Vulnerability Bulletins |
Múltiples vulnerabilidades en Mac OS X |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Obtener acceso |
Dificulty | Principiante |
Required attacker level | Acceso remoto sin cuenta a un servicio exotico |
System information |
|
Property | Value |
Affected manufacturer | Comercial Software |
Affected software |
Mac OS X 10.3.9 Client Mac OS X 10.3.9 Server Mac OS X 10.4.5 (PPC) Mac OS X 10.4.5 Client (Intel) |
Description |
|
Se han descubierto múltiples vulnerabilidades en Apple Mac OS X 10.3.9 y Mac OS X 10.4.5. Las vulnerabilidades son descritas a continuación: - CVE-2006-0400: La vulnerabilidad reside en CoreTypes en un fallo en la aplicación de la política "same-origin" para restringir el acceso a datos por parte de código JavaScript. Un atacante remoto podría saltarse ciertas comprobaciones de seguridad y acceder a datos sensibles mediante una página con código JavaScript especialmente diseñada. - CVE-2006-0396: La vulnerabilidad reside en un desbordamiento de búfer en Mail al manejar ciertos ficheros adjuntos. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que ejecute Mail mediante un correo electrónico especialmente diseñado. Este fallo no afecta a sistemas anteriores a Mac OS X v10.4. - CVE-2006-0397 / CVE-2006-0398 / CVE-2006-0399: La vulnerabilidad reside en un fallo en la comprobación del tipo de ficheros en el cliente Mail de Mac OS X v10.4 Tiger, lo que provoca que "Download Validation" no alerte sobre ficheros que se consideran inseguros. Un atacante remoto podría saltarse ciertas medidas de seguridad. Fallo relacionado con ALTAIR-603-02232. |
|
Solution |
|
Actualización de software Apple Mac OS X 10.3.9 Client http://www.apple.com/support/downloads/securityupdate20060021039client.html Mac OS X 10.3.9 Server http://www.apple.com/support/downloads/securityupdate20060021039server.html Mac OS X 10.4.5 (PPC) http://www.apple.com/support/downloads/securityupdate2006002macosx1045ppc.html Mac OS X 10.4.5 Client (Intel) http://www.apple.com/support/downloads/securityupdate2006002macosx1045clientintel.html |
|
Standar resources |
|
Property | Value |
CVE |
CVE-2006-0400 CVE-2006-0396 CVE-2006-0397 CVE-2006-0398 CVE-2006-0399 |
BID | |
Other resources |
|
Apple Security Update (2006-002) http://docs.info.apple.com/article.html?artnum=303453 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2006-03-14 |
2.0 | Exploit público disponible | 2006-03-20 |