Om säkerhetsinnehållet i säkerhetsuppdatering 2009-001

  • Senast ändrad: 13 mars, 2009
  • Artikel: HT3438

Översikt

I detta dokument beskrivs säkerhetsuppdatering 2009-001, som kan hämtas och installeras via inställningarna för Programuppdatering eller från Apple-hämtningar.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har utförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple Product Security.

Information om Apples PGP-nyckel för produktsäkerhet finns i "How to use the Apple Product Security PGP Key".

Om möjligt används CVE-ID:n som referenser till ytterligare information om sårbarheterna.

Mer information om andra säkerhetsuppdateringar finns på "Apple Security Updates".

Berörda produkter

Produktsäkerhet, Mac OS X 10.5.6, Mac OS X 10.4.11

Säkerhetsuppdatering 2009-001

  • AFP-server

    CVE-ID: CVE-2009-0142

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: En användare som kan ansluta till en AFP-server kan utlösa en dos (denial of service).

    Beskrivning: Ett race-tillstånd i en AFP-server kan leda till en oändlig slinga. Uppräkning av filer på en AFP-server kan leda till en dos (denial of service). Denna uppdatering åtgärdar problemet genom förbättrad uppräkningslogik. Problemet påverkar endast system med Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Öppning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption förekommer vid hantering av filmfiler som använder Pixlet-codec. Öppning av en filmfil med skadligt innehåll kan leda till oväntad avstängning av program eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Medhjälpare: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Att öppna en fil med skadlig resursgaffel kan leda till oväntad avstängning av program eller körning av opålitlig kod.

    Beskrivning: Ett problem med minneskorruption förekommer vid Resource Managers hantering av resursgafflar. Att öppna en fil med skadlig resursgaffel kan leda till oväntad avstängning av program eller körning av opålitlig kod. Denna uppdatering åtgärdar problemet genom förbättrad verifiering av resursgafflar. Medhjälpare: Apple.

  • CFNetwork

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Återställer cookies med null-utgångstider till korrekt funktion

    Beskrivning: Denna uppdatering åtgärdar en oskyddad regression i Mac OS X 10.5.6. Cookies kan inte ställas in korrekt om en webbplats försöker ställa in en sessionscookie genom att ange ett null-värde i fältet "expires", i stället för att lämna fältet tomt. Denna uppdatering åtgärdar problemet genom att fältet "expires" ignoreras om det har ett null-värde.

  • CFNetwork

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Återställer sessionscookies till korrekt funktion i program

    Beskrivning: Denna uppdatering åtgärdar en oskyddad regression införd i Mac OS X 10.5.6. CFNetwork kanske inte kan spara cookies till disk om flera öppna program försöker ställa in sessionscookies. Denna uppdatering åtgärdar problemet genom att säkerställa att varje program lagrar sina sessionscookies separat

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: En lokal användare kan manipulera filer i Certificate Assistant med en annan användares rättigheter

    Beskrivning: En osäker filåtgärd förekommer i Certificate Assistant vid hantering av temporära filer. Detta kan ge en lokal användare möjlighet att skriva över filer i Certificate Assistant med en annan användares rättigheter. Denna uppdatering åtgärdar problemet genom en förbättrad hantering av temporära filer. Problemet påverkar inte system äldre än Mac OS X v10.5. Medhjälpare: Apple.

  • ClamAV

    CVE-ID: -2008-, CVE-5050, CVE-2008-5314

    Tillgänglig för: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Inverkan: Flera sårbarheter i ClamAV 0.94

    Beskrivning: Flera sårbarheter förekommer i ClamAV 0.94, av vilka de allvarligaste kan leda till körning av opålitlig kod. Denna uppdatering åtgärdar problemen genom att uppdatera ClamAV till version 0.94.2. ClamAV distribueras endast med Mac OS X Server-system. Ytterligare information finns tillgänglig på ClamAV-webbplatsen på http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Visning av skadligt Unicode-innehåll kan leda till oväntad avstängning av program eller körning av opålitlig kod.

    Beskrivning: Ett heap-buffertspill kan inträffa när Unicode-strängar bearbetas i CoreText. Användning av CoreText för att hantera skadliga Unicode-strängar, exempelvis för att visa en skadlig webbsida, kan leda till oväntad avstängning av program eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Detta problem påverkar inte system före Mac OS X v10.5. Tack till Rosyna på Unsanity som rapporterade detta problem.

  • CUPS

    CVE-ID: CVE-2008-5183

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Att besöka en skadlig webbplats kan leda till oväntad programavslutning

    Beskrivning: Att överskrida det maximala antalet RSS-prenumerationer leder till en null-pekarreferens i CUPS-webbgränssnittet. Detta kan leda till oväntad programavslutning när en skadlig webbplats besöks. För att utlösa det här problemet måste angriparen antingen känna till inloggningsinformationen eller så måste den vara cachelagrad i användarens webbläsare. CUPS omstartas automatiskt när problemet har utlösts. Denna uppdatering åtgärdar problemet genom att antalet RSS-prenumerationer hanteras korrekt. Problemet påverkar inte system före Mac OS X v10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Lösenord som skickas till dscl exponeras för andra lokala användare

    Beskrivning: Kommandoradsverktyget dscl krävde att lösenorden överfördes till dess argument, vilket möjliggjorde exponering av lösenord för andra lokala användare. Exponerade lösenord inkluderar dem för användare och administratörer. Denna uppdatering gör lösenordsparametern valfri och dscl frågar om lösenordet om det behövs. Medhjälpare: Apple.

  • fetchmail

    CVE-ID: -2007-, CVE-4565, CVE-2008-2711

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Flera svagheter i fetchmail 6.3.8

    Beskrivning: Flera sårbarheter förekommer i fetchmail 6.3.8, av vilka de allvarligaste kan leda till en dos (denial of service). Den här uppdateringen åtgärdar problemen genom att uppdatera till version 6.3.9. Mer information finns på fetchmails webbplats på http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Andra lokala användare kan få tillgång till mappen Hämtningar.

    Beskrivning: Ett standardbehörighetsproblem förekommer i Folder Manager. När en användare tar bort sin Hämtningsmapp och den återskapas av Folder Manager så får den läsbehörighet för alla. Denna uppdatering åtgärdar problemet genom att behörigheten begränsas av Folder Manager, så att endast användaren har åtkomst till den. Problemet påverkar endast program där Folder Manager används. Problemet påverkar inte system före Mac OS X v10.5. Tack till Graham Perrin på CENTRIM, University of Brighton, som rapporterade problemet.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Genom att använda FSEvents-ramverket kan en lokal användare få möjlighet att se filsystemsaktiviteter som annars inte vore tillgängliga

    Beskrivning: Ett problem med hantering av autentiseringsinformation förekommer i fseventsd. Genom att använda FSEvents-ramverket kan en lokal användare få möjlighet att se filsystemsaktiviteter som annars inte vore tillgängliga. Detta inkluderar namnet på en katalog som användaren annars inte skulle kunna se samt detektering av aktiviteter i katalogen vid en viss tidpunkt. Denna uppdatering åtgärdar problemet genom förbättrad validering av autentiseringsinformation i fseventsd. Detta problem påverkar inte system före Mac OS X v10.5. Tack till Mark Dalrymple som rapporterade problemet.

  • Network Time

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Konfigurationen av tjänsten Network Time har uppdaterats

    Beskrivning: Som en förebyggande säkerhetsåtgärd ändrar denna uppdatering standardkonfigurationen för tjänsten Network Time. Systemtid och versionsinformation kommer inte längre att vara tillgängliga i standard-ntpd-konfigurationen. På Mac OS X v10.4.11-system verkställs den nya konfigurationen efter en systemomstart när tjänsten Network Time är aktiverad.

  • perl

    CVE-ID: CVE-2008-1927

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Användning av reguljära uttryck som innehåller UTF-8-tecken kan leda till oväntad programavslutning eller körning av opålitlig kod.

    Beskrivning: Det förekommer ett problem med minneskorruption i hanteringen av vissa UTF-8-tecken i reguljära uttryck. Tolkning av skadliga reguljära uttryck kan leda till oväntad programavslutning eller körning av opålitlig kod. Denna uppdatering åtgärdar problemet genom att utföra ytterligare verifiering av reguljära uttryck.

  • Skriva ut

    CVE-ID: CVE-2009-0017

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: En lokal användare kan skaffa systembehörighet

    Beskrivning: Det förekommer ett problem med felhantering i csregprinter, som kan leda till ett heap-buffertspill. Detta kan ge en lokal användare möjlighet att skaffa systembehörighet. Denna uppdatering åtgärdar problemet genom förbättrad felhantering. Tack till Lars Haulin som rapporterade detta problem.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Flera sårbarheter i python

    Beskrivning: Flera sårbarheter förekommer i python, av vilka den allvarligaste kan leda till körning av opålitlig kod. Denna uppdatering åtgärdar problemen genom att applicera patchar från python-projektet.

  • Apple-events från andra datorer

    CVE-ID: CVE-2009-0018

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Att skicka Apple-events kan leda till spridning av känslig information.

    Beskrivning: Det förekommer ett problem med en oinitierad buffert i servern för Apple-events, som kan leda till spridning av minnesinnehåll till nätverksklienter. Denna uppdatering åtgärdar problemet genom korrekt minnesinitiering. Medhjälpare: Apple.

  • Apple-events från andra datorer

    CVE-ID: CVE-2009-0019

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Aktivering av Apple-events från andra datorer kan leda till oväntad programavslutning eller spridning av känslig information.

