Apple libera patches para su Mac OS X y su browser Safari

15 Feb 2009 en Seguridad

Llega el primer update recomendado de seguridad del año de parte de Apple, con correcciones para su Mac OS X y para su browser Web Safari.
Security Update 2009-001 corrige al menos 22 problemas que afectan a video, servidores y piezas de software open source. Entre los patches tenemos a un update de Apple para un error en el codec de video Pixlet y que puede permitir ejecución arbitraria de código.
Recientemente, Apple había tocado su software QuickTime para llevarlo a la versión 7.6 debido a otros temas no relacionados de seguridad.
Mac OS X recibe patches para programas open source que forman parte del OS. Esto incluye a los lenguajes de programación Perl y Python y al sistema de impresión CUPS (Common Unix Printing System). También se actualizó ClamAV, el antivirus open source, incluido en la plataforma Mac OS X Server.
También se actualizó a SMB (Server Message Block), usado por las Macs para interoperar con el file system de Microsoft Windows. Se trata de una protección contra el overflow de buffers y saturación de memoria, que puede conducir a ejecución arbitraria de código o caída del sistema.
Respecto al browser, se lo actualiza tanto para plataforma Mac, como Windows. Se trata de un problema RSS (estándar de facto para sindicación de contenidos Web). Existían múltiples problemas de validación en el manejo de URLs de alimentación. Según el parte de Apple, esto permite ejecución arbitraria de JavaScript en la zona de seguridad local y el arreglo mejora el manejo del JavaScript embebido en la alimentación.
Apple reconoció que el especialista Brian Mastenbrook fue quien reportó el problema. Y fue ese especialista quien criticó la tardanza de Apple para reaccionar, ya que su reporte data de Julio 11 de 2008.
“Muchas vulnerabilidades se basan en mecanismos de ataque que requieren sofisticación técnica de parte del atacante. En este caso, ocurre lo contrario. La vulnerabilidad funciona exactamente de la misma forma en todas las plataformas afectadas y no requiere de un conocimiento profundo del procesador o del sistema operativo para ser explotada. La descubrí accidentalmente, lo que muestra que pudo haber sido descubierta por otras personas,” comentó Mastenbrook.