Descarga gratuita de Servidor de actualización de seguridad de Apple , descarga de Servidor de actualización de seguridad de Apple descarga de software

Mejora el nivel de seguridad de los servidores Mac OS X. Actualización de seguridad 2009-006 Se recomienda para todos los usuarios y mejora la seguridad de Mac OS X. Las actualizaciones de seguridad anteriores se han incorporado a esta actualización de seguridad. Claro que tiene las últimas actualizaciones de seguridad y mejoras del sistema en su Mac. ¿Qué hay de nuevo en este lanzamiento: Cliente AFP: · Impacto: acceder a un servidor AFP malicioso puede llevar a una terminación inesperada del sistema o la ejecución de código arbitraria con privilegios del sistema · Descripción: Existen problemas de corrupción de memoria múltiple en el cliente AFP. Conectarse a un servidor AFP malicioso puede causar una terminación inesperada del sistema o la ejecución de código arbitraria con privilegios del sistema. Esta actualización aborda los problemas a través de la comprobación de límites mejorados. Estos problemas no afectan a Mac OS X V10.6 sistemas. Crédito: Apple. Firewall adaptativo: · Impacto: una fuerza bruta o un ataque de diccionario para adivinar una contraseña de inicio de sesión SSH, no puede ser detectada por Firewall Adaptive · Descripción: El firewall adaptativo responde a la actividad sospechosa, como un volumen inusual de intentos de acceso, creando una regla temporal para restringir el acceso. En ciertas circunstancias, el firewall adaptativo puede no detectar los intentos de inicio de sesión de SSH utilizando nombres de usuario no válidos. Esta actualización aborda el problema a través de una mejor detección de intentos de inicio de sesión SSH no válidos. Este problema solo afecta a Mac OS X Server Systems. Crédito: Apple. Apache: · Impacto: múltiples vulnerabilidades en Apache 2.2.11 · Descripción: Apache se actualiza a la versión 2.2.13 para abordar varias vulnerabilidades, cuyas más graves pueden llevar a la escalada de privilegios. Más información está disponible a través del sitio web de Apache en http://httpd.apache.org/ · Impacto: un atacante remoto puede llevar a cabo ataques de scripts de sitio cruzado contra Apache Web Server · Descripción: El servidor web Apache permite el método HTTP de rastreo. Un atacante remoto puede usar esta instalación para realizar ataques de scripts de sitio cruzado a través de cierto software de cliente web. Este problema se aborda actualizando la configuración para deshabilitar el soporte para el método de seguimiento. Apache Portable Tiempo de ejecución: · Impacto: las aplicaciones que utilizan el tiempo de ejecución portátil de Apache (APR) pueden ser explotadas para la ejecución de código · Descripción: Los desbordamientos de varios enteros en el tiempo de ejecución portátil de Apache (APR) pueden llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Estos problemas se abordan al actualizar Apache Portable Runtime a la versión 1.3.8 en los sistemas Mac OS X V10.6, y aplicando los parches de tiempo de ejecución portátil de Apache en los sistemas Mac OS X V10.5.8. Los sistemas que ejecutan Mac OS X V10.6 están afectados solo por CVE-2009-2412. Más información está disponible a través del sitio web de Apache Portable Runtime en http://apr.apache.org/ ATS: · Impacto: ver o descargar un documento que contenga una fuente incrustada malhechada puede llevar a la ejecución de códigos arbitrarios · Descripción: Existen desbordamientos de búfer múltiples en el manejo de los servicios de tipo Apple de las fuentes incrustadas. Visualizar o descargar un documento que contenga una fuente incrustada maliciosamente diseñada puede llevar a la ejecución de código arbitraria. Esta actualización aborda los problemas a través de la comprobación de límites mejorados. Estos problemas no afectan a Mac OS X V10.6 sistemas. Crédito: Apple. Asistente de certificación: · Impacto: un usuario puede ser engañado para aceptar un certificado para un dominio diferente · Descripción: existe un problema de implementación en el manejo de los certificados SSL que tienen caracteres de NUL en el campo Nombre común. Un usuario podría ser engañado para aceptar un certificado artesanal de atacantes que aparece visualmente para que coincida con el dominio visitado por el usuario. Este problema se mitiga ya que Mac OS X no considera que un certificado de este tipo es válido para cualquier dominio. Esta actualización aborda el problema a través de un manejo mejorado de certificados SSL. Coregraphics: · Impacto: abrir un archivo PDF con elaborado maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de