Detalles sobre la macroactualización de seguridad para Apple Mac OS X


Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo OS X que solventa un total de 17 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto para falsificar la resolución de dominios, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-005 se incluyen parches para los siguientes componentes: Open Scripting Architecture, CarbonCore, CoreGraphics, Data Detectors Engine, Disk Utility, OpenLDAP, OpenSSL, PHP, QuickLook, Rsync y también para la vulnerabilidad de falsificación de DNS en BIND.

Como ya se informó, ésta actualización incluye un parche para BIND destinado a mitigar los efectos de la vulnerabilidad de falsificación de DNS descubierta por Kaminsky. Por otra parte, los clientes DNS de Apple siguen sin implementar la contramedida recomendada, que consiste en introducir más aleatoriedad en los puertos de origen de las peticiones. El resto de grandes fabricantes de sistemas operativos sí que han implementado dicha contramedida en sus parches, disponibles desde el pasado 8 de julio.

El resto de vulnerabilidades corregidas, que afectarían a Mac OS X 10.4.11 y Mac OS X 10.5.4, son las siguientes:

* Una vulnerabilidad en CarbonCore al procesar nombres de archivos demasiado largos que podría causar una desbordamiento de pila que permitiría la ejecución de código arbitrario.

* Múltiples errores de corrupción de memoria en CoreGraphics que podrían causar que la aplicación dejase de responder y permitir la ejecución de código…sigue

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde los siguientes enlaces:

Security Update 2008-005 Server (PPC):
 http://www.apple.com/support/downloads/securityupdate2008005serverppc.html

Security Update 2008-005 Server (Intel):
 http://www.apple.com/support/downloads/securityupdate2008005serverintel.html 

Security Update 2008-005 (PPC):
 http://www.apple.com/support/downloads/securityupdate2008005ppc.html

Security Update 2008-005 (Intel):
 http://www.apple.com/support/downloads/securityupdate2008005intel.html

Security Update 2008-005 (Leopard):
http://www.apple.com/support/downloads/securityupdate2008005leopard.html

Fuente hispasec.com
About Security Update 2008-005
http://support.apple.com/kb/HT2647

Apple?s DNS Cache Poisoning Patch Leaves Users at Risk
http://www.palluxo.com/2008/08/02/apple-dns-cache-poisoning-patch-leaves-users-at-risk/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s