Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2006-008 Vulnerabilidad en Safari en Apple Mac OS X que permite la ejecución de comandos arbitrarios

El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, informan que existe una vulnerabilidad en Apple Safari determinada por cierto tipo de archivos permite que un intruso pueda ejecutar remotamente comandos arbitrarios en un sistema vulnerable

  • Fecha de Liberación: 22-Feb-2006
  • Ultima Revisión: 22-Feb-2006
  • Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión
  • Riesgo Moderado
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código

Sistemas Afectados

Mac OS X Safari == Todas
  1. Descripción

    Apple Safari es un navegador Web el cual viene con Mac OS X. La configuración por default de Safari permite de forma automática "Abrir archivos luego de ser descargados". Debido a la configuración por default de Safari y a la inconsistencia con la que Safari y OS X determinan la forma en la que guardan los archivos, es como Safari podrá ejecutar comandos arbitrarios luego de visitar una página Web diseñada especialmente para el ataque.

    Los detalles pueden verse en la siguiente Nota de Vulnerabilidad:
    VU#999708 - Apple Safari permite la ejecución de comandos arbitrarios de forma automática.

  2. Impacto

    De forma remota, sin previa autenticación un intruso podrá ejecutar comandos arbitrarios con los privilegios del usuario que está ejecutando el navegador Safari. Si el administrador se autenticó de tal manera que cuenta con privilegios de administrador, el intruso podrá tomar control sin limitantes sobre el sistema vulnerable.

  3. Solución

    Desde el momento en el que no se conoce alguna actualización para solucionar este tipo de problema, se recomienda desactivar esta opción de forma manual.

    Solución temporal

    Desactivar "Abrir archivos seguros al descargarlos" que se encuentra en la pestaña "General" de las preferencias del navegador Safari.

  4. Apéndice A. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT