Om Sikkerhedsopdatering 2008-007

  • Dato for seneste ændring: 22 oktober, 2008
  • Artikel: HT3216

Oversigt

Dette dokument beskriver Sikkerhedsopdatering 2008-007, som kan downloades og installeres via indstillinger under Softwareopdatering eller fra Apple Downloads.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du besøge webstedet Apple Produktsikkerhed.

Gå til "Sådan bruges PGP-nøglen til Apple Produktsikkerhed" for at få oplysninger om PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, anvendes CVE-ID'er til at angive sikkerhedshullerne for yderligere oplysninger.

Gå til "Apple Sikkerhedsopdateringer", hvis du vil læse om andre sikkerhedsopdateringer.

Berørte produkter

Produktsikkerhed, Mac OS X 10.4.11, Mac OS X 10.5.5

Sikkerhedsopdatering 2008-007

  • Apache

    CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    Tilgængelig til: Mac OS X version 10.5.5, Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i Apache 2.2.8

    Beskrivelse: Apache er opdateret til version 2.2.9 for at rette flere svagheder, hvoraf den mest alvorlige kan medføre scripting på tværs af websteder. Apache version 2 leveres ikke sammen med Mac OS X Client-systemer før version 10.5. Apache version 2 leveres sammen med med Mac OS X Server-systemer i version 10.4.x, men er ikke aktiv som standard. Du finder yderligere oplysninger på Apache-webstedet på http://httpd.apache.org/

  • Certifikater

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: Rodcertifikater er opdateret

    Beskrivelse: Flere godkendte certifikater er tilføjet til listen over systemrødder Flere eksisterende certifikater blev opdateret til den nyeste version Den komplette liste over genkendte systemrødder kan ses via programmet Hovednøglering

  • ClamAV

    CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

    Tilgængelig til: Mac OS X Server version 10.4.11, Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i ClamAV 0.93.3

    Beskrivelse: Der er flere svagheder i ClamAV 0.93.3, og de mest alvorlige kan føre til kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere til ClamAV 0.94. ClamAV 0.94 medfølger ikke ved Mac OS X Client-systemer. Du kan finde flere oplysninger på webstedet for ClamAV på http://www.clamav.net/

  • ColorSync

    CVE-ID: CVE-2008-3642

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Resultat: Visning af et skadeligt tilpasset billede kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb under håndteringen af billeder med en integreret ICC-profil. Åbning af et skadeligt tilpasset billede med en integreret ICC-profil kan føre til uventet programnedbrud eller vilkårlig kørsel af kode Denne opdatering løser problemet ved at udføre yderligere validering af ICC-profiler i billeder. Kildeangivelse: Apple

  • CUPS

    CVE-ID: CVE-2008-3641

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: En ekstern angriber kan muligvis forårsage vilkårlig kørsel af kode med en 'lp'-brugers rettigheder

    Beskrivelse: Der eksisterer et problem med områdekontrol i HPGL-filteret (Hewlett-Packard Graphics Language), som kan forårsage, at vilkårlig hukommelse overskrives med styrede data Hvis printerdeling er aktiveret, kan en ekstern angriber muligvis forårsage vilkårlig kørsel af kode med en 'lp'-brugers rettigheder. Hvis printerdeling ikke er aktiveret, kan en lokal bruger muligvis få udvidede rettigheder Denne opdatering korrigerer problemet ved at udføre ekstra begrænsningskontrol. Tak til "regenrecht", som arbejder med TippingPoints Zero Day Initiative, for at rapportere dette problem.

  • Finder

    CVE-ID: CVE-2008-3643

    Tilgængelig til: Mac OS X version10.5.5, Mac OS X Server version 10.5.5

    Virkning: Et arkiv på skrivebordet kan forårsage denial of service.

    Beskrivelse: Der er et problem med fejlgendannelse i Finder Et skadeligt tilpasset arkiv på skrivebordet, der forårsager uventet lukning af Finder ved generering af dets symbol, medfører, at Finder kontinuerligt afsluttes og genstartes. Indtil arkivet fjernes, er brugerkontoen ikke tilgængelig via Finders brugergrænseflade. Denne opdatering løser problemet ved at generere symboler i separate processer. Dette problem berører ikke systemer tidligere end Mac OS X version 10.5. Tak til Sergio 'shadown' Alvarez fra n.runs AG for at rapportere dette problem.

