Over de beveiligingsinhoud van beveiligingsupdate 2008-003/Mac OS X 10.5.3

In dit document wordt de beveiligingsinhoud beschreven van beveiligingsupdate 2008-003/Mac OS X 10.5.3. Deze versie kan worden gedownload en geïnstalleerd via het voorkeurenpaneel Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2008-003/Mac OS X v10.5.3

AFP Server

CVE-ID: CVE-2008-1027

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Bestanden die niet zijn aangewezen om te worden gedeeld, kunnen op afstand worden geopend.

Beschrijving: De AFP-server controleert niet of bestanden of mappen die via de server beschikbaar worden gesteld, zich in een map bevinden die is aangewezen om te worden gedeeld. Verbonden gebruikers of gasten hebben toegang tot alle bestanden of mappen waarvoor ze bevoegdheden hebben, zelfs als deze zich niet in mappen bevinden die zijn aangewezen om te worden gedeeld. Deze update lost het probleem op door toegang te weigeren tot bestanden en mappen die zich niet in een map bevinden die is aangewezen om te worden gedeeld. Met dank aan Alex deVries en Robert Rich voor het melden van dit probleem.

Apache

CVE-ID: CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-2007-5000, CVE-2007-6388

Beschikbaar voor: Mac OS X Server v10.4.11

Impact: Meerdere kwetsbaarheden in Apache 2.0.55.

Beschrijving: Apache is bijgewerkt naar versie 2.0.63 om verschillende kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot cross-site scripting. Meer informatie is beschikbaar via de Apache-website op http://httpd.apache.org. Apache 2.0.x wordt alleen geleverd met Mac OS X Server v10.4.x-systemen. Mac OS X v10.5.x en Mac OS X Server v10.5.x worden geleverd met Apache 2.2.x. De problemen met Apache 2.2.x zijn verholpen in beveiligingsupdate 2008-002 voor Mac OS X v10.5.2 en Mac OS X Server v10.5.2.

AppKit

CVE-ID: CVE-2008-1028

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er is een implementatieprobleem bij de verwerking van documentbestanden in AppKit. Het openen van een kwaadwillig vervaardigd bestand in een editor die gebruikmaakt van AppKit, zoals Teksteditor, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde validatie van documentbestanden. Dit probleem is niet van toepassing op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Rosyna van Unsanity voor het melden van dit probleem.

Apple Pixlet Video

CVE-ID: CVE-2008-1577

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er zijn meerdere problemen met geheugenbeschadiging bij de verwerking van bestanden met de Pixlet-coderingsmodule. Het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole.

ATS

CVE-ID: CVE-2008-1575

Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het afdrukken van een pdf-document met een kwaadwillig vervaardigd ingesloten lettertype kan leiden tot het uitvoeren van willekeurige code.

Beschrijving: Er is een probleem met geheugenbeschadiging bij de verwerking van ingesloten lettertypen in pdf-bestanden door de Apple Type Services-server. Het afdrukken van een pdf-document met een kwaadwillig vervaardigd lettertype kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van ingesloten lettertypen uit te voeren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Melissa O'Neill van Harvey Mudd College voor het melden van dit probleem.

CFNetwork

CVE-ID: CVE-2008-1580

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van gevoelige informatie.

Beschrijving: Er is een probleem met het vrijgeven van informatie bij de verwerking van SSL-clientcertificaten in Safari. Wanneer een webserver een aanvraag voor een clientcertificaat indient, wordt het eerste clientcertificaat in de sleutelhanger automatisch verzonden, wat kan leiden tot het vrijgeven van de informatie in het certificaat. Deze update lost het probleem op door de gebruiker te vragen voordat het certificaat wordt verzonden.

CoreFoundation

CVE-ID: CVE-2008-1030

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Als programma's de CFData-API op bepaalde manieren gebruiken, kan dit leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Een overloop met gehele getallen bij de verwerking van CFData-objecten in CoreFoundation kan leiden tot een heapbufferoverloop. Als een programma CFDataReplaceBytes aanroept met een argument met een ongeldige lengte, kan dit leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van lengteparameters uit te voeren.

CoreGraphics

CVE-ID: CVE-2008-1031

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

Beschrijving: Er is een probleem met niet-geïnitialiseerde variabelen bij de verwerking van pdf-bestanden in CoreGraphics. Het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door de juiste initialisatie van pointers.

CoreTypes

CVE-ID: CVE-2008-1032

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Gebruikers worden niet gewaarschuwd wanneer ze bepaalde mogelijk onveilige materiaaltypen openen.

