Informatie over de beveiligingsinhoud van Mac OS X v10.5.5 en Beveiligingsupdate 2008-006

Mac OS X v10.5.5 en Beveiligingsupdate 2008-006

• ATS

  CVE-ID: CVE-2008-2305

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het bekijken van een document dat een kwaadwillig vervaardigde font bevat kan uitvoering van een willekeurige code tot gevolg hebben

  Beschrijving: er bestaat een heap-bufferoverloop in het behandelen van PostScript fontnamen door Apple Type Services. Het bekijken van een document dat een kwaadwillig vervaardigde font bevat kan uitvoering van een willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door een extra validatie van fontnamen uit te voeren. Dank aan Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

• BIND

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: BIND is bijgewerkt om prestatieproblemen aan te pakken

  Beschrijving: BIND is bijgewerkt to versie 9.4.2-P2 om prestatieproblemen aan te pakken. Voor Mac OS X v10.4.11-systemen wordt BIND bijgewerkt naar versie 9.3.5-P2. Voor Mac OS X v10.5.4-systemen wordt BIND bijgewerkt naar versie 9.4.2-P2. Ga voor meer informatie naar de website van ISC op http://www.isc.org/index.pl?/sw/bind/

• ClamAV

  CVE-ID: CVE-2008-1100, CVE-2008-1387, CVE-2008-0314, CVE-2008-1833, CVE-2008-1835, CVE-2008-1836, CVE-2008-1837, CVE-2008-2713, CVE-2008-3215

  Beschikbaar voor Mac OS X Server v10.4.11, Mac OS X Server v10.5 t/m 10.5.4

  Impact: Meerdere kwetsbaarheden in ClamAV 0.92.1

  Beschrijving: er bestaan meerdere kwetsbaarheden in ClamAV 0.92.1, waarvan het meest serieuze kan uitvoering van een willekeurige code tot gevolg hebben. Deze update verhelpt deze problemen door het programma bij te werken tot ClamAV 0.93.3. Meer informatie is te vinden op de website van ClamAV:http://www.clamav.net/

• Adreslijstvoorzieningen

  CVE-ID: CVE-2008-2329

  Beschikbaar voor Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m 10.5.4

  Impact: een persoon met toegang tot het aanmeldscherm kan wellicht een lijst met gebruikersnamen zien

  Beschrijving: er bestaat een probleem met informatieonthulling in het Aanmeldscherm wanneer deze is ingesteld om de identiteit van gebruikers te controleren met Active Directory. Als jokerstekens worden ingevoerd in het gebruikersnaamveld kan een lijst met gebruikersnamen uit Active directory worden getoond. Deze update verhelpt dit probleem door verbeterde verwerking van gebruikersnamen in Adreslijstvoorzieningen. Dank aan de IT-afdeling van West Seneca Central School District voor het melden van dit probleem.

• Adreslijstvoorzieningen

  CVE-ID: CVE-2008-2330

  Beschikbaar voor: Mac OS X Server v10.4.11, Mac OS X Server v10.5 t/m v10.5.4

  Impact: een lokale gebruiker kan het serverwachtwoord verkrijgen als een OpenLDAP-systeembeheerder slapconfig uitvoert

  Beschrijving: er komt een onbeveiligde bestandsbewerkingprobleem voor in het slapconfig-hulpmiddel voor gebruik bij het instellen van OpenLDAP. Een wachtwoord ingevoerd door een systeembeheerder die slapconfig uitvoert, kan door een lokale gebruiker in een bestand worden laten geschreven. Deze update verhelpt dit probleem door de retourwaarde van de functie mkfifo te controleren.

• Finder

  CVE-ID: CVE-2008-2331

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het venster Toon info vertoont wellicht niet de werkelijke bevoegdheden voor een bestand

  Beschrijving: Finder werkt de vertoonde bevoegdheden in sommige gevallen niet bij in een Toon info-venster. Nadat er op de knop vergrendel is geklikt, zullen veranderingen in het bestandssysteem Delen en Bevoegdheden wel worden toegepast maar niet worden getoond. Deze update verhelpt dit probleem door de getoonde bevoegdheden op de juiste manier bij te werken wanneer toegangsbevoegdheden voor een bestand worden veranderd. Dit probleem heeft geen effect op Mac OS X-systemen van voor v10.5. Dank aan Michel Colman voor het melden van dit probleem.

