Over beveiligingsupdate 2006-003
In dit document wordt beveiligingsupdate 2006-003 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Beveiligingsupdate 2006-003
AppKit
CVE-ID: CVE-2006-1439
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen
Beschrijving: wanneer je onder bepaalde omstandigheden van tekstinvoerveld wisselt, is het mogelijk dat NSSecureTextField de veilige invoer niet meer kan inschakelen. Hierdoor kunnen andere programma's in dezelfde venstersessie de invoer van sommige tekens en toetsaanslagen zien. Deze update verhelpt het probleem door ervoor te zorgen dat de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
AppKit, ImageIO
CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadwillig vervaardigde GIF- of TIFF-afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: de verwerking van GIF- of TIFF-afbeeldingen met een verkeerde indeling kan leiden tot het uitvoeren van willekeurige code bij het parseren van een kwaadwillig vervaardigde afbeelding. Dit beïnvloedt programma's die het framework ImageIO (Mac OS X v10.4 Tiger) of AppKit (Mac OS X v10.3 Panther) gebruiken voor het bekijken van afbeeldingen. Deze update verhelpt het probleem door aanvullende validatie van GIF- en TIFF-afbeeldingen uit te voeren.
BOM
CVE-ID: CVE-2006-1985
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: een archief uitpakken kan leiden tot het uitvoeren van willekeurige code
Beschrijving: door zorgvuldig een archief (zoals een zip-archief) met een lange padnaam te maken, kan een aanvaller een heapbufferoverloop in BOM veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code. BOM wordt gebruikt om archieven in de Finder en andere programma's te verwerken. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.
BOM
CVE-ID: CVE-2006-1440
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: een kwaadwillig archief uitpakken kan leiden tot het maken of overschrijven van willekeurige bestanden
Beschrijving: een probleem bij de verwerking van directory-traversal symbolische links in archieven kan ervoor zorgen dat BOM bestanden maakt of overschrijft op willekeurige locaties die toegankelijk zijn voor de gebruiker die het archief uitpakt. BOM verwerkt archieven voor de Finder en andere programma's. Deze update verhelpt het probleem door ervoor te zorgen dat bestanden die uit een archief worden uitgepakt, niet worden geplaatst buiten de doelmap.
CFNetwork
CVE-ID: CVE-2006-1441
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bezoeken van kwaadwillige websites kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een overloop van gehele getallen bij de verwerking van versleutelde overdrachten kan leiden tot het uitvoeren van willekeurige code. CFNetwork wordt gebruikt door Safari en andere programma's. Deze update verhelpt het probleem door aanvullende validatie uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Beschikbaar voor: Mac OS X Server v10.4.6
Impact: het verwerken van kwaadwillig vervaardigde e-mailberichten met ClamAV kan leiden tot het uitvoeren van willekeurige code
Beschrijving: de scansoftware voor ClamAV-virus werd bijgewerkt om oplossingen voor beveiligingsproblemen toe te passen in de laatste release. ClamAV is geïntroduceerd in Mac OS X Server v10.4 voor het scannen van e-mail. Het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van ClamAV. Voor meer informatie raadpleeg je de website van het project op http://www.clamav.net.
CoreFoundation
CVE-ID: CVE-2006-1442
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: de registratie van een niet-vertrouwde bundel kan leiden tot het uitvoeren van willekeurige code
Beschrijving: onder bepaalde omstandigheden worden bundels impliciet geregistreerd door programma's of het systeem. Met een functie van de API-bundel kunnen dynamische bibliotheken worden geladen en uitgevoerd wanneer een bundel wordt geregistreerd, zelfs indien het clientprogramma dit niet uitdrukkelijk vraagt. Als gevolg daarvan kan willekeurige code van een niet-vertrouwde bundel worden uitgevoerd zonder uitdrukkelijke gebruikersinteractie. Deze update verhelpt het probleem door alleen bibliotheken van de bundel op het juiste ogenblik te laden en uit te voeren.
CoreFoundation
CVE-ID: CVE-2006-1443
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: conversies van tekenreeksen naar de representatie van het bestandssysteem kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een overloop van gehele getallen tijdens de verwerking van een bereikvoorwaarde in CFStringGetFileSystemRepresentation kan leiden tot het uitvoeren van willekeurige code. Programma's die deze API of een van de gerelateerde API's zoals getFileSystemRepresentation:maxLength:withPath: van NSFileManager gebruiken, kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.
