Apple publica la actualización Mac OS X 10.4.7

mac os

Este artículo se publicó originalmente en «una-al-día» de Hispasec Sistemas

En respuesta a la necesidad de mejorar las prestaciones de su sistema operativo, no sólo en lo referente a funcionalidad, sino también a cuestiones de seguridad, Apple ha puesto a disposición de sus usuarios la actualización a la versión 10.4.7 de su sistema OS X.

Mac OS (Macintosh Operating System) versión X es un sistema operativo multiusuario, basado en BSD y Mach microkernel, y dotado de una valorada interfaz gráfica denominada Aqua. Recientemente, tras un drástico giro en su modelo de negocio, se abrió la posibilidad de ejecutar OS X no sólo en las tradicionales plataformas PPC (Power PC), sino también en arquitecturas Intel.

Esta actualización de carácter acumulativo, ciñéndonos exclusivamente a lo relacionado con la seguridad, soluciona algunas fallas existentes, descubiertas y documentadas en el tránsito desde la versión precedente a la actual.

AFP (Apple File Protocol) se actualiza (véase la referencia CVE-2006-1468), impidiendo la revelación de información sensible por parte de usuarios no autorizados. El motor antivirus ClamAV (CVE-2006-1989) corrige un problema mediante el cual es posible la ejecución de código arbitrario, caso de proporcionar al motor automático de actualización una base de datos espejo de índole maliciosa.

Las mejoras alcanzan también al framework ImageIO (CVE-2006-1469), susceptible de facilitar la ejecución de código y la denegación de servicio, al visualizar ficheros TIFF especialmente creados por los potenciales atacantes. El gestor de demonios launchd (CVE-2006-1471) corrige un problema que permite a los usuarios locales la escalada de privilegios en la máquina. Y por último, la implementación libre OpenLDAP (CVE-2006-1470) recibe una corrección, ya que la versión obsoleta facilita que los atacantes remotos ocasionen la denegación total de los servicios en la máquina.

Las actualizaciones pueden ser obtenidas en el centro de descarga del soporte de Apple, cuya dirección aparece en el campo «más información». Entre los paquetes suministrados están también los pertenecientes a la familia de servidores, Apple Mac OS X Server.

Es importante notar que justo después de la emisión de este conjunto de actualizaciones, ha aparecido un fallo crítico en iTunes (CVE-2006-1467), versiones 6.0.4 y anteriores. Un desbordamiento de entero en el manejo del ficheros de codificación de audio (AAC) permite a los atacantes tener una vía para tomar control completo del sistema, caso de que los usuarios vulnerables abran ficheros AAC especialmente creados. La actualización para iTunes se encuentra también en el centro de descargas.

Más Información:

About the security content of the Mac OS X 10.4.7 Update
http://docs.info.apple.com/article.html?artnum=303973

Apple iTunes Advanced Audio Coding File Handling Integer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2006/2601

Centro de descarga de actualizaciones
http://www.apple.com/support/downloads/

Mac OS X
http://www.apple.com/es/macosx/

Apple Security
http://www.apple.com/support/security/