Avisos 17 de September, 2013

Actualització de seguretat per OS X Mountain Lion

Apple ha publicat una actualització de seguretat per al seu sistema operatiu Mac OS X (Security Update 2013-004) junt amb la nova versió 10.8.5, amb la finalitat de solucionar 31 vulnerabilitats en diversos components. També s'han actualitzat els certificats arrel.

Impacte

 
Execució arbitraria de codi, atac cross-site scripting, denegació de servei, escalada de privilegis, fuita d'informació, intercepció d'informació sensible i salt de restriccions de seguretat.
 
Productes afectats
 
Mac OS X v10.6.8
Mac OS X Server v10.6.8
Mac OS X Lion v10.7.5
Mac OS X Lion Server v10.7.5
Mac OS X Mountain Lion v10.8 a v10.8.4
 
Solució
 
Es pot aplicar l'actualització mitjançant Apple Software Update o descarregant la nova versió des de la pàgina oficial d’Apple.
 
Detall
 
Avisos publicats per OS X Mountain Lion 10.8.5 i l'actualització de seguretat 2013-004
 
Apache: 
      o CVE-2012-0883, CVE-2012-2687, CVE-2012-3499, CVE-2012-4558: Múltiples vulnerabilitats en Apache, la més greu és de tipus cross-site scripting (XSS).
Bind: 
      o CVE-2012-3817, CVE-2012-4244, CVE-2012-5166, CVE-2012-5688, CVE-2013-2266: Múltiples vulnerabilitats en BIND, la més greu pot provocar una denegació de servei.
Certificate Trust Policy: 
      o S'han actualitzat els certificat arrel.
ClamAV: 
      o CVE-2013-2020, CVE-2013-2021: Múltiples vulnerabilitats en ClamAV, la més greu podria permetre l'execució de codi arbitrari.
CoreGraphics: 
      o CVE-2013-1025: Vulnerabilitat de desbordament de memòria intermitja en el manegament de dades codificades JBIG2 en arxius PDF.
ImageIO: 
      o CVE-2013-1026: Vulnerabilitat de desbordament de la memòria intermitja en el manegament de dades codificades JPEG2000 en arxius PDF.
Instal•lador: 
      o CVE-2013-1027: Quan Installer troba un certificat revocat, s'obre un quadre de diàleg amb una opció de continuar, el qual permet obrir paquets desprès de la revocació del certificat.
IPSec: 
      o CVE-2013-1028: El nom DNS d'un servidor IPSec Hybrid Auth no s'estava comparant amb el certificat, el qual permetria a un atacant amb un certificat de qualsevol servidor, fer-se passar per qualsevol altre.
Kernel: 
      o CVE-2013-1029: Una comprovació incorrecta en el codi d'anàlisi de paquets IGMP en el nucli, el qual permetria a un usuari enviar paquets IGMP al sistema i causar un error fatal en el nucli (kernel panic).
Gestió de dispositius mòbils: 
      o CVE-2013-1030: Una contrasenya enviada a través de línia de comandes a mdmclient, pot fer visibles a altres usuaris locals.
OpenSSL: 
      o CVE-2012-2686, CVE-2013-0166, CVE-2013-0169: Múltiples vulnerabilitats en OpenSSL, la més greu podria provocar fuita d'informació de l'usuari.
PHP: 
      o CVE-2013-1635, CVE-2013-1643, CVE-2013-1824, CVE-2013-2110: Múltiples vulnerabilitats en PHP, la més greu podria provocar l'execució de codi arbitrari.
PostgreSQL: 
      o CVE-2013-1899, CVE-2013-1900, CVE-2013-1901: Múltiples vulnerabilitats en PostgreSQL, la més greu pot provocar corrupció de dades o escalada de privilegis.
Gestió d'energia: 
      o CVE-2013-1031: El protector de pantalla no s'inicia en el període de temps especificat.
QuickTime: 
      o CVE-2013-1032: Vulnerabilitat de corrupció de memòria en el manegament dels àtoms "iDSC" en els arxius de vídeo QuickTime, aquesta podria ser aprofitada per un atacant per finalitzar l'aplicació o executar codi arbitrari mitjançant un arxiu de vídeo creat de forma malintencionada.
Bloqueig de pantalla: 
      o CVE-2013-1033: Vulnerabilitat en la gestió de sessions en el manegament de la pantalla de bloqueig en les sessions de pantalla compartida.
sudo: 
      o CVE-2013-1775: Vulnerabilitat en la configuració del rellotge de sistema, on un atacant pot utilitzar sudo per obtenir privilegis de root en sistemes on sudo s'ha utilitzat anteriorment.
 
Referències
 
Avís de seguretat d'Apple Security Update 2013-004
Publicat a: Avisos