Otra vez en viernes Apple ha decidido publicar las actualizaciones de la plataforma Mac OS X, poniendo en circulación actualizaciones para Mac OS X Snow Leopard, OS X Lion y OS X Mountain Lion, además de un la actualización de Apple Safari 5.1.10 for Snow Leopard. Las descargas de todos estos productos están disponibles en las siguientes URLs - además de vía Software Update y Mac App Store -:
- OS X Mountain Lion 10.8.5
- OS X Mountain Lion 10.8.5 (Combo)
- OS X Security Update 2013-004 (Lion)
- OS X Security Update 2013-004 Server (Lion)
- OS X Security Update 2013-004 (Snow Leopard)
- OS X Security Update 2013-004 Server (Snow Leopard)
- Apple Safari 5.1.10 for Snow Leopard
Según el Security Advisory de Apple que hemos podido localizar por listas de correo electrónico, esta actualización anuncia la solución de 35 CVEs en los principales paquetes del sistema operativo, como Apache, PHP, BIND, OpenSSL o QuickTime, pero no aparece por ningún sitio referencia alguna al bug de sudo CVE-2013-1775 que permite elevar privilegios de cualquier cuenta que sea sudoer y haya elevado privilegios alguna vez en el pasado.
Figura 1: Security Advisory APPLE-SA-2013-09-12-1 |
El bug que sí que está arreglado - aunque no tenga asociado ningún CVE - es el famoso fallo en CoreText que tira las aplicaciones abajo con solo unos caracteres arábigos en formato Unicode. Además, la actualización hace referencia a un cambio en la lista de certificados de confianza de autoridades raíz, que habrá que mirar en detalle. Por supuesto, os recomendamos actualizar lo antes posible todo el software de vuestro sistema.
Actualización: Tras probar el bug de sudo en OS X 10.8.5 Mountain Lion hemos podido comprobar que ha dejado de funcionar, así que aunque no esté listado en la lista de CVEs resueltos, ni se haya actualizado el paquete sudo, parece que lo han parcheado de alguna forma. Apple no ha dado ninguna información.
Actualización 2: Además, Apple ha publicado por fine el Security Advisory de Apple Safari 5.1.10 y hemos podido comprobar que ha parcheado 2 CVE en la nueva versión, entre ellos el bug descubierto hace 1 año en el Mobile Pwn2Own de Amsterdam. Prisa no se ha dado Apple para hacerlo.
Actualización: Tras probar el bug de sudo en OS X 10.8.5 Mountain Lion hemos podido comprobar que ha dejado de funcionar, así que aunque no esté listado en la lista de CVEs resueltos, ni se haya actualizado el paquete sudo, parece que lo han parcheado de alguna forma. Apple no ha dado ninguna información.
Actualización 2: Además, Apple ha publicado por fine el Security Advisory de Apple Safari 5.1.10 y hemos podido comprobar que ha parcheado 2 CVE en la nueva versión, entre ellos el bug descubierto hace 1 año en el Mobile Pwn2Own de Amsterdam. Prisa no se ha dado Apple para hacerlo.
No hay comentarios:
Publicar un comentario