CoreGraphics
CVE-ID: CVE-2006-1444
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen
Beschrijving: Quartz Event Services biedt programma's de mogelijkheid de gebruikersinvoer op laag niveau te observeren en wijzigen. Doorgaans kunnen programma's geen activiteiten onderscheppen wanneer de veilige invoer is ingeschakeld. Wanneer 'Activeer toegang voor hulpapparaten' echter is ingeschakeld, kan Quartz Event Services worden gebruikt om activiteiten te onderscheppen, zelfs indien de veilige invoer is ingeschakeld. Deze update verhelpt het probleem door activiteiten te filteren wanneer de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Damien Bobillot voor het melden van dit probleem.
Finder
CVE-ID: CVE-2006-1448
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: een internetlocatie-item opstarten kan leiden tot het uitvoeren van willekeurige code
Beschrijving: internetlocatie-items zijn eenvoudige URL-containers met als referentie http://, ftp:// en file://-URLs, naast andere URL-schema's. Deze verschillende types van internetlocatie-items zijn visueel verschillend en zijn normaal gezien veilig voor het expliciet opstarten. Het URL-schema kan echter verschillen van het internetlocatietype. Hierdoor kan een aanvaller een gebruiker overtuigen om een item te openen dat goedaardig lijkt (zoals een web-internetlocatie, http://), wat kan leiden tot het gebruik van een ander URL-schema. Onder bepaalde omstandigheden kan dit leiden tot het uitvoeren van willekeurige code. Deze update verhelpt de problemen door het URL-schema te beperken dat gebaseerd is op het internetlocatietype.
FTPServer
CVE-ID: CVE-2006-1445
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: FTP-bewerkingen van geverifieerde FTP-gebruikers kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met het verwerken van een padnaam van een FTP-server kunnen leiden tot een bufferoverloop. Een kwaadwillige geverifieerde gebruiker kan deze overloop veroorzaken, waardoor willekeurige code met de bevoegdheden van de FTP-server kan worden uitgevoerd. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.
Flash Player
CVE-ID: CVE-2005-2628, CVE-2006-0024
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het afspelen van Flash-inhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: Adobe Flash Player bevat kritieke kwetsbaarheden die kunnen leiden tot het uitvoeren van willekeurige code wanneer speciaal gemaakte bestanden worden geladen. Meer informatie vind je op de website van Adobe op http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Deze update verhelpt het probleem door versie 8.0.24.0 van Flash Player te installeren.
ImageIO
CVE-ID: CVE-2006-1552
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een overloop van gehele getallen bij de verwerking van JPEG-metagegevens kan leiden tot een heapbufferoverloop. Door zorgvuldig een afbeelding met JPEG-metagegevens met een verkeerde indeling te maken, kan een aanvaller willekeurige code uitvoeren wanneer de afbeelding wordt bekeken. Deze update verhelpt het probleem door aanvullende validatie van afbeeldingen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Brent Simmons van NewsGator Technologies, Inc. voor het melden van dit probleem.
Keychain
CVE-ID: CVE-2006-1446
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: een programma kan Sleutelhanger-items gebruiken wanneer Sleutelhanger vergrendeld is
Beschrijving: wanneer een sleutelhanger vergrendeld is, hebben programma's geen toegang tot de sleutelhanger-items zonder eerst te vragen om de sleutelhanger te ontgrendelen. Een programma dat echter een verwijzing naar een sleutelhanger-item heeft verkregen voordat de sleutelhanger werd vergrendeld, kan in sommige omstandigheden dat sleutelhanger-item blijven gebruiken ongeacht of de sleutelhanger vergrendeld is of niet. Deze update verhelpt het probleem door verzoeken voor het gebruik van sleutelhanger-items af te wijzen wanneer de sleutelhanger vergrendeld is. Met dank aan Tobias Hahn van de HU Berlin voor het melden van dit probleem.
LaunchServices
CVE-ID: CVE-2006-1447
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadaardige website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: lange bestandsnaamextensies kunnen verhinderen dat downloadvalidatie het juiste programma identificeert waarmee een item kan worden geopend. Hierdoor kan een aanvaller downloadvalidatie omzeilen en ervoor zorgen dat Safari automatisch onveilige inhoud opent als de optie 'Open "veilige" bestanden na downloaden' is ingeschakeld en bepaalde programma's niet zijn geïnstalleerd. Deze update verhelpt het probleem met een verbeterde controle van de bestandsnaamextensie. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
libcurl
CVE-ID: CVE-2005-4077
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: de verwerking van URL's in libcurl kan leiden tot het uitvoeren van willekeurige code
Beschrijving: de open-source HTTP-bibliotheek libcurl bevat bufferoverlopen bij de verwerking van URL's. Programma's die curl gebruiken voor de verwerking van URL's kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door versie 7.15.1 van libcurl te installeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
Mail
CVE-ID: CVE-2006-1449
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code
Beschrijving: door het maken van een speciaal gemaakt e-mailbericht met MacMIME-bijlagen kan een aanvaller een overloop van gehele getallen veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Deze update verhelpt het probleem door aanvullende validatie van berichten uit te voeren.
