Om sikkerhedsindholdet af sikkerhedsopdatering 2009- 001

Sikkerhedsopdatering 2009-001

• AFP-server

  CVE-ID: CVE-2009-0142

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: En bruger med forbindelse til AFP Server kan muligvis udløse DoS (Denial of Service)

  Beskrivelse: Et sjældent forhold i AFP Server kan føre til en uendelig sløjfe. Nummerering af filer på en AFT-server kan føre til DoS (Denial of Service). Denne opdatering løser problemet gennem forbedret arkivnummereringslogik. Dette problem berører kun systemer, der kører Mac OS X v10.5.6.

• Apple Pixlet Video

  CVE-ID: CVE-2009-0009

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Åbning af et filmarkiv med skadelig software kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

  Beskrivelse: Der er et problem med beskadiget hukommelse i håndteringen af filmarkiver, der bruger Pixlet-codec'et. Åbning af et filmarkiv med skadelig software kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Kildeangivelse: Apple.

• CarbonCore

  CVE-ID: CVE-2009-0020

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Åbning af et arkiv med skadelig ressource-fork kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

  Beskrivelse: Der er et problem med beskadiget hukommelse i Resource Managers håndtering af ressource-forker. Åbning af et arkiv med skadelig ressource-fork kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Denne opdatering retter problemet ved hjælp af forbedret validering af ressource-forker. Kildeangivelse: Apple

• CFNetwork

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Gendanner korrekt adfærd af cookies med null-udløbstidspunkt

  Beskrivelse: Denne opdatering løser en regression, der blev introduceret i Mac OS X 10.5.6 og ikke omhandler sikkerhed. Cookies er muligvis ikke korrekt angivet, hvis et websted forsøger at angive en sessionscookie ved at levere en nulværdi i feltet "udløber" i stedet for at udelade feltet. Denne opdatering løser problemet ved at ignorere feltet "udløber", hvis det har en nulværdi.

• CFNetwork

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Gendanner korrekt adfærd af sessionscookies på tværs af programmer

  Beskrivelse: Denne opdatering løser en regression, der blev introduceret i Mac OS X 10.5.6 og ikke omhandler sikkerhed. CFNetwork gemmer muligvis ikke cookies til disk, hvis flere åbne programmer forsøger at angive sessionscookies. Denne opdatering løser problemet ved at sikre, at hvert program gemmer sessionscookies separat.

• Certifikatassistent

  CVE-ID: CVE-2009-0011

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: En lokal bruger kan manipulere arkiver med privilegier fra en anden bruger, som kører Certifikatassistent

  Beskrivelse: Der er en ubeskyttet arkivhandling ved håndtering af midlertidige arkiver i Certifikatassistent. Dette kan gøre det muligt for en lokal bruger at overskrive arkiver med privilegier fra en anden person, som kører Certifikatassistent. Denne opdatering løser problemet gennem en forbedret håndtering af midlertidige arkiver. Problemet påvirker ikke systemer før Mac OS X version 10.5. Kildeangivelse: Apple.

• ClamAV

  CVE-ID: CVE-2008-5050, CVE-2008-5314

  Tilgængelig til: Server 10.4.11, Mac OS X v og Mac OS X Server v10.5.6

  Effekt: Flere svagheder i ClamAV 0.94

  Beskrivelse: Der er flere svagheder i ClamAV 0.94, og de mest alvorlige kan føre til kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere ClamAV til version 0.94.2. ClamAV distribueres kun med Mac OS X Server-systemer. Du kan finde flere oplysninger via ClamAV-webstedet på adressen http://www.clamav.net/

• CoreText

  CVE-ID: CVE-2009-0012

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Visning af skadeligt Unicode-indhold kan føre til uventet programnedbrud eller kørsel af vilkårlig kode

  Beskrivelse: Der kan opstå heapbufferoverløb ved behandling af Unicode-strenge i CoreText. Brug af CoreText til at håndtere skadelige Unicode-strenge, f.eks. når du er på et skadeligt websted, kan føre til uventet programnedbrud eller kørsel af vilkårlig kode. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Dette problem berører ikke systemer tidligere end Mac OS X v10.5. Tak til Rosyna fra Unsanity, som har rapporteret dette problem.

• CUPS

  CVE-ID: CVE-2008-5183

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Besøg på et skadeligt websted kan føre til uventet programnedbrud

  Beskrivelse: Overskridelse af antallet af RSS-abonnementer resulterer i en null-pointer-dereference i CUPS-webgrænsefladen. Dette kan føre til uventet programnedbrud ved besøg på et skadeligt websted. Dette problem kan opstå, hvis gyldige brugerlegitimationsoplysninger enten er kendt af hackeren eller cachelagret i brugerens webbrowser. CUPS genstartes automatisk, når dette problem udløses. Denne opdatering løser problemet gennem korrekt håndtering af antallet af RSS-abonnementer. Dette problem påvirker ikke systemer før Mac OS X v10.5.

• DS Tools

  CVE-ID: CVE-2009-0013

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Adgangskoder leveret til dscl kan læses af andre lokale brugere

  Beskrivelse: Kommandolinjeværktøjet dscl krævede, at adgangskoder blev leveret til dets argumenter, hvilket medførte at adgangskoderne kunne læses af andre lokale brugere. De adgangskoder, der kan læses, omfatter koder for brugere og administratorer. Denne opdatering gør adgangskodeparameteren valgfri, og dscl vil spørge om en eventuel nødvendig adgangskode. Kildeangivelse: Apple

• fetchmail

  CVE-ID: -2007-4565, CVE-, CVE-2008-2711

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Flere svagheder i fetchmail 6.3.8

  Beskrivelse: Der findes flere svagheder i fetchmail 6.3.8, hvoraf den mest alvorlige kan medføre DoS (Denial of Service). Denne opdatering løser problemerne ved at opdatere til version 6.3.9. Du finder flere oplysninger via webstedet for fetchmail på adressen http://fetchmail.berlios.de/

• Folder Manager

  CVE-ID: CVE-2009-0014

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Andre lokale brugere kan få adgang til mappen Overførsler.

  Beskrivelse: Der er et problem med standardtilladelser i Folder Manager. Når en bruger sletter mappen Overførsler, og den genoprettes af Folder Manager, oprettes mappen med læsetilladelse for alle. Denne opdatering løser problemet ved at få Folder Manager til at begrænse antallet af tilladelser, så mappen kun er tilgængelig for brugeren. Dette problem berører kun programmer, der bruger Folder Manager. Dette problem berører ikke systemer før Mac OS X v10.5. Tak til Graham Perrin fra CENTRIM, University of Brighton, som har rapporteret dette problem.

• FSEvents

  CVE-ID: CVE-2009-0015

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Med FSEvents-framework'et kan en lokal bruger muligvis se arkivsystemaktivitet, der ellers ikke ville være tilgængelig

  Beskrivelse: Der et problem med administration af legitimationsoplysninger i fseventsd. Med FSEvents-framework'et kan en lokal bruger muligvis se arkivsystemaktivitet, der ellers ikke ville være tilgængelig Dette omfatter navnet på et bibliotek, som brugeren ellers ikke kunne se samt registrering af aktivitet i biblioteket på et givent tidspunkt. Denne opdatering løser problemet gennem forbedret godkendelse af legitimationsoplysninger i fseventsd. Dette problem berører ikke systemer tidligere end Mac OS X v10.5. Tak til Mark Dalrymple, som har rapporteret dette problem.