• Finder

  CVE-ID: CVE-2008-3613

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: een aanvaller met toegang tot het lokale netwerk zou een Denial of Service kunnen veroorzaken

  Beschrijving: er bestaat een null-aanwijzerdereferentieprobleem in Finder wanneer het een externe schijf zoekt. Een aanvaller met toegang tot het lokale netwerk zou Finder direct na het starten weer kunnen laten afsluiten, waardoor het systeem onbruikbaar zou worden. Deze update verhelpt dit probleem door een controle voor een null-aanwijzer toe te voegen. Dit probleem heeft alleen effect op de volgende configuraties: alle producten die Mac OS X v10.5.2 draaien, MacBook Air met Mac OS X v10.5.3 en MacBook Air met Mac OS X v10.5.4. Dank aan Yuxuan Wang van Sogou voor het melden van dit probleem.

• ImageIO

  CVE-ID: CVE-2008-2327

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaan meerdere niet-geïnitialiseerde geheugentoegangsproblemen in het behandelen van LZF-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door juiste geheugeninitialisatie en verdere controle van TIFF-afbeeldingen.

• ImageIO

  CVE-ID: CVE-2008-2332

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaat een geheugencorruptieprobleem in het behandelen van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door middel van verbeterde verwerking van TIFF-afbeeldingen. Dank aan Robert Swiecki van het Google Security Team voor het melden van dit probleem.

• ImageIO

  CVE-ID: CVE-2008-3608

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het bekijken van een grote, kwaadwillig vervaardigde JPEG-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaat een geheugencorruptieprobleem in het behandelen van ingebedde ICC-profielen in JPEG-afbeeldingen door ImageIO. Het bekijken van een grote, kwaadwillig vervaardigde JPEG-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door middel van verbeterde verwerking van JPEG-afbeeldingen.

• ImageIO

  CVE-ID: CVE-2008-1382

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: libpng in ImageIO is bijgewerkt tot v1.2.29

  Beschrijving: libpng in ImageIO is bijgewerkt tot versie 1.2.29. CVE02008-1382 heeft voor zover bekend geen invloed op het gebruik van libpng in ImageIO, en deze update wordt toegepast als een voorzorgsmaatregel.

• Kernel

  CVE-ID: CVE-2008-3609

  Beschikbaar voor Mac OS X v10.5 t/m 10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: lokale gebruikers zonder de benodigde toestemmingen kunnen toegang krijgen tot bestanden

  Beschrijving: gecacheerde gegevens worden niet altijd geflushed wanneer een vnode wordt gerecycled. Hierdoor kan een lokale gebruiker wellicht een bestand lezen of naar een bestand schrijven terwijl de toestemmingen hiervoor niet zijn verleend. Deze update verhelpt het probleem door het behandelen van leeggemaakte vnodes te verbeteren. Dank aan Nevin ":-)" Liber, Thomas Pelaia van het Oak Ridge National Lab, Thomas Tempelmann, en Ram Kolli voor het melden van dit probleem.

• libresolv

  CVE-ID: CVE-2008-1447

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: libresolv is vatbaar voor DNS-cachebesmetting en kan vervalste informatie terugsturen

  Beschrijving: libresolv zorgt voor vertalingen tussen hostnamen en IP-adressen voor toepassingen die gebruik maken van libresolvs unicast DNS-resolutie API. Door zwakke punten in het DNS-protocool kunnen externe aanvallers DNS-cachebesmettingen uitvoeren. Hierdoor kunnen toepassingen die afhankelijk zijn van libresolv voor DNS vervalste informatie ontvangen. Met deze update wordt het probleem verholpen door willekeurige bronpoorten in te stellen om de bescherming tegen aanvallen op de cache te verbeteren. Let wel dat de BIND-hulpmiddelen, dig, host en nslookup hun eigen resolverbibliotheek gebruiken en daarom niet door deze update worden beïnvloed. Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

• Aanmeldvenster

  CVE-ID: CVE-2008-3610

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: een gebruiker kan zich aanmelden zonder een wachtwoord in te voeren

  Beschrijving: er bestaat een race-conditie in het Aanmeldvenster. Voordat dit probleem zich voordoet moet het systeem het Gastaccount of een ander account zonder wachtwoord ingeschakeld hebben. Een klein aandeel van de aanmeldpogingen voor zulke accounts zal niet werken. De gebruikerslijst wordt in dat geval opnieuw gepresenteerd, waarna het persoon zich onder elk gebruikersnaam zou kunnen aanmelden zonder een wachtwoord op te geven. Als het oorspronkelijke account het gastaccount was, zullen de gegevens van het nieuwe account worden gewist bij het afmelden. Deze update verhelpt dit probleem door het Aanmeldscherm op de juiste manier leeg te halen nadat een aanmeldpoging is mislukt. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5.

