes vulnerabilidades:
- Airport: Cuando el usuario está conectado a un punto de acceso Wi-Fi, un atacante en la misma red puede ser capaz de provocar un reinicio del sistema .
- App Store: En determinadas circunstancias, la App Store puede registrar el password del AppleID de un usuario a un archivo que no puede ser leído por otros usuarios en el sistema. .
- ATS: Ver o descargar un documento con una fuente maliciosa puede provocarla ejecución de código arbitrario.
- ATrust Policy: Un atacante con una posición privilegiada de la red puede interceptar credenciales de usuario u otra información confidencial.
- ColorSync: Visualizar una imagen creada de manera malintencionada con un perfil ColorSync integrado puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
- CoreFoundation: Las aplicaciones que utilizan el framework CoreFoundation pueden ser vulnerables a una terminación inesperada de la aplicación o la ejecución de código arbitrario.
- CoreGraphics: Abrir un archivo PDF creado de manera malintencionada puede dar lugar a la terminación inesperada de la aplicación o la ejecución de código arbitrario.
- Servidor FTP: Una persona con acceso al FTP puede listar de forma recursiva los fichero y directorios a partir de la raíz, incluyendo aquellos que no son compartidos por el FTP.
- ImageIO: Visualizar una imagen TIFF o un sitio web creado de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
- Componentes Internacionales de Unicode: Las aplicaciones que utilizan ICU pueden ser vulnerables a la ejecución de código arbitrario.
- Libsystem: Aplicaciones que usan la API glob(3) pueden ser vulnerables a una denegación de servicio.
- libxslt: Visitar un sitio web malicioso puede provocar la divulgación de direcciones en el heap.
- MobileMe: Un atacante con una posición privilegiada de la red pueden leer los alias de un usuario de correo electrónico MobileMe.
- MySQL: MySQL se actualiza a la versión 5.0.92 para resolver varias vulnerabilidades. La más grave de ellas puede provocar la ejecución de código arbitrario. MySQL sólo se proporciona con los sistemas Mac OS X Server.
- OpenSSL: Múltiples vulnerabilidades existentes en OpenSSL. La más grave puede provocar la ejecución de código arbitrario.
- Patch: la ejecución de parch en un archivo de revisión creado de manera malintencionada puede provocar se creen archivos arbitrarios o que sobreescriban.
- QuickLook: la descarga de un archivo malicioso de Microsoft Office pueden provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
- QuickTime: Visualizar un fichero de video, un fichero JPEG o una imagen PICT creados de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
- Samba: Si el uso compartido de archivos SMB está activado, un atacante remoto podría causar una denegación de servicio o la ejecución de código arbitrario.
- Servermgrd: Un atacante remoto podría ser capaz de leer ficheros arbitrarios del sistema.
- Subversion: Un atacante remoto podría causar una denegación de servicio en un servidor Subversion http.
Impacto:
- Ejecución de código arbitrario.
- Caída o reinicio de la aplicación.
- Obtención de información sensible.
Solución
Para actualizar a Mac OS X v10.6.8 y aplicar la actualizacion de seguridad 2011-004 debe seleccionar la opción «Actualización de software» en el menú Apple o descargarla directamente desde su página oficial.