Mail
CVE-ID: CVE-2006-1450
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code
Beschrijving: de verwerking van ongeldige kleurgegevens in e-mailberichten met verrijkte tekst kan leiden tot de toewijzing en initialisatie van willekeurige klassen. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Deze update verhelpt het probleem door een correcte verwerking van de gegevens van verrijkte tekst met een verkeerde indeling.
MySQL Manager
CVE-ID: CVE-2006-1451
Beschikbaar voor: Mac OS X Server v10.4.6
Impact: er is geen wachtwoord vereist voor toegang tot de MySQL-database
Beschrijving: bij de eerste configuratie van een MySQL-databaseserver met behulp van MySQL Manager kan het nieuwe MySQL-rootwachtwoord worden geboden. Dit wachtwoord wordt echter niet gebruikt. Daarom zal het MySQL-rootwachtwoord leeg blijven. Een lokale gebruiker heeft dan toegang tot de MySQL-database met alle bevoegdheden. Deze update verhelpt het probleem door ervoor te zorgen dat het ingevoerde wachtwoord wordt bewaard. Dit probleem is niet van invloed op systemen ouder dan Mac OS X Server v10.4. Met dank aan Ben Low van de University of New South Wales voor het melden van dit probleem.
Preview
CVE-ID: CVE-2006-1452
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: door een kwaadwillig vervaardigde mapstructuur bladeren kan leiden tot het uitvoeren van willekeurige code
Beschrijving: wanneer je door een zeer diepe mapstructuur bladert in Preview, kan een stackbufferoverloop worden veroorzaakt. Door zorgvuldig een dergelijke mapstructuur te maken, kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de mapstructuren worden geopend in Preview. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
QuickDraw
CVE-ID: CVE-2006-1453, CVE-2006-1454
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: twee problemen hebben invloed op QuickDraw bij het verwerken van PICT-afbeeldingen. Lettertypegegevens met een verkeerde indeling kunnen zorgen voor een stackbufferoverloop en afbeeldingsgegevens met een verkeerde indeling kunnen zorgen voor een heapbufferoverloop. Door zorgvuldig een kwaadaardige PICT-afbeelding te maken, kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de afbeelding wordt geopend. Deze update verhelpt het probleem door aanvullende validatie van PICT-afbeeldingen uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.
QuickTime Streaming Server
CVE-ID: CVE-2006-1455
Beschikbaar voor: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Impact: een QuickTime-film met een verkeerde indeling kan QuickTime Streaming Server laten vastlopen
Beschrijving: een QuickTime-film met een ontbrekend nummer kan leiden tot een null-pointer-dereferentie waardoor het serverproces vastloopt. Dit onderbreekt actieve clientverbindingen. De server wordt echter automatisch herstart. Deze update verhelpt het probleem door een fout te tonen wanneer films met een verkeerde indeling worden herkend.
QuickTime Streaming Server
CVE-ID: CVE-2006-1456
Beschikbaar voor Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Impact: kwaadwillig vervaardigde RTSP-verzoeken kunnen leiden tot vastlopen of het uitvoeren van willekeurige code
Beschrijving: door zorgvuldig een RTSP-verzoek te maken, kan een aanvaller een bufferoverloop veroorzaken tijdens de registratie van berichten. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de QuickTime Streaming Server. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden. Met dank aan het Mu Security Research Team voor het melden van dit probleem.
Ruby
CVE-ID: CVE-2005-2337
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: de beperking van het veilige niveau van Ruby kan worden omzeild
Beschrijving: de Ruby-scripttaal bevat een mechanisme dat 'veilige niveaus' genoemd wordt en dat gebruikt wordt om bepaalde bewerkingen te beperken. Dit mechanisme wordt vooral gebruikt bij het uitvoeren van geprivilegieerde Ruby-programma's of Ruby-netwerkprogramma's. Een aanvaller kan in bepaalde omstandigheden de beperkingen omzeilen in dergelijke programma's. Programma's die geen veilige niveaus gebruiken worden niet getroffen. Deze update verhelpt het probleem door ervoor te zorgen dat veilige niveaus niet kunnen worden omzeild.
Safari
CVE-ID: CVE-2006-1457
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bezoeken van kwaadaardige websites kan leiden tot het manipuleren van bestanden of het uitvoeren van willekeurige code
Beschrijving: wanneer de optie 'Open "veilige" bestanden na downloaden' in Safari is ingeschakeld, worden archieven automatisch uitgepakt. Als het archief een symbolische link bevat, kan de symbolische doellink worden verplaatst naar het bureaublad van de gebruiker en worden geopend. Deze update verhelpt het probleem door gedownloade symbolische links niet te openen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.