Avisos 18 de March, 2013

Múltiples actualitzacions de productes Apple

Apple ha publicat actualitzacions de seguretat per als seus productes Mac OS X i Safari, amb la finalitat de solucionar múltiples vulnerabilitats.

 

Impacte
 
Execució arbitraria de codi, atac cross-site scripting, fuita d'informació, intercepció d'informació sensible i salt de restriccions de seguretat.
 
Productes afectats
 
Safari 6 i versions anteriors, per a Mac OS X Lion (10.7) i Mountain Lion (10.8).
Mac OS X 10.6.8
Mac OS X Server 10.6.8
Mac OS X Lion v10.7 to v10.7.5
Mac OS X Lion Server v10.7 fins a v10.7.5
Mac OS X Mountain Lion v10.8 fins a v10.8.2
 
Solució
 
Per a Safari 6 i Mac OS X, es pot aplicar l'actualització mitjançant Apple Software Update o descarregant la nova versió des de la pàgina oficial d’Apple.
 
Detall
 
Avisos publicats per OS X Mountain Lion i Actualització de Seguretat 2013-001
Apache: 
   - CVE-2013-0966: vulnerabilitat de fuita d'informació dels directoris protegits per autenticació HTTP sense conèixer els credencials correctes.
CoreTypes: 
   - CVE-2013-0967: vulnerabilitat provocada per la visita a webs manipulades que provoca l'execució d'aplicacions Java Web Start encara que el plug-in de Java es trobi desactivat.
Components Internacionals per a Unicode: 
   -CVE-2011-3058: vulnerabilitat de tipus cross-site scripting (XSS) a causa de la visita a webs manipulades.
Serveis d'identitat: 
   - CVE-2013-0963: vulnerabilitat d'autenticació amb l'identificador de Apple, que admet una cadena de caràcters buida si l'autenticació falla.
ImageIO: 
   - CVE-2012-2088: desbordament de búfer si es visualitza arxius TIFF modificats i que provoca la finalització inesperada de l'aplicació i permet l'execució de codi.
IOAcceleratorFamily: 
   - CVE-2013-0976: vulnerabilitat de corrupció de memòria al visualitzar una imatge modificada pot provocar la interrupció inesperada del sistema i permet l'execució de codi.
Kernel: 
   - CVE-2012-3749: vulnerabilitat de fuita d'informació degut a aplicacions compromeses que poden determinar adreces al kernel.
Login Window: 
   - CVE-2013-0969: vulnerabilitat per un error lògic en la que si l'atacant té accés al teclat pot iniciar les preferències del sistema i modificar la configuració.
Messages: 
   - CVE-2013-0970: al clicar a un enllaç de messages permet iniciar FaceTime sense autenticació. 
Messages Server: 
   - CVE-2012-3525: un atacant remot pot redirigir missatges de servidors Jabber federats. 
PDFKit: 
   - CVE-2013-0971: vulnerabilitat d'alliberament de memòria (use-after-free) que permet la finalització inesperada d'aplicacions i l'execució de codi al visualitzar fitxers PDF manipulats.
Podcast Producer Server: 
   - CVE-2013-0156, CVE-2013-0333: un atacant remot pot executar codi arbitrari a causa d'una vulnerabilitat al tractament de paràmetres XML i de informació JSON a Ruby on Rails'.
PostgreSQL: 
   - CVE-2012-3488, CVE-2012-3489: múltiples vulnerabilitats a PostgreSQL, que s'han solucionat amb la actualització a la versió 9.1.5.
Profile Manager: 
o CVE-2013-0156: vulnerabilitat al tractament de paràmetres XML a Ruby on Rails' permet a atacants remots l'execució de codi arbitrari.
QuickTime: 
   - CVE-2012-3756: vulnerabilitat de desbordament de búfer a les capses 'rnet' a arxius MP4 permet la finalització inesperada d'aplicacions i l'execució de codi al visualitzar arxius de vídeo manipulats. 
Ruby 
   - CVE-2013-0156: vulnerabilitat al tractament de paràmetres XML a Ruby on Rails' permet a atacants remots l'execució de codi si l'aplicació Rails està en execució.
Security: 
   - vulnerabilitat als certificats intermedis CA emesos per TURKTRUST permetien atacs man-in-the-middle en els que atacants amb certs privilegis dins la xarxa podien interceptar credencials d'usuari i altra informació sensible.
Software Update:    
   - CVE-2013-0973: Software Update permetia atacs man in the middle, un atacant amb certs privilegis dins la xarxa pot executar codi arbitrari. Aquesta vulnerabilitat no afecta a sistemes OS X Mountain Lion.
Wiki Server: 
   - CVE-2013-0156, CVE-2013-0333: vulnerabilitat al tractament dels paràmetres XML i de la informació JSON a Ruby on Rails' permet a atacants remots l'execució de codi arbitrari.
Malware removal: 
   - aquesta actualització executa una eina d'eliminació de malware que elimina la majoria de variants del malware. Si troba malware, mostra una notificació de diàleg al usuari indicant que s'ha eliminat.
 
Avisos publicats per Safari:
 
WebKit: 
CVE-2012-2824, CVE-2012-2857, CVE-2013-0948, CVE-2013-0949, CVE-2013-0950, CVE-2013-0951, CVE-2013-0952, CVE-2013-0953, CVE-2013-0954, CVE-2013-0955, CVE-2013-0956, CVE-2013-0958, CVE-2013-0959, CVE-2013-0960, CVE-2013-0961: múltiples vulnerabilitats de corrupció de memòria a WebKit, poden provocar un tancament inesperat i permetre la execució de codi.
CVE-2012-2889: vulnerabilitat de tipus cross-site scripting (XSS) provocat per la visita a una web modificada malintencionadament.
CVE-2013-0962: vulnerabilitat de tipus cross-site scripting (XSS) copiant i enganxat contingut a una web modificada maliciosament.
 

 

Publicat a: Avisos