• Network Time

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Network Time-tjenestekonfigurationen er blevet opdateret

  Beskrivelse: Som en proaktiv sikkerhedsforholdsregel ændrer denne opdatering standardkonfigurationen af Network Time-tjenesten. Systemtid og versionsoplysninger er ikke længere tilgængelig i ntpd-standardkonfigurationen. På systemer med Mac OS X v10.4.11 træder den nye konfiguration i kraft efter en genstart af systemet, hvor Network Time-tjenesten er aktiveret.

• perl

  CVE-ID: CVE-2008-1927

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Brug af almindelige udtryk, der indeholder UTF-8-tegn, kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

  Beskrivelse: Der er et problem med beskadiget hukommelse i håndteringen af visse UTF-8-tegn i almindelige udtryk. Parsing af skadelige almindelige udtryk kan føre til uventet programnedbrud eller vilkårlig kørsel af kode. Denne opdatering løser problemet ved at udføre yderligere validering af almindelige udtryk.

• Udskrivning

  CVE-ID: CVE-2009-0017

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: En lokal bruger kan opnå systemrettigheder

  Beskrivelse: Der er et håndteringsproblem i csregprinter, der kan føre til heapbufferoverløb. Dermed kan en lokal bruger opnå systemrettigheder. Denne opdatering løser problemet gennem forbedret fejlhåndtering. Tak til Lars Haulin, som har rapporteret dette problem.

• python

  CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Flere svagheder i pyton

  Beskrivelse: Der er flere svagheder i pyton, og de mest alvorlige kan føre til kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at anvende programrettelser fra python-projektet.

• Eksterne Apple Events

  CVE-ID: CVE-2009-0018

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Sending af eksterne Apple Events kan føre til offentliggørelse af følsomme oplysninger

  Beskrivelse: Der er et problem med ikke-initialiseret buffer på Eksterne Apple Events-serveren, der kan føre til offentliggørelse af hukommelsesindhold til netværksklienter. Denne opdatering løser problemet gennem korrekt initialisering af hukommelse. Kildeangivelse: Apple

• Eksterne Apple Events

  CVE-ID: CVE-2009-0019

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Aktivering af Eksterne Apple Events kan føre til et uventet programnedbrud eller vilkårlig kørsel af kode.

  Beskrivelse: Der er en hukommelsesadgang uden for grænserne i Eksterne Apple Events. Aktivering af Eksterne Apple Events kan føre til uventet programnedbrud eller offentliggørelse af følsomme oplysninger til netværksklienter. Denne opdatering løser problemet gennem forbedret kontrol af grænser. Kildeangivelse: Apple.

• Safari RSS

  CVE-ID: CVE-2009-0137

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Åbning af en skadelig feed-URL kan føre til kørsel af vilkårlig kode.

  Beskrivelse: Der er flere problemer med godkendelse af input i Safaris håndtering af feed-URL'er. Problemerne medfører vilkårlig kørsel af JavaScript i den lokale sikkerhedszone. Denne opdatering løser problemerne gennem forbedret håndtering af indbygget JavaScript i feed-URL'er. Tak til Clint Ruoho fra Laconic Security, Billy Rios fra Microsoft og Brian Mastenbrook, som har rapporteret disse problemer.

• servermgrd

  CVE-ID: CVE-2009-0138

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Eksterne hackere kan få adgang til Server Manager uden gyldige legitimationsoplysninger

  Beskrivelse: Et problem i Server Managers validering af legitimationsoplysninger kan medføre, at en ekstern hacker kan ændre systemkonfigurationen. Denne opdatering løser problemet ved hjælp af yderligere validering af legitimationsoplysninger. Problemet påvirker ikke systemer før Mac OS X version 10.5. Kildeangivelse: Apple.