    Beskrivning: Det förekommer en minnesåtkomst utanför gränserna i Apple-events från andra datorer. Aktivering av Apple-events från andra datorer kan leda till oväntad programavslutning eller spridning av känslig information till nätverksklienter. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Medhjälpare: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Åtkomst till en feed:-URL med skadligt innehåll kan leda till körning av opålitlig kod.

    Beskrivning: Flera problem med verifiering av indata förekommer i Safaris hantering av feed:-URL-adresser. Problemen tillåter körning av opålitliga JavaScript i den lokala säkerhetszonen. Denna uppdatering åtgärdar problemen genom att förbättra hanteringen av JavaScript inbäddade i feed:-URL-adresser. Tack till Clint Ruoho på Laconic Security, Billy Rios på Microsoft, och Brian Mastenbrook som rapporterade dessa problem.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Fjärrangripare kan få åtkomst till Server Manager utan giltiga ID-handlingar

    Beskrivning: Ett problem i Server Manager-verifieringen av ID-handlingar kan ge en fjärrangripare möjlighet att ändra systemkonfigurationen. Denna uppdatering åtgärdar problemet genom att utföra ytterligare validering av ID-handlingar. Problemet påverkar inte system äldre än Mac OS X v10.5. Medhjälpare: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Tillgänglig för: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Anslutning till ett skadligt SMB-filsystem kan leda till oväntad systemavstängning eller körning av opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill i SMB-filsystemet kan leda till ett heap-buffertspill. Anslutning till ett skadligt SMB-filsystem kan leda till oväntad systemavstängning eller körning av opålitlig kod med systemprivilegier. Den här uppdateringen åtgärdar problemet genom att förbättra gränskontrollerna. Problemet påverkar inte system äldre än Mac OS X v10.5. Medhjälpare: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Anslutning till ett skadligt SMB-filsystem kan leda till oväntad systemavstängning.

    Beskrivning: Ett problem med minnesöverbelastning förekommer i SMB-filsystemets hantering av filsystemnamn. Anslutning till en skadlig SMB-filserver kan leda till oväntad systemavstängning. Denna uppdatering åtgärdar problemet genom att begränsa mängden minne allokerat av klienten för filsystemnamn. Medhjälpare: Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Tillgänglig för: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Inverkan: Flera sårbarheter i SquirrelMail

    Beskrivning: SquirrelMail uppdateras till version 1.4.17 för att åtgärda flera sårbarheter, av vilka den allvarligaste är ett problem med manuskörning över flera webbplatser. Ytterligare information finns tillgänglig via SquirrelMail-webbplatsen, på http://www.SquirrelMail.org/.

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: Flera sårbarheter i X11-servern

    Beskrivning: Flera sårbarheter förekommer i X11-servern. Den mest allvarliga av dessa kan leda till körning av opålitlig kod med samma behörighet som användaren som kör X11-servern, om angriparen kan autentisera i X11-servern. Denna uppdatering åtgärdar problemen genom att applicera de uppdaterade X.Org-patcharna. Ytterligare information finns tillgänglig via X.Org-webbplatsen, på http://www.x.org/wiki/Development/Security.

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Inverkan: Flera sårbarheter i FreeType v2.1.4

    Beskrivning: Det finns flera sårbarheter i FreeType v2.1.4. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Den här uppdateringen åtgärdar problemen genom att införa säkerhetskorrigeringar från version 2.3.6 av FreeType. Läs mer på FreeTypes webbplats på http://www.freetype.org/ Problemen är redan åtgärdade i system med Mac OS X v10.5.6.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Inverkan: Flera sårbarheter i LibX11

    Beskrivning: Det finns flera sårbarheter i LibX11. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Denna uppdatering åtgärdar problemen genom att applicera de uppdaterade X.Org-patcharna. Läs mer på X.Orgs webbplats på http://www.x.org/wiki/Development/Security Problemen påverkar inte system med Mac OS X v10.5 eller senare.

  • XTerm

    CVE-ID: CVE-2009-0141

    Tillgänglig för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Inverkan: En lokal användare kan skicka information direkt till en annan användares Xterm

    Beskrivning: Ett behörighetsproblem förekommer i Xterm. När det används med luit skapar Xterm tty-enheter som är åtkomliga för alla. Denna uppdatering åtgärdar problemet genom att Xterm begränsar behörigheterna så att tty-enheter endast är åtkomliga för användaren.

Important: Mention of third-party websites and products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the selection, performance or use of information or products found at third-party websites. Apple provides this only as a convenience to our users. Apple has not tested the information found on these sites and makes no representations regarding its accuracy or reliability. There are risks inherent in the use of any information or products found on the Internet, and Apple assumes no responsibility in this regard. Please understand that a third-party site is independent from Apple and that Apple has no control over the content on that website. Please contact the vendor for additional information.