Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en Mac OS X |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Principiante |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
Mac OS X 10.3.9 Client Mac OS X 10.3.9 Server Mac OS X 10.4.5 (PPC) Mac OS X 10.4.5 Client (Intel) |
Descripción |
|
Se han descubierto múltiples vulnerabilidades en Apple Mac OS X 10.3.9 y Mac OS X 10.4.5. Las vulnerabilidades son descritas a continuación: - CVE-2006-0400: La vulnerabilidad reside en CoreTypes en un fallo en la aplicación de la política "same-origin" para restringir el acceso a datos por parte de código JavaScript. Un atacante remoto podría saltarse ciertas comprobaciones de seguridad y acceder a datos sensibles mediante una página con código JavaScript especialmente diseñada. - CVE-2006-0396: La vulnerabilidad reside en un desbordamiento de búfer en Mail al manejar ciertos ficheros adjuntos. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que ejecute Mail mediante un correo electrónico especialmente diseñado. Este fallo no afecta a sistemas anteriores a Mac OS X v10.4. - CVE-2006-0397 / CVE-2006-0398 / CVE-2006-0399: La vulnerabilidad reside en un fallo en la comprobación del tipo de ficheros en el cliente Mail de Mac OS X v10.4 Tiger, lo que provoca que "Download Validation" no alerte sobre ficheros que se consideran inseguros. Un atacante remoto podría saltarse ciertas medidas de seguridad. Fallo relacionado con ALTAIR-603-02232. |
|
Solución |
|
Actualización de software Apple Mac OS X 10.3.9 Client http://www.apple.com/support/downloads/securityupdate20060021039client.html Mac OS X 10.3.9 Server http://www.apple.com/support/downloads/securityupdate20060021039server.html Mac OS X 10.4.5 (PPC) http://www.apple.com/support/downloads/securityupdate2006002macosx1045ppc.html Mac OS X 10.4.5 Client (Intel) http://www.apple.com/support/downloads/securityupdate2006002macosx1045clientintel.html |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2006-0400 CVE-2006-0396 CVE-2006-0397 CVE-2006-0398 CVE-2006-0399 |
BID | |
Recursos adicionales |
|
Apple Security Update (2006-002) http://docs.info.apple.com/article.html?artnum=303453 |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-03-14 |
2.0 | Exploit público disponible | 2006-03-20 |