  • launchd

    Tilgængelig til: Mac OS X version 10.5.5, Mac OS X Server version 10.5.5

    Virkning: Programmerne kan muligvis ikke åbne en sandkasse, når de bliver bedt om det

    Beskrivelse: Denne opdatering afhjælper et problem, der er opstået i Mac OS X version 10.5.5. Et implementeringsproblem i launchd kan forårsage, at et programs anmodning om at åbne en sandkasse mislykkes. Dette problem berører ikke progrmmer, der bruger den dokumenterede API sandbox_init. Denne opdatering korrigerer problemet ved at sørge for en opdateret version af launchd. Dette problem påvirker ikke systemer før Mac OS X version 10.5.5.

  • libxslt

    CVE-ID: CVE-2008-1767

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: Behandling af et XML-dokument kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et bufferoverløbsproblem i heap i biblioteket libxslt. Visning af et HTML-arkiv med skadelig software kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Der findes flere oplysninger om denne rettelse på http://xmlsoft.org/XSLT/ Tak til Anthony de Almeida Lopes fra Outpost24 AB og Chris Evans fra Google Security Team, som har rapporteret dette problem.

  • MySQL Server

    CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    Tilgængelig til: Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i MySQL 5.0.45

    Beskrivelse: MySQL opdateres til version 5.0.67 for at korrigere flere svagheder, hvoraf den alvorligste kan føre til vilkårlig kørsel af kode. Problemet berører kun Mac OS X Server-systemer. Yderligere oplysninger kan findes på MySQL-webstedet på http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html

  • Netværk

    CVE-ID: CVE-2008-3645

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: En lokal bruger kan opnå systemrettigheder.

    Beskrivelse: Der er et bufferoverløbsproblem i den lokale IPC-komponent af configd's EAPOL controller-plugin, som kan gøre det muligt for en lokal bruger at opnå systemrettigheder. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Kildeangivelse: Apple.

  • PHP

    CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i PHP 4.4.8

    Beskrivelse: PHP opdateres til version 4.4.9 for at korrigere flere svagheder, hvoraf den alvorligste kan føre til vilkårlig afvikling af kode. Du kan finde flere oplysninger på webstedet for PHP på http://www.php.net/ Disse problemer berører kun systemer, der kører Mac OS X version 10.4.x, Mac OS X Server verson 10.4.x eller Mac OS X Server version 10.5.x.

  • Postfix

    CVE-ID: CVE-2008-3646

    Tilgængelig til: Mac OS X version 10.5.5

    Virkning: En ekstern angriber kan muligvis sende e-mail direkte til lokale brugere

    Beskrivelse: Der er et problem i konfigurationsarkiverne til Postfix Postfix er tilgængelig fra netværket i et minut, efter at et lokalt kommandolinjeværktøj har sendt e-mail. I dette tidsrum kan en ekstern enhed, der opretter forbindelse til SMTP-porten, muligvis sende e-mail til lokale brugere eller på anden må de anvende SMTP-protokollen Dette problem medfører ikke, at systemet bliver et åbent mail-relæ. Dette problem afhjælpes ved at ændre Postfix-konfigurationen for at forhindre, at der oprettes forbindelse til SMTP fra eksterne maskiner Problemet berører ikke systemer før Mac OS X version 10.5 og berører ikke Mac OS X Server. Tak til Pelle Johansson, der har rapporteret dette problem.

  • PSNormalizer

    CVE-ID: CVE-2008-3647

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: Visning af et skadeligt tilpasset PostScript-arkiv kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der sker bufferoverløb under PSNormalizers håndtering af afgrænsningsfeltkommentaren i PostScript-arkiver. Visning af et skadeligt tilpasset PostScript-arkiv kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Denne opdatering løser problemet ved at udføre yderligere validering af PostScript-arkiver. Kildeangivelse: Apple

  • QuickLook

    CVE-ID: CVE-2008-4211

    Tilgængelig til: Mac OS X version 10.5.5, Mac OS X Server version 10.5.5

    Virkning: Download eller visning af et skadeligt tilpasset Microsoft Excel-arkiv kan medføre uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der er et signedness-problem i QuickLooks håndtering af kolonner i Microsoft Excel-arkiver, hvilket kan medføre hukommelsesadgang uden for området. Download eller visning af et skadeligt tilpasset Microsoft Excel-arkiv kan medføre uventet programnedbrud eller vilkårlig kørsel af kode Denne opdatering løser problemet ved at udføre yderligere validering af Microsoft Excel-arkiver. Problemet påvirker ikke systemer før Mac OS X version 10.5. Kildeangivelse: Apple.