• SMB

  CVE-ID: CVE-2009-0139

  Tilgængelig til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

  Effekt: Oprettelse af forbindelse til et skadeligt SMB-arkivsystem kan føre til uventet systemnedbrud eller vilkårlig kørsel af kode med systemrettigheder

  Beskrivelse: Et heltalsoverløb i SMB-arkivsystemet kan føre til heapbufferoverløb. Oprettelse af forbindelse til et skadeligt SMB-arkivsystem kan føre til uventet systemnedbrud eller vilkårlig kørsel af kode med systemrettigheder Denne opdatering løser problemet gennem forbedret kontrol af grænser. Problemet påvirker ikke systemer før Mac OS X version 10.5. Kildeangivelse: Apple.

• SMB

  CVE-ID: CVE-2009-0140

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Oprettelse af forbindelse til en skadelig SMB-arkivserver kan føre til uventet systemnedbrud

  Beskrivelse: Der er et problem med manglende hukommelse i SMB-arkivsystemets håndtering af arkivsystemnavne. Oprettelse af forbindelse til en skadelig SMB-arkivserver kan føre til uventet systemnedbrud. Denne opdatering løser problemet ved at begrænse mængden af hukommelse, der kan tildeles af klienten til arkivsystemnavne. Kildeangivelse: Apple

• SquirrelMail

  CVE-ID: CVE-2008-2379, CVE-2008-3663

  Tilgængelig til: Server 10.4.11, Mac OS X v og Mac OS X Server v10.5.6

  Effekt: Flere svagheder i SquirrelMail

  Beskrivelse: SquirrelMail er opdateret til version 1.4.17 for at rette flere svagheder, hvoraf den mest alvorlige medfører scripting på tværs af websteder. Yderligere oplysninger er tilgængelige på SquirrelMail-webstedet på http://www.SquirrelMail.org/

• X11

  CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: Flere svagheder i X11-server

  Beskrivelse: Der er flere svagheder i X11-server. De mest alvorlige af disse kan føre til kørsel af vilkårlig kode med privilegier som den bruger, der kører X11-serveren, hvis hackeren godkendes til X11-serveren. Denne opdatering løser problemerne ved at anvende de opdaterede X.Org-programrettelser. Du finder flere oplysninger via X.Org-webstedet på adressen http://www.x.org/wiki/Development/Security

• X11

  CVE-ID: -2006-, CVE-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

  Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Effekt: Flere sikkerhedsrisici i FreeType v2.1.4

  Beskrivelse: FreeType v2.1.4 indeholder flere svagheder, hvoraf den mest alvorlige kan føre til kørsel af tilfældig kode ved behandling af en skadelig skrifttype. Denne opdatering løser problemerne ved at inkorporere sikkerhedsrettelserne fra version 2.3.6 af FreeType. Du kan finde flere oplysninger via FreeType-webstedet på adressen http://www.freetype.org/ Problemerne er allerede løst i systemer, der kører Mac OS X v10.5.6.

• X11

  CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

  Tilgængelig til: Mac OS X v10.4.11, Mac OS X Server v10.4.11

  Effekt: Flere svagheder i LibX11

  Beskrivelse: LibX11 indeholder flere svagheder, hvoraf den mest alvorlige kan føre til vilkårlig kørsel af kode ved behandling af en skadelig skrifttype. Denne opdatering løser problemerne ved at anvende de opdaterede X.Org-programrettelser. Du kan finde flere oplysninger via X.Org-webstedet på adressen http://www.x.org/wiki/Development/Security Disse problemer berører ikke systemer, der kører Mac OS X v10.5 eller nyere.

• XTerm

  CVE-ID: CVE-2009-0141

  Tilgængelig til: Mac OS X version 10.4.11, Mac OS X Server version 10.4.11, Mac OS X version 10.5.6 og Mac OS X Server version 10.5.6

  Effekt: En lokal bruger kan sende oplysninger direkte til en anden brugers Xterm

  Beskrivelse: Der er et problem med tilladelser i Xterm. Når det bruges sammen med luit, opretter Xterm tty-enheder, hvortil der er fri adgang. Denne opdatering løser problemet ved at få Xterm til at begrænse antallet af tilladelser, så kun brugeren har adgang til tty-enheder.