Beschrijving: Deze update breidt de lijst met materiaaltypen uit die onder bepaalde omstandigheden door het systeem als potentieel onveilig worden gemarkeerd, bijvoorbeeld wanneer ze worden gedownload vanaf een webpagina. Hoewel deze materiaaltypen niet automatisch worden geopend, kunnen ze leiden tot het uitvoeren van een kwaadaardige payload als ze handmatig worden geopend. Deze update verbetert de mogelijkheid van het systeem om gebruikers op de hoogte te stellen voordat ze materiaaltypen verwerken die worden gebruikt door Automator, Help, Safari en Terminal. In Mac OS X v10.4 wordt deze functionaliteit geleverd door de validatiefunctie voor downloads. In Mac OS X v10.5 wordt deze functionaliteit geleverd door de quarantainefunctie. Met dank aan Brian Mastenbrook voor het melden van dit probleem.

CUPS

CVE-ID: CVE-2008-1033

Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Afdrukken op printers met wachtwoordbeveiliging waarop logbestanden voor foutopsporing worden bijgehouden, kan leiden tot het vrijgeven van gevoelige informatie.

Beschrijving: Er is een probleem bij de controle van de variabelen van de authenticatieomgeving door de CUPS-planner wanneer het bijhouden van logbestanden voor foutopsporing is ingeschakeld. Dit kan leiden tot het vrijgeven van de gebruikersnaam, het domein en het wachtwoord bij het afdrukken op een printer die met een wachtwoord is beveiligd. Deze update lost het probleem op door omgevingsvariabelen op de juiste manier te valideren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5 waarop beveiligingsupdate 2008-002 is geïnstalleerd.

Flash Player Plug-in

CVE-ID: CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het openen van kwaadwillig vervaardigd Flash-materiaal kan leiden tot het uitvoeren van willekeurige code.

Beschrijving: De Adobe Flash Player-plugin bevat meerdere problemen, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door bij te werken naar versie 9.0.124.0. Meer informatie is beschikbaar via de Adobe-website op http://www.adobe.com/support/security/bulletins/apsb08-11.html

Help Viewer

CVE-ID: CVE-2008-1034

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Een kwaadaardige help:topic-URL kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Een onderloop met gehele getallen bij de verwerking van help:topic-URL's kan leiden tot een bufferoverloop. Het openen van een kwaadaardige help:topic-URL kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde bereikcontrole. Dit probleem is niet van toepassing op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Paul Haddad van PTH Consulting voor het melden van dit probleem.

iCal

CVE-ID: CVE-2008-1035

Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het openen van een kwaadwillig vervaardigd iCalendar-bestand in iCal kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er is een use-after-free-probleem bij de verwerking van iCalendar-bestanden (meestal .ics) in de iCal-app. Het openen van een kwaadwillig vervaardigd iCalendar-bestand in iCal kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door het tellen van referenties in de betrokken code te verbeteren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Rodrigo Carvalho van Core Security Technologies voor het melden van dit probleem.

International Components for Unicode

CVE-ID: CVE-2008-1036

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het bezoeken van bepaalde websites kan leiden tot het vrijgeven van gevoelige informatie.

Beschrijving: Er is een conversieprobleem bij de verwerking van bepaalde tekencoderingen door ICU. Bepaalde ongeldige tekenreeksen worden mogelijk niet weergegeven in de geconverteerde uitvoer en dit kan van invloed zijn op materiaalfilters. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot cross-site scripting en het vrijgeven van gevoelige informatie. Deze update lost het probleem op door ongeldige tekenreeksen te vervangen door een terugvalteken.

Image Capture

CVE-ID: CVE-2008-1571

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Het openen van een kwaadwillig vervaardigde URL kan leiden tot het vrijgeven van informatie.

Beschrijving: Er is een probleem met het doorlopen van paden in de geïntegreerde webserver van Image Capture (Fotolader). Dit kan leiden tot het vrijgeven van lokale bestanden op het serversysteem. Deze update lost het probleem op door verbeterde verwerking van URL's. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5 of nieuwer.

Image Capture

CVE-ID: CVE-2008-1572

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Een lokale gebruiker kan bestanden manipuleren met de bevoegdheden van een andere gebruiker die Image Capture (Fotolader)uitvoert.

Beschrijving: Er is een onveilige bestandsbewerking bij de verwerking van tijdelijke bestanden in Image Capture. Hierdoor kan een lokale gebruiker bestanden overschrijven met de bevoegdheden van een andere gebruiker die Image Capture uitvoert, of toegang krijgen tot de inhoud van afbeeldingen waarvan de grootte wordt aangepast. Deze update lost het probleem op door een verbeterde verwerking van tijdelijke bestanden. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5 of nieuwer.

ImageIO

CVE-ID: CVE-2008-1573

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het bekijken van een kwaadwillig vervaardigde BMP- of GIF-afbeelding kan leiden tot het vrijgeven van informatie.

Beschrijving: Er kan geheugen buiten het bereik worden gelezen in de BMP- en GIF-engine voor het decoderen van afbeeldingen, wat kan leiden tot het vrijgeven van inhoud uit het geheugen. Deze update lost het probleem op door aanvullende validatie van BMP- en GIF-afbeeldingen uit te voeren. Met dank aan Gynvael Coldwind van Hispasec voor het melden van dit probleem.