  • rlogin

    CVE-ID: CVE-2008-4212

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: Systemer, der er manuelt konfigureret til at bruge rlogin og host.equiv, kan uventet tillade rodadgang

    Beskrivelse: manpage for konfigurationsarkivet hosts.equiv angiver, at elementerne ikke gælder for roden. En implementeringsfejl i rlogind medfører imidlertid, at disse elementer også gælder for roden. Denne opdatering løser problemet ved ikke at tillade rlogin fra rodbrugeren, hvis det eksterne system er i hosts.equiv. Tjenesten rlogin er ikke aktiveret som standard i Mac OS X og skal konfigureres manuelt for at blive aktiveret. Tak til Ralf Meyer, som har rapporteret dette problem.

  • Script Editor

    CVE-ID: CVE-2008-4214

    Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.5 og Mac OS X Server version 10.5.5

    Virkning: En lokal bruger kan opnå rettighederne tilhørende en anden bruger, der anvender Script Editor.

    Beskrivelse: Der er en usikker arkivoperation i Script Editor-programmet ved åbning af et programs scripting-dictionary. En lokal bruger kan forårsage, at scripting-dictionary skrives til en vilkårlig sti, som en anden bruger, der kører programmet, har adgang til. Denne opdatering løser problemet ved at oprette et midlertidigt arkiv på en sikker placering. Kildeangivelse: Apple.

  • Enkelt log ind

    Tilgængelig til: Mac OS X version 10.5.5, Mac OS X Server version 10.5.5

    Virkning: Kommandoen sso_util accepterer nu adgangskoder fra et arkiv

    Beskrivelse: : Kommandoen sso_util accepterer nu adgangskoder fra et arkiv, der er nævnt i miljøvariablen SSO_PASSWD_PATH. Det gør det muligt for automatiserede scripts at bruge sso_util på en mere sikker måde.

  • Tomcat

    CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    Tilgængelig til: Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i Tomcat 6.0.14

    Beskrivelse: Tomcat på systemer med Mac OS X version 10.5 er opdateret til version 6.0.18 for at rette flere svagheder, hvoraf den mest alvorlig kan medføre angreb med scripting på tværs af websteder. Problemet berører kun Mac OS X Server-systemer. Du kan finde flere oplysninger på webstedet for Tomcat på http://tomcat.apache.org/

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    Tilgængelig til: Mac OS X v10.5.5, Mac OS X Server version 10.5.5

    Virkning: Flere svagheder i vim 7.0

    Beskrivelse: vim 7.0 indeholder flere svagheder, hvoraf den mest alvorlige kan føre til vilkårlig kørsel af kode ved arbejde med skadeligt tilpassede arkiver. Denne opdatering løser problemerne ved at opdatere til vim 7.2.0.22. Du kan finde flere oplysninger på webstedet for vim på http://www.vim.org/

  • Weblog

    CVE-ID: CVE-2008-4215

    Tilgængelig til: Mac OS X Server v10.4.11

    Virkning: Adgangskontrol af weblog-meddelelser udføres muligvis ikke

    Beskrivelse: Der er en ikke-undersøgt fejl på weblog-serveren. Tilføjelse af en bruger med flere kaldenavne til adgangskontrollisten for en weblog-meddelelse kan medføre, at weblog-serveren ikke udfører adgangskontrollen. Problemet løses ved at forbedre den måde, adgangskontrollisten gemmes på. Problemet berører kun systemer, der kører Mac OS X Server version 10.4. Kildeangivelse: Apple.

Important: Oplysninger om tredjepartswebsteder og -produkter er kun inkluderet til orientering og er ikke udtryk for hverken godkendelse eller anbefaling. Apple påtager sig ikke noget ansvar for udvalget af, ydeevnen på eller brugen af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple inkluderer kun disse som en service til vores brugere. Apple har ikke afprøvet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer angående deres nøjagtighed eller pålidelighed. Der er altid en risiko forbundet med at bruge oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne forbindelse. Tredjepartswebsteder er uafhængige af Apple, og Apple har ikke kontrol over indholdet på sådanne websteder. Kontakt leverandøren for at få flere oplysninger.

Not helpful Somewhat helpful Helpful Very helpful Solved my problem