códigos arbitrarios · Descripción: Los desbordamientos de varios enteros en el manejo de los archivos PDF de CoreGraphics pueden resultar en un desbordamiento de tampón de montón. Abrir un archivo PDF con elaborado maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda los problemas a través de la comprobación de límites mejorados. Estos problemas no afectan a Mac OS X V10.6 sistemas. Crédito: Apple. Coremedia: · Impacto: ver una película H.264 diseñada maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un problema de corrupción de memoria en el manejo de archivos de película H.264. La visualización de un archivo de película H.264 homicamente elaborado puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema no afecta a los sistemas antes de Mac OS X V10.6. Crédito a Tom Ferris del equipo de ingeniería de software de Adobe Secure para informar sobre este problema. · Impacto: ver una película H.264 diseñada maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de tampón de montón en el manejo de los archivos de película H.264. La visualización de un archivo de película H.264 homicamente elaborado puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema no afecta a los sistemas antes de Mac OS X V10.6. Crédito a un investigador anónimo que trabaja con TippingPoint y la iniciativa de Día Zero para informar este problema. TAZAS: · Impacto: Acessing Un sitio web o URL malicioso, puede provocar un ataque de división de noticias de Scripting o HTTP de HTTP · Descripción: Un problema en las CUPS puede llevar a scripts de sitios cruzados y división de respuesta HTTP. Acceder a una página web o URL con un atacante con un atacante para acceder al contenido disponible para el usuario local actual a través de la interfaz web de CUPS. Esto podría incluir la configuración del sistema de impresión y los títulos de los trabajos que se han impreso. Este problema se aborda a través de un manejo mejorado de encabezados HTTP y plantillas HTML. Crédito: Apple. Diccionario: · Impacto: un usuario en la red local puede causar la ejecución de código arbitrario · Descripción: Un problema de diseño en el diccionario permite un JavaScript, diseñado maliciosamente para escribir datos arbitrarios a ubicaciones arbitrarias en el sistema de archivos del usuario. Esto puede permitir que otro usuario en la red local ejecute el código arbitrario en el sistema del usuario. Esta actualización aborda el problema eliminando el código vulnerable. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. DirectoryService: · Impacto: un atacante remoto puede causar una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un problema de corrupción de memoria en DirectoryService. Esto puede permitir que un atacante remoto cause una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización solo afecta a los sistemas configurados como servidores de Service. Esta actualización aborda el problema a través de un mejor manejo de memoria. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Imágenes del disco: · Impacto: descargar una imagen de disco con elaborado maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de tampón de montón en el manejo de imágenes de disco que contienen sistemas de archivos de grasa. Descargar una imagen de disco con elaborado maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Palomar: · Impacto: un usuario local puede causar una terminación inesperada de la aplicación o la ejecución de código arbitraria con privilegio del sistema · Descripción: Existen desbordamientos de búfer múltiples en Dovecot-Sieve. Al implementar un guión de Dovecot-Sieve Maliciosamente diseñado, un usuario local puede causar una terminación inesperada de la aplicación o la ejecución de código arbitraria con privilegios del sistema. Esta actualización aborda el problema realizando una validación adicional de los scripts de Dovecot-Sieve. Este problema afecta solo a los sistemas de servidor Mac OS X. Este problema no afecta a los sistemas antes de Mac OS X V10.6. Monitor de eventos: · Impacto: un atacante remoto puede causar inyección de registro · Descripción: Existe un problema de inyección de registro en el monitor de eventos. Al conectarse al servidor SSH con información de autenticación iliciosamente diseñada, un atacante remoto puede causar inyección de registro. Esto puede llevar a una denegación de servicio, ya que los datos de registro son procesados por otros servicios. Esta actualización aborda el problema a través de una escape mejorada de la salida XML. Este problema afecta solo a los sistemas de servidor Mac OS X. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Fetchmail: · Impacto: Fetchmail se actualiza a 6.3.11 · Descripción: Fetchmail se ha actualizado a 6.3.11 para abordar un problema del hombre en el medio. Más información está disponible a través del sitio web de Fetchmail en http://fetchmail.berlios.de/ Archivo: · Impacto: ejecutar el comando Archivo en un archivo de documentos comunes de documentos comunes (CDF), puede provocar una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existen vulnerabilidades de desbordamiento de búfer múltiples en la herramienta de línea de comandos del archivo. Ejecutar el comando Archivo en un archivo de documentos comunes de documentos (CDF) diseñado maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Estos problemas se abordan al actualizar el archivo a la versión 5.03. Estos problemas no afectan los sistemas antes de Mac OS X V10.6. Servidor FTP: · Impacto: un atacante con acceso a FTP y la capacidad de crear directorios en un sistema puede poder causar la terminación inesperada de la aplicación o la ejecución de códigos arbitrarios · Descripción: Existe un desbordamiento de búfer en la herramienta de línea de comandos CWD del servidor FTP. Emitir el comando CWD en una jerarquía de directorios profundamente anidados puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema afecta solo a los sistemas de servidor Mac OS X. Crédito: Apple. Visor de ayuda: · Impacto: el uso del espectador de ayuda en una red no confiable puede resultar en la ejecución de código arbitrario · Descripción: el espectador de ayuda no usa HTTPS para ver el contenido de Ayuda de Apple Remoto. Un usuario en la red local puede enviar respuestas HTTP falsificadas que contienen ayuda maliciosa: enlaces de runscript. Esta actualización aborda el problema utilizando HTTPS al solicitar contenido de Ayuda de Apple Remote. Crédito a Brian Mastedenbrook por informar este problema. Imageio: · Impacto: ver una imagen de TIFF Maliciosamente diseñada puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un infriso de búfer en el manejo de ImageIO de imágenes TIFF. Ver una imagen de TIFF Maliciosamente diseñada puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Componentes internacionales para Unicode: · Impacto: las aplicaciones que utilizan la API de UCCOMPARETXTDEFAULT pueden ser vulnerables a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: existe un desbordamiento de búfer en la API de UCCOMPARETXTDEFAULT, que puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de una mejor gestión de la memoria. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito a Nikita Zhuk y Petteri Kamppuri de MKC para informar sobre este problema. Iakit: · Impacto: un usuario no privilegiado puede ser capaz de modificar el firmware del teclado · Descripción: Un usuario no privilegiado puede alterar el firmware en un teclado de Apple USB o Bluetooth adjunto. Esta actualización aborda el problema al exigir privilegios del sistema para enviar firmware a teclados de manzana USB o Bluetooth. Crédito a K. Chen del Instituto de Tecnología de Georgia para informar sobre este tema. IPsec: · Impacto: múltiples vulnerabilidades en el demonio de Racoon puede llevar a una denegación de servicio · Descripción: Las vulnerabilidades múltiples en las herramientas IPsec de Daemon de Racoon antes de 0.7.2 pueden llevar a una denegación de servicio. Esta actualización aborda los problemas aplicando parches del proyecto IPSec-Tools. Más información está disponible a través del sitio web de IPSec-Tools en Núcleo: · Impacto: un usuario local puede causar divulgación de información, un apagado inesperado del sistema o ejecución de códigos arbitrarios · Descripción: existen múltiples problemas de validación de entrada en el manejo de los segmentos de la tarea de Kernel. Estos pueden permitir que un usuario local cause divulgación de información, un apagado inesperado del sistema o ejecución de código arbitrario. Esta actualización aborda los problemas a través de una mejor validación de entrada. Crédito a Regis Duchesne of VMware, Inc. por informar este problema. Servicios de lanzamiento: · Impacto: el intento de abrir contenido descargado inseguro puede no llevar a una advertencia · Descripción: Cuando se llama a los servicios de inicio para abrir una carpeta en cuarentena, eliminará recursivamente la información de cuarentena de todos los archivos contenidos dentro de la carpeta. La información de cuarentena que se borra se usa active una advertencia de usuario antes de abrir el elemento. Esto permitiría al usuario que lanzará un artículo potencialmente inseguro, como una aplicación, sin presentarse con el