• Aanmeldscherm

  CVE-ID: CVE-2008-3611

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impact: een persoon met toegang tot het Aanmeldscherm kan wellicht het wachtwoord van een gebruiker veranderen.

  Beschrijving: wanneer een systeem ingesteld is om aanmeldwachtwoordbeleid uit te voeren, kunnen gebruikers gevraagd worden hun wachtwoord in het Aanmeldscherm te veranderen. Als het veranderen van het wachtwoord mislukt wordt er een foutmelding weergegeven, maar wordt het huidig wachtwoord niet gewist. Dit valt de gebruiker niet altijd op. Als de gebruiker het systeem onbeheerd achterlaat met deze foutmelding in beeld zou een persoon via dit scherm het wachtwoord kunnen veranderen. Deze update verhelpt dit probleem door het huidig wachtwoord weg te halen bij het terugkeren naar het aanmeldscherm. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Dank aan Christopher A. Grande van de Middelsex Community College voor het melden van dit probleem.

• mDNSResponder

  CVE-ID: CVE-2008-1447

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: mDNSResponder is vatbaar voor DNS-cachebesmettingen en kan vervalste informatie terugsturen

  Beschrijving: mDNSResponder zorgt voor vertalingen tussen hostnamen en IP-adressen voor toepassingen die gebruik maken van de unicast DNS-resolutie API van mDNSResponder. Een zwak punt in het DNS-protocool kan een aanvaller de mogelijkheid bieden om een DNS-besmettingsaanval uit te voeren. Als gevolg hiervan kunnen toepassingen die afhankelijk zijn van mDNSResponder voor DNS vervalste informatie ontvangen. Deze update verhelpt dit probleem door bronpoort en transactie-id Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

• OpenSSH

  CVE-ID: CVE-2008-1483, CVE-2008-1657

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: meerdere zwakke punten in OpenSSH, waarvan lokale X11-sessiebesturing de belangrijkste is.

  Beschrijving: er bestaan meerdere zwakke punten in de versies van Open SSH geleverd bij Mac OS X v10.4.11 en v10.5.4, waarvan het meest ernstige een lokale gebruiker de mogelijkheid geeft om de X11-sessie van een andere gebruiker te besturen. Deze update verhelpt deze problemen door OpenSSH bij te werken naar v5.1p1. Er is meer informatie te vinden op de website van OpenSSH: http://www.openssh.com/security.html

• QuickDraw Manager

  CVE-ID: CVE-2008-3614

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het openen van een kwaadwillig gefabriceerde PICT-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: bij het behandelen van PICT-afbeeldingen door QuickDraw bestaat een integer-overflow. Openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door extra controle uit te voeren op PICT-afbeeldingen. Dank aan de bij de iDefence VCP werkzame anonieme onderzoeker voor het melden van dit probleem.

• Ruby

  CVE-ID: CVE-2008-2376

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het uitvoeren van een Rubyscript die gebruik maakt van niet-vertrouwde input als argumenten voor de Array#fill-methode kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaat een integer-overflow in rb_ary_fill() die de Ruby Array#fill-methode implementeert. Het uitvoeren van een Rubyscript die gebruik maakt van niet-vertrouwde input als argumenten voor de Array#fill-methode kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dit probleem door extra controle uit te voeren op de argumenten voor rb_ary_fill().

• SearchKit

  CVE-ID: CVE-2008-3616

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: het doorgeven van niet-vertrouwde input aan de SearchKit API door toepassingen kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaan problemen met integer-overflow in functies binnen het SearchKit-framework. Het doorgeven van niet-vertrouwde input aan SearchKit via een toepassing kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dat probleem door middel van verbeterde bounds checking.