ImageIO

CVE-ID: CVE-2007-5266, CVE-2007-5268, CVE-2007-5269

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Meerdere kwetsbaarheden in libpng versie 1.2.18.

Beschrijving: libpng versie 1.2.18 bevat meerdere kwetsbaarheden, waarvan de ernstigste kan leiden tot een externe denial of service. Deze update lost het probleem op door bij te werken naar versie 1.2.24. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html

ImageIO

CVE-ID: CVE-2008-1574

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Het bekijken van een kwaadwillig vervaardigd JPEG2000-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Een overloop met gehele getallen bij de verwerking van JPEG2000-afbeeldingsbestanden kan leiden tot een heapbufferoverloop. Het bekijken van een kwaadwillig vervaardigd JPEG2000-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door aanvullende validatie van JPEG2000-afbeeldingen.

Kernel

CVE-ID: CVE-2008-0177

Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Een externe aanvaller kan ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld.

Beschrijving: Er is een niet-gedetecteerde foutvoorwaarde bij de verwerking van pakketten met een IPComp-koptekst. Door een kwaadwillig vervaardigd pakket te verzenden naar een systeem dat is geconfigureerd om IPSec of IPv6 te gebruiken, kan een aanvaller ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld. Deze update lost het probleem op door de foutvoorwaarde op de juiste manier te detecteren.

Kernel

CVE-ID: CVE-2007-6359

Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Een lokale gebruiker kan ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld.

Beschrijving: Er is een null pointer dereference-probleem bij de verwerking in de kernel van codeondertekeningen in de functie cs_valide_page. Hierdoor kan een lokale gebruiker een onverwachte uitschakeling van het systeem veroorzaken. Deze update lost het probleem op door aanvullende validatie van codeondertekeningen uit te voeren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.

LoginWindow

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Voorkeuren voor beheerde clients worden mogelijk niet toegepast.

Beschrijving: Deze update lost een niet-beveiligingsprobleem op dat is geïntroduceerd in beveiligingsupdate 2007-004. Vanwege een racevoorwaarde past LoginWindow bepaalde voorkeuren mogelijk niet toe op systemen die worden beheerd door Managed Client voor Mac OS X (MCX). Deze update lost het probleem op door de racevoorwaarde bij de verwerking van beheerde voorkeuren te elimineren. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5.

Mail

CVE-ID: CVE-2008-1576

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: Het versturen van e-mail via een SMTP-server met IPv6 kan leiden tot het onverwacht beëindigen van het programma, het vrijgeven van informatie of het uitvoeren van willekeurige code.

Beschrijving: Er is een niet-geïnitialiseerd bufferprobleem in Mail. Bij het verzenden van e-mail via een SMTP-server met IPv6 kan Mail een buffer gebruiken met gedeeltelijk niet-geïnitialiseerd geheugen, wat kan leiden tot het vrijgeven van gevoelige informatie aan ontvangers van berichten en mailserverbeheerders. Dit kan ook leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door de variabele op de juiste manier te initialiseren. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5 of nieuwer. Met dank aan Derek Morr van de Pennsylvania State University voor het melden van dit probleem.

ruby

CVE-ID: CVE-2007-6612

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Een externe aanvaller kan mogelijk willekeurige bestanden lezen.

Beschrijving: Mongrel is bijgewerkt naar versie 1.1.4 om een probleem met het doorlopen van directory's in DirHandler op te lossen dat kan leiden tot het vrijgeven van gevoelige informatie. Meer informatie is beschikbaar via de Mongrel-website op http://rubyforge.org/projects/mongrel/.

Single Sign-On

CVE-ID: CVE-2008-1578

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

Impact: Wachtwoorden die aan sso_util worden verstrekt, zijn zichtbaar voor andere lokale gebruikers.

Beschrijving: Wachtwoorden moeten als argument worden doorgegeven aan de commandoregeltool sso_util, waardoor de wachtwoorden mogelijk kunnen worden bekeken door andere lokale gebruikers. Zichtbare wachtwoorden zijn bijvoorbeeld wachtwoorden van gebruikers en beheerders, en het KDC-beheerderswachtwoord. Deze update zorgt ervoor dat de wachtwoordparameter optioneel is en dat sso_util indien nodig om het wachtwoord vraagt. Met dank aan Geoff Franks van het Hauptman Wooward Institute voor het melden van dit probleem.

Wiki Server

CVE-ID: CVE-2008-1579

Beschikbaar voor: Mac OS X Server v10.5 t/m v10.5.2

Impact: Een externe aanvaller kan geldige gebruikersnamen achterhalen op servers waarop de Wiki-server is ingeschakeld.

Beschrijving: Er is een probleem in de Wiki-server met het vrijgeven van informatie wanneer een niet-bestaand blog wordt geopend. Een aanvaller kan uit de informatie in het foutbericht het bestaan van lokale gebruikersnamen afleiden. Deze update lost het probleem op door een verbeterde verwerking van foutberichten. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Don Rainwater van de Universiteit van Cincinnati voor het melden van dit probleem.