cuadro de diálogo Advertencia apropiado. Esta actualización aborda el problema al no borrar esta información de cuarentena desde el contenido de la carpeta. Este problema no afecta a los sistemas antes de Mac OS X V10.6. Crédito: Apple. libsecurity: · Impacto: el soporte para los certificados X.509 con los hashes MD2 puede exponer a los usuarios a la descarga y la divulgación de información a medida que los ataques mejoren · Descripción: Hay debilidades criptográficas conocidas en el algoritmo de hash MD2. Una investigación adicional podría permitir la creación de los certificados X.509 con valores controlados por el atacante que confían en el sistema. Esto podría exponer los protocolos basados en X.509 a la falsificación, el hombre en los ataques intermedios y la divulgación de la información. Si bien aún no se considera que la computacional es factible montar un ataque utilizando estas debilidades, esta actualización desactiva el soporte para un certificado X.509 con un hash MD2 para cualquier uso que no sea como certificado raíz de confianza. Este es un cambio proactivo para proteger a los usuarios antes de mejorar los ataques contra el algoritmo de hash MD2. Crédito a Dan Kaminsky de Investigación de vulnerabilidad ioactiva y de Microsoft (MSVR) para informar sobre este problema. libxml: · Impacto: analizar el contenido XML diseñado maliciosamente puede llevar a una terminación inesperada de la aplicación · Descripción: Existen temas de uso posterior al uso múltiple en LibxML2, los más graves pueden llevar a una terminación de aplicaciones unxexpectada. Esta actualización aborda los problemas a través de un mejor manejo de memoria. Crédito a Rauli Kaksonen y Jukka Taimisto desde el proyecto Cross en Codenomicon Ltd. por informar estos problemas. Ventana de inicio de sesión: · Impacto: un usuario puede iniciar sesión en cualquier cuenta sin suministrar una contraseña · Descripción: Existe una condición de carrera en la ventana de inicio de sesión. Si una cuenta en el sistema no tiene contraseña, como la cuenta de invitado, un usuario puede iniciar sesión en cualquier cuenta sin suministrar una contraseña. Esta actualización aborda el problema a través de mejores controles de acceso. Este problema no afecta a los sistemas antes de Mac OS X V.10.6. OpenLDAP: · Impacto: un atacante hombre en el medio puede ser capaz de imponer un servidor o usuario de OpenLDAP de confianza, incluso cuando se está utilizando SSL · Descripción: existe un problema de implementación en el manejo de OpenLDAP de certificados SSL que tienen caracteres nulos en el campo Nombre común. Usando un certificado SSL, un atacante, puede ser capaz de realizar un ataque de hombre en el medio en las transacciones de OpenLDAP que usan SSL. Esta actualización aborda el problema a través de un manejo mejorado de certificados SSL. · Impacto: múltiples vulnerabilidades en OpenLDAP · Descripción: existen múltiples vulnerabilidades en OpenLDAP, las más graves de las cuales pueden llevar una denegación de servicio o ejecución de código arbitraria. Esta actualización aborda los problemas aplicando los parches OpenLDAP para los ID de CVE referenciados. Más información está disponible a través del sitio web OpenLDAP en http://www.openldap.org/. Estos problemas no afectan a Mac OS X V10.6 sistemas. Openssh: · Impacto: los datos en una sesión de OpenSSH pueden ser divulgados · Descripción: Existe un problema de manejo de errores en OpenSSH, lo que puede llevar a la divulgación de ciertos datos en una sesión SSH. Esta actualización aborda el problema actualizando OpenSSH a la versión 5.2p1. Más información está disponible a través del sitio web de OpenSSH en http://www.openssh.com/txt/release-5.2 Este problema no afecta a Mac OS X V10.6 sistemas. PHP: · Impacto: múltiples vulnerabilidades en PHP 5.2.10 · Descripción: PHP se actualiza a la versión 5.2.11 para abordar múltiples vulnerabilidades, cuyas más graves pueden llevar a la ejecución de código arbitraria. Más información está disponible a través del sitio web de PHP en http://www.php.net/ Estos problemas no afectan a Mac OS X V10.6 sistemas. Administrador QuickDRAW: · Impacto: abrir una imagen de PICT Maliciosamente elaborada puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de tampón de montón en el manejo de las imágenes PICT de QuickDRAW. Abrir una imagen de PICT Maliciosamente diseñada puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema realizando una validación adicional de imágenes PICT. Crédito a Nicolas Joly del equipo de investigación de vulnerabilidad de VUPEN para informar sobre este problema. Vistazo rápido: · Impacto: descargar un archivo de oficina de Microsoft Microsoft Microsoft puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Un desbordamiento entero en el manejo de Quicklook de los archivos de Microsoft Office puede llevar a un desbordamiento de búfer. Descargar un archivo de oficina Microsoft Microsoft Microsoft puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Tiempo rapido: · Impacto: ver una película H.264 diseñada maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un problema de corrupción de memoria en el manejo de archivos de película H.264. La visualización de un archivo de película H.264 homicamente elaborado puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema ya está abordado en QuickTime 7.6.4 para Mac OS X V10.5.8 y Windows. Crédito a Tom Ferris del equipo de ingeniería de software de Adobe Secure para informar sobre este problema. · Impacto: ver una película H.264 diseñada maliciosamente puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de tampón de montón en el manejo de los archivos de película H.264. La visualización de un archivo de película H.264 homicamente elaborado puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema ya está abordado en QuickTime 7.6.4 para Mac OS X V10.5.8 y Windows. Crédito a un investigador anónimo que trabaja con TippingPoint y la iniciativa de Día Zero para informar este problema. · Impacto: Abrir un archivo de video MPEG-4 MPEG-4 MPEG puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de búfer en el manejo de QuickTime de archivos de video MPEG-4. Abrir un archivo de video MPEG-4 MPEG-4 malicioso puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema ya está abordado en QuickTime 7.6.4 para Mac OS X V10.5.8 y Windows. Crédito a Alex Selivanov por informar este problema. · Impacto: la visualización de un archivo FlashPix con un diseño ilegible puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Existe un desbordamiento de tampón de montón en el manejo de los archivos FlashPix de QuickTime. La visualización de un archivo FlashPix, malhechado, puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda el problema a través de la comprobación de límites mejorados. Este problema ya está abordado en QuickTime 7.6.4 para Mac OS X V10.5.8 y Windows. El crédito a Damian pone a trabajar con TippingPoint y la iniciativa de Día Cero para informar sobre este problema. FREERADIUS: · Impacto: un atacante remoto puede rescindir el funcionamiento del servicio del radio · Descripción: Existe un problema en Freeradius en el manejo de los mensajes de solicitud de acceso. Un atacante remoto puede hacer que el servicio del radio termine enviando un mensaje de solicitud de acceso que contiene un atributo de contraseña de túnel con un valor de atributo de longitud cero. Después de cualquier terminación inesperada, el servicio RADIUS se reiniciará automáticamente. Esta actualización aborda el problema a través de una mejor validación de atributos de longitud cero. Este problema no afecta a Mac OS X V10.6 sistemas. Compartir pantalla: · Impacto: acceder a un servidor VNC malicioso puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: existen problemas de corrupción de memoria múltiple en el cliente de intercambio de pantalla. El acceso a un servidor VNC malicioso, como abrir una URL VNC: //, puede causar una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda los problemas a través de un mejor manejo de memoria. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Destacar: · Impacto: un usuario local puede manipular archivos con los privilegios de otro usuario · Descripción: existe una operación de archivo inseguro en el manejo de los archivos temporales de Spotlight. Esto podría permitir que un usuario local sobrescriba los archivos con los privilegios de otro usuario. Esta actualización aborda el problema a través de un mejor manejo de archivos temporales. Este problema no afecta a Mac OS X V10.6 sistemas. Crédito: Apple. Subversión: · Impacto: acceder a un repositorio de subversión puede llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria · Descripción: Los desbordamientos de tampón de montones múltiples en la subversión pueden llevar a una terminación inesperada de la aplicación o la ejecución de código arbitraria. Esta actualización aborda los problemas actualizando la subversión a la versión 1.6.5 para los sistemas Mac OS X V10.6, y al aplicar los parches de subversión para los sistemas Mac OS X V10.5.8. Más información está disponible a través del sitio web de Subversion en http://subversion.tigris.org/

Servidor de actualización de seguridad de Apple Software relacionado