int(852)

Vulnerability Bulletins


Actualización de seguridad Apple 2004-06-07

Vulnerability classification

Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information

Property Value
Affected manufacturer UNIX
Affected software Mac OS X v10.3.4
Mac OS X Server v10.3.4
Mac OS X v10.2.8
Mac OS X Server v10.2.8

Description

Los siguientes componentes han sido actualizados:

LaunchService
CAN-2004-0538
Impacto: LaunchServices registra aplicaciones automáticamente lo que podría ser utilizado para que el sistema ejecutase aplicaciones.
Discusión: LaunchServices es un componente que descubre y abre aplicaciones. El componente ha sido modificado para que solo abra aplicaciones que han sido ejecutadas previamente en el sistema, sino es así, se generará un alerta.

DiskImageMounter
Impacto: Las URIs del tipo disk:// montan un sistema de ficheros remoto anónimo utilizando el protocolo http.
Discusión: Las URIs del tipo disk:// han sido eliminadas del sistema como medida preventiva para evitar intentos de montar automáticamente sistemas de ficheros remotos.

Safari
CAN-2004-0539
Impacto: El botón "Show in Finder" podría abrir ciertos archivos descargados resultando, en algunos casos, en la ejecución de aplicaciones descargadas.
Discusión: El botón "Show in Finder" no intentará abrir archivos descargados. Esta modificación esta solo disponible para Mac OS X v10.3.4.

Terminal
Impacto: No se pueden utilizar URIs telnet:// con un puerto alternativo.
Discusión: Se ha hecho una modificación para permitir especificar un puerto alternativo en las URIs del tipo telnet://

Solution



Actualización de software

Apple
Mac OS X v10.3.4
Mac OS X Server v10.3.4
http://www.apple.com/support/downloads/securityupdate_2004-06-07_(_10_3_4).html
Mac OS X v10.2.8
Mac OS X Server v10.2.8
http://www.apple.com/support/downloads/securityupdate_2004-06-07_(_10_2_8).html

Standar resources

Property Value
CVE CAN-2004-0538
CAN-2004-0539
BID

Other resources

Apple Security Updates
http://docs.info.apple.com/article.html?artnum=61798

Version history

Version Comments Date
1.0 Aviso emitido 2004-06-08
Ministerio de Defensa
CNI
CCN
CCN-CERT