• Systeemconfiguratie

  CVE-ID: CVE-2008-2312

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Impact: een lokale gebruiker kan het PPP-wachtwoord verkrijgen

  Beschrijving: PPP-wachtwoorden worden door Netwerkvoorkeuren ongecodeerd opgeslagen in een world readable-bestand dat voor elke lokale gebruiker toegankelijk is. Deze update verhelpt dit probleem door PPP-wachtwoorden op te slaan in de systeemsleutelhanger wanneer het wachtwoord wordt gewijzigd. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Dank aan Hernan Ochoa van Core Security Technologies, Tore Halset van pvv.org en Matt Johnston van de University Computer Club voor het melden van dit probleem.

• Systeemvoorkeuren

  CVE-ID: CVE-2008-3617

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: gebruikers krijgen het idee dat hun wachtwoord sterker is dan het werkelijk is

  Beschrijving: Extern beheer en Schermdeling kunnen worden ingesteld om een wachtwoord te eisen aan VNC-viewers. Een wachtwoord voor VNC-viewers heeft maximaal acht tekens. Het veld voor het invoeren van het wachtwoord kan meer dan acht tekens vertonen, waardoor het lijkt alsof er meer tekens worden gebruikt. Deze update verhelpt dit probleem door wachtwoorden voor VNC-viewers te beperken tot acht tekens in het gebruikersinterface. Dank aan Michel Fresel van hi competence e. U. voor het melden van dit probleem.

• Systeemvoorkeuren

  CVE-ID: CVE-2008-3618

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4

  Impact: bevoegde gebruikers kunnen onverwacht externe toegang hebben tot bestanden en directory's

  Beschrijving: het paneel Bestandsdeling binnen het paneel Delen geeft niet alle informatie weer over de werkelijke toegangsbevoegdheden. Een gebruiker kan afleiden dat alleen de mappen die worden aangeduid als 'Gedeelde mappen' toegankelijk zijn. Bevoegde gebruikers hebben echter ook toegang tot hun thuismappen, en beheerders tot alle schijven op het systeem. Deze update bevat extra tekst die uitleg geeft over de werkelijke toegangsbevoegdheden. Oudere systemen dan Mac OS X v10.5 gaven geen lijst met gedeelde mappen weer in het Bestandsdeling-paneel. Dit probleem heeft geen effect op Mac OS X Server-systemen.

• Time Machine

  CVE-ID: CVE-2008-3619

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: een reservekopie maken van een systeem met behulp van Time Machine kan leiden tot het vrijgeven van vertrouwelijke informatie

  Beschrijving: tijdens het maken van een Time Machine-reservekopie wordt een aantal logbestanden opgeslagen op de reserveschijf met leestoegang voor anderen. Dit kan leiden tot het vrijgeven van vertrouwelijke informatie. Deze update verhelpt dit probleem door meer beperkte toegang te verlenen voor opgeslagen logbestanden. Dit probleem heeft geen gevolgen voor oudere systemen dan Mac OS X v10.5. Dank aan Edwin McKenzie voor het melden van dit probleem.

• VideoConference

  CVE-ID: CVE-2008-3621

  Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: videoconferenties uitvoeren met een kwaadwillige gebruiker kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben

  Beschrijving: er bestaat een probleem met geheugencorruptie bij het behandelen van H.264-gecodeerde media door de VideoConference-framework. Videoconferenties uitvoeren met een kwaadwillige gebruiker kan het onverwacht afsluiten van het programma of uitvoering van willekeurige code tot gevolg hebben. Deze update verhelpt dat probleem door middel van verbeterde bounds checking.

• Wiki Server

  CVE-ID: CVE-2008-3622

  Beschikbaar voor: Mac OS X v10.5 t/m v10.5.4, Mac OS X Server v10.5 t/m v10.5.4

  Impact: een externe aanvaller kan aanhoudende JavaScript-injectie veroorzaken op een Wiki-server

  Beschrijving: het Wiki Server-mailinglijstarchief voert ingebedde JavaScript-code uit berichten. Een externe gebruiker kan een e-mail met een JavaScript-code versturen naar een mailinglijst op een Wiki-server. Het bekijken van het bericht via de Wiki Server-mailinglijst veroorzaakt de uitvoering van de ingebedde JavaScript op het systeem van diegene die het bericht bekijkt. Deze update verhelpt dit probleem door extra controle op e-mails uit te voeren. Dit probleem heeft geen effect op systemen ouder dan Mac OS X v10.5. Dank aan Leon von Tippelskirch en Matthias Wieczorek van de Chair for Applied Software Engineering, TU Munich voor het melden van dit probleem.