Apple corrige 13 fallos en Mac OS X

Apple ha publicado la actualización de seguridad 2005-009, destinada a evitar hasta 13 vulnerabilidades en su sistema operativo Mac OS X y que pueden ser empleadas por un atacante para evitar restricciones de seguridad, conseguir acceso no autorizado a los sistemas, comprometer información sensible o ejecutar código malicioso.

Se han corregido los siguientes problemas:

* Vulnerabilidad de cross-site scripting en Apache2 en determinadas configuraciones. Afecta a Mac OS X Server v10.3.9 y Mac OS X Server v10.4.3.

* Salto de autenticación SSL en el módulo apache_mod_ssl, por el que un atacante sin autorización puede acceder a recursos configurados para requerir autenticación SSL. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS Xv10.4.3 y Mac OS X Server v10.4.3 con configuraciones de Apache que incluyan la directiva “SSLVerifyClient require”.

* Desbordamiento de búfer en CoreFoundation al recibir URLs maliciosamente construidas, puede permitir la realización de ataques de denegación de servicio o la ejecución de código remoto. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Vulnerabilidad en curl puede permitir la ejecución arbitraria de código al visitar un servidor http malicioso y emplear autenticación NTLM. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios por error en iodbcadmintool. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Aplicaciones que hagan uso de OpenSSL pueden ser obligadas a emplear el protocolo SSLv2, que proporciona menor protección que SSLv3 o TLS. Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3, Mac OS X Server v10.4.3.

* Una vulnerabilidad en passwordserver puede permitir a usuarios locales en Open Directory elevar sus privilegios. Afecta a Mac OS X Server v10.3.9 y Mac OS X Server v10.4.3.

* Se corrigen también cuatro vulnerabilidades de diferente índole en Safari, que pueden permitir la descarga de archivos en sitios diferentes al directorio designado a tal efecto, la falsificación de cuadros de diálogo JavaScript o incluso la ejecución de código malicioso. Afectan a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Usuarios locales pueden elevar sus privilegios en determinadas configuraciones de sudo (la configuración por defecto no se ve afectada). Afecta a Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.3 y Mac OS X Server v10.4.3.

* Por último, las entradas del log del sistema pueden ser falsificadas. Afecta a Mac OS X v10.4.3 y Mac OS X Server v10.4.3.