Over beveiligingsupdate 2008-005

In dit document wordt beveiligingsupdate 2008-005 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een lokale gebruiker kan opdrachten uitvoeren met verhoogde bevoegdheden

    Beschrijving: er treedt een ontwerpprobleem op in de Open Scripting Architecture-bibliotheken bij het bepalen of plugins voor scripttoevoegingen moeten worden geladen in programma's die worden uitgevoerd met verhoogde bevoegdheden. Wanneer opdrachten voor scripttoevoegingen naar een programma met verhoogde bevoegdheden worden verzonden, kan willekeurige code worden uitgevoerd met deze bevoegdheden. Met deze update wordt het probleem verholpen door plugins voor scripttoevoegingen niet te laden in programma's die worden uitgevoerd met systeembevoegdheden. De onlangs gemelde problemen met ARDAgent en SecurityAgent worden met deze update verholpen. Met dank aan Charles Srstka voor het melden van dit probleem.

  • BIND

    CVE-ID: CVE-2008-1447

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: BIND is vatbaar voor besmetting van de DNS-cache en kan onjuiste informatie terugsturen

    Beschrijving: de BIND-server (Berkeley Internet Name Domain) wordt geleverd bij Mac OS X en wordt niet standaard ingeschakeld. Wanneer deze is ingeschakeld, zorgt de BIND-server voor een vertaling tussen hostnamen en IP-adressen. Door zwakke punten in het DNS-protocol kunnen externe aanvallers aanvallen uitvoeren en de DNS-cache besmetten. Hierdoor ontvangen systemen die van de BIND-server afhankelijk zijn mogelijk onjuiste informatie. Met deze update wordt het probleem verholpen door willekeurige bronpoorten in te stellen om de bescherming tegen aanvallen op de cache te verbeteren. Voor Mac OS X v10.4.11-systemen wordt BIND bijgewerkt naar versie 9.3.5-P1. Voor Mac OS X v10.5.4-systemen wordt BIND bijgewerkt naar versie 9.4.2-P1. Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het verwerken van lange bestandsnamen kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een stackbufferoverloop op bij het verwerken van lange bestandsnamen. Het verwerken van lange bestandsnamen kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Thomas Raffetseder van International Secure Systems Lab en Sergio 'shadown' Alvarez van n.runs AG voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: in CoreGraphics treden problemen op met geheugenbeschadiging bij het verwerken van argumenten. Het doorsturen van onbetrouwbare invoer naar CoreGraphics via een programma, zoals een webbrowser, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Michal Zalewski van Google voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: een overloop van hele getallen bij het verwerken van pdf-bestanden kan leiden tot een heapbufferoverloop. Het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van pdf-bestanden uit te voeren. Met dank aan Pariente Kobi, werkzaam bij iDefense VCP, voor het melden van dit probleem.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Beschikbaar voor: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het bekijken van kwaadwillig vervaardigde berichten met datadetectie kan leiden tot het onverwacht beëindigen van een programma

    Beschrijving: datadetectie wordt gebruikt om referentiegegevens op te halen uit tekstuele inhoud of archieven. Er treedt een probleem op met bronverbruik bij het verwerken van tekstuele inhoud door datadetectie. Het bekijken van kwaadwillig vervaardigde inhoud in een programma dat gebruikmaakt van datadetectie kan leiden tot een denial-of-service, maar niet tot het uitvoeren van willekeurige code. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan systeemrechten krijgen

    Beschrijving: het hulpprogramma 'Herstel bevoegdheden' in Schijfhulpprogramma maakt /usr/bin/emacs setuid. Wanneer het hulpprogramma 'Herstel bevoegdheden' is uitgevoerd, kan een lokale gebruiker emacs gebruiken om opdrachten uit te voeren met systeemrechten. Met deze update wordt het probleem verholpen door de bevoegdheden die op de emacs zijn toegepast, te corrigeren in het hulpprogramma 'Herstel bevoegdheden'. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5 en hoger. Met dank aan Anton Rang en Brian Timares voor het melden van dit probleem.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een externe aanvaller kan een onverwachte beëindiging van een programma veroorzaken

    Beschrijving: er treedt een probleem op bij het decoderen van ASN.1 BER in OpenLDAP. Het verwerken van een kwaadwillig vervaardigd LDAP-bericht kan een bevestiging activeren en leiden tot het onverwacht beëindigen van een programma van de OpenLDAP-daemon, slapd. Deze update verhelpt het probleem door aanvullende validatie van LDAP-berichten uit te voeren.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: een probleem met betrekking tot het controleren van het bereik treedt op in de hulpprogrammafunctie SSL_get_shared_ciphers() in OpenSSL. Het verwerken van kwaadwillig vervaardigde pakketten in een programma dat gebruikmaakt van deze functie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Beschikbaar voor: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: meerdere kwetsbaarheden in PHP 5.2.5

    Beschrijving: PHP wordt bijgewerkt naar versie 5.2.6 om meerdere kwetsbaarheden te verhelpen, waarvan het uitvoeren van willekeurige code de ernstigste is. Meer informatie vind je op de PHP-website op http://www.php.net/. PHP-versie 5.2.x wordt alleen geleverd bij Mac OS X v10.5-systemen.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treden meerdere problemen met geheugenbeschadiging op bij het verwerken van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: bestanden buiten de root van de module kunnen op afstand worden geopend of overschreven

    Beschrijving: er treden problemen met padvalidatie op bij het verwerken van symbolische links door rsync in de daemon-modus. Het plaatsen van symbolische links in een rsync-module kan ervoor zorgen dat bestanden buiten de root van de module worden geopend of overschreven. Deze update verhelpt het probleem door verbeterde verwerking van symbolische links. Meer informatie over de beschikbare updates vind je op de website van rsync op http://rsync.samba.org/

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: