Apple corrige 58 vulnerabilidades en la más reciente actualización de Mac OS X

Apple lanzó otra mega-parche para cubrir un total de 58 vulnerabilidades documentadas que afectan el ecosistema de Mac OS X.

La mayoría de las fallas podrían permitir a un atacante remoto obtener el control completo de un sistema sin parches, lo que significa que esta actualización tiene una calificación de "extremadamente crítica".

Incluye parches para componentes de código abierto como Apache y PHP y para agujeros de seguridad en el reproductor QuickTime.

He aquí un vistazo de algunos de los problemas más graves contemplados en el paquete de parches  Security Update 2009/006/Mac OS X v10.6.2:

• Cliente AFP - Múltiples problemas de corrupción de memoria existentes en el cliente AFP. La conexión a un servidor malicioso AFP puede provocar el cierre inesperado del sistema o la ejecución de código arbitrario con privilegios del sistema.
• Apache - Apache es actualizado a la versión 2.2.13 para hacer frente a varias vulnerabilidades, la más grave puede llevar a una escalada de privilegios. Un parche corrige un fallo independiente que permite a un atacante utilizar el método HTTP TRACE en el servidor web Apache para llevar a cabo la ejecución de código cross-site mediante determinados programas cliente para web.
• Apache Portable Runtime - Múltiples desbordamientos de enteros en Apache Portable Runtime (APR) puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
• ATS - Múltiples desbordamientos de búfer existen en Apple Type Services  al administrar fuentes incrustadas. Ver o descargar un documento que contenga una fuente creada de manera malintencionada puede provocar la ejecución de código arbitrario.
• CoreGraphics - Múltiples desbordamientos de enteros en el manejo de CoreGraphics  en los archivos PDF pueden dar lugar a un desbordamiento de búfer heap. Abrir un archivo PDF creado de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
• CoreMedia - la corrupción de memoria y problemas en el desbordamiento del  búfer heap existen en el manejo de archivos de vídeo H.264. La visualización de un archivo de video H.264 creado de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
• CUPS - Un problema en CUPS puede conducir a la ejecución de código cross-site y la división de la respuesta HTTP. El acceso a una página web maliciosa o URL, puede permitir a un atacante acceder a contenidos disponibles para el usuario local actual a través de la interfaz web de CUPS. Esto podría incluir la configuración del sistema de impresión y los títulos de los trabajos que se han impreso.
• Diccionario - Un problema de diseño en el diccionario permite la generación de Javascript maliciosos que escribe datos arbitrarios en cualquier ubicación en el sistema de archivos del usuario. Esto puede permitir que otro usuario de la red local ejecute código arbitrario en el sistema del usuario.
• DirectoryService - un problema de corrupción de memoria existe en DirectoryService. Esto puede permitir a un atacante remoto provocar el cierre inesperado de la aplicación o la ejecución de código arbitrario. Esta actualización sólo afecta a los sistemas configurados como servidores de DirectoryService.
• Las imágenes de disco – Existe un desbordamiento de búfer en el manejo de imágenes de disco que contienen sistemas de archivos FAT. Descargar una imagen de disco creada de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
• Dovecot – Existe múltiples desbordamientos de búfer . Al  implementar un código dovecot creado de manera malintencionada, un usuario local puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario con privilegios de sistema.
• ImageIO – Existe un desbordamiento de búfer en el manejo de archivos TIFF dentro de ImageIO . La visualización de una imagen TIFF creada de manera malintencionada puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.
• Kernel - Múltiples problemas de validación de entrada existen  dentro del Kernel  al momento de manejar segmentos de estado de tarea. Esto puede permitir a un usuario local causar la divulgación de información, un cierre inesperado del sistema o la ejecución de código arbitrario.