Otro problema es un error de comprobación de tamaños de variables en el componente ColorSync cuando se procesan perfiles de color ICC puede ser explotado para provocar un desbordamiento de búfer basado en heap, y con ello la ejecución de código arbitrario.
Igualmente el componente libxml2 se ve afectado por varias vulnerabilidades que pueden ser también explotadas para comprometer un sistema afectado.
Otro componente, en este caso, Mail, tiene una vulnerabilidad que permitiría conocer desde que sistema en concreto se ha enviado un mensaje. El problema está relacionado con una filtración de información asociada al dispositivo Ethernet de la máquina.
Igualmente hay también diversas vulnerabilidades en PHP que podrían ser explotadas para provocar denegaciones de servicio o la ejecución remota de código arbitrario.
Safari no queda libre de problemas y se ve afectado por un problema de seguridad que explotado por un atacante podría falsificar el contenido de sitios web.
Y finalmente, una vulnerabilidad en SquirrelMail puede ser explotada por usuarios maliciosos para realizar ataques de tipo cross site scripting.
Se recomienda instalar la actualización de seguridad 2005-001 (según versiones):
Mac OS X 10.2.8 Client:
http://www.apple.com/support/downloads/securityupdate2005001macosx1028client.html
Mac OS X 10.2.8 Server:
http://www.apple.com/support/downloads/securityupdate2005001macosx1028server.html
Mac OS X 10.3.7 Client:
http://www.apple.com/support/downloads/securityupdate2005001macosx1037client.html
Mac OS X 10.3.7 Server:
http://www.apple.com/support/downloads/securityupdate2005001macosx1037server.html
Más Información:
Mac OS X Security Update Fixes Multiple Vulnerabilities
http://netsecurity.about.com/cs/securityalerts/qt/aaalert0224b.htm
Original Advisory:
Apple:
http://docs.info.apple.com/article.html?artnum=300770
Immunity:
http://www.immunitysec.com/downloads/nukido.pdf (PDF)
Antonio Román
roman@hispasec.com
Noticias Hispasec
