Om sikkerhetsoppdatering 2009-005
Dette dokumentet er en beskrivelse av sikkerhetsoppdatering 2009-005.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.»
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.
Sikkerhetsoppdatering 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Åpning av en skadelig aliasfil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det foreligger en bufferoverflyt i håndteringen av aliasfiler. Åpning av en skadelig aliasfil kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Problemet påvirker ikke Mac OS X v10.6-systemer. Kreditert: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Åpning av en fil med en skadelig ressursdel kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det er et problem med skadet minne i Resource Managers håndtering av ressursdeler. Åpning av en fil med en skadelig ressursdel kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret validering av ressursdeler. Problemet påvirker ikke Mac OS X v10.6-systemer. Kreditert: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Tilgjengelig for: Mac OS X Server v10.5.8
Virkning: Flere sårbarheter i ClamAV 0.94.2
Beskrivelse: Det er mange sårbarheter i ClamAV 0.94.2, og den alvorligste kan forårsake utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å oppdatere ClamAV til versjon 0.95.2. ClamAV distribueres bare sammen med Mac OS X Server-systemer. Ytterligere informasjon er tilgjengelig på ClamAV-nettstedet på http://www.clamav.net/ Disse problemene gjelder ikke for Mac OS X v10.6-systemer.
ColorSync
CVE-ID: CVE-2009-2804
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Åpning av et skadelig bilde med innebygd ColorSync-profil, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det finnes en heltallsoverflyt i håndteringen av bilder med innebygd ColorSync-profil, som kan føre til en heap-bufferoverflyt. Åpning av et skadelig bilde med innebygd ColorSync-profil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av ColorSync-profiler. Problemet påvirker ikke Mac OS X v10.6-systemer. Kreditert: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Heltallsoverflyt i håndteringen av PDF-filer i CoreGraphics kan føre til heap-bufferoverflyt. Åpning av en PDF-fil som inneholder en skadelig JBIG2-strøm, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Will Dormann fra CERT/CC for rapportering av dette problemet. Problemet påvirker ikke Mac OS X v10.6-systemer.
CoreGraphics
CVE-ID: CVE-2009-2468
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Besøk på et skadelig nettsted kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det oppstår en heap-bufferoverflyt i tegningen av lange tekststrenger. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Problemet påvirker ikke Mac OS X v10.6-systemer. Takk til Will Drewry hos Google Inc. for rapportering av dette problemet.
CUPS
CVE-ID: CVE-2009-0949
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: En ekstern angriper kan sperre tilgang til Skriverdeling-tjenesten
Beskrivelse: Det finnes en nullpeker-dereferanse i CUPS. Ved å sende skadelige planleggerforepørsler gjentatte ganger kan en ekstern angriper sperre tilgang til Skriverdeling-tjenesten. Denne oppdateringen løser problemet ved forbedret validering av planleggerforespørsler. Problemet påvirker ikke Mac OS X v10.6-systemer. Takk til Anibal Sacco fra CORE IMPACT Exploit Writing Team (EWT) ved Core Security Technologies for rapportering av dette problemet.
CUPS
CVE-ID: CVE-2009-2807
Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: En lokal bruker uten rettigheter kan oppnå systemrettigheter
Beskrivelse: Det foreligger heap-bufferoverflyt i CUPS' USB-sluttbehandling. Dette kan føre til at en lokal bruker får systemrettigheter. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Problemet påvirker ikke systemer før Mac OS X v10.5 eller Mac OS X v10.6-systemer.
Flash Player plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Flere sårbarheter i Adobe Flash Player-pluginmodulen
Beskrivelse: Det er flere problemer med Adobe Flash Player-pluginmodulen, og den alvorligste kan føre at vilkårlig kode utføres ved visning av et skadelig nettsted. Problemene løses ved oppdatering av Flash Player-pluginmodulene på Mac OS v10.5.8 til versjon 10.0.32.18 og til versjon 9.0.246.0 på Mac OS X v10.4.11-systemer. For Mac OS X v10.6-systemer løses disse problemene i Mac OS X v10.6.1. Ytterligere informasjon er tilgjengelig via Adobes-nettsted på http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Visning av et skadelig PixarFilm-kodet TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det finnes flere problemer med skadet minne i ImageIOs håndtering av PixarFilm-kodede TIFF-bilder. Visning av et skadelig PixarFilm-kodet TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved hjelp av ekstra kontroll av PixarFilm-kodede TIFF-bilder. Problemet påvirker ikke Mac OS X v10.6-systemer. Kreditert: Apple.
Launch Services
CVE-ID: CVE-2009-2811
Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Forsøk på åpning av usikkert nedlastet innhold fører kanskje ikke til noen advarsel
Beskrivelse: Denne oppdateringen legger til .fileloc i listen over innholdstyper som skal merkes som potensiell risiko under visse omstendigheter, for eksempel når de lastes ned fra en e-postmelding. Selv om denne typen innhold ikke åpnes automatisk, kan den føre til skadelig nyttelast hvis den blir åpnet manuelt. Denne oppdateringen forbedrer systemets mulighet til å varsle brukere før de håndterer .fileloc-filer. Problemet påvirker ikke Mac OS X v10.6-systemer. Kreditert: Apple.
Launch Services
CVE-ID: CVE-2009-2812
Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Når et program lastes ned, analyseres programmets eksporterte dokumenttyper av Launch Services. Et designproblem i håndtering av eksporterte dokumenttyper kan føre til at Launch Services tilordner en sikker filendelse med en usikker UTI (Uniform Type Identifier). Besøk på et skadelig nettsted kan føre til at en usikker filtype åpnes automatisk. Denne oppdateringen løser problemet med forbedret håndtering av eksporterte dokumenttyper fra ikke godkjente programmer. Problemet påvirker ikke systemer før Mac OS X v10.5 eller Mac OS X v10.6-systemer. Kreditert: Apple.
MySQL
CVE-ID: CVE-2008-2079
Tilgjengelig for: Mac OS X Server v10.5.8
Virkning: MySQL oppdateres til versjon 5.0.82
Beskrivelse: MySQL oppdateres til versjon 5.0.82 for å løse et implementeringsproblem som lar en bruker få utvidede rettigheter. Problemet berører bare Mac OS X Server-systemer. Problemet påvirker ikke Mac OS X v10.6-systemer. Ytterligere informasjon er tilgjengelig via MySQL-nettstedet på http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Tilgjengelig for: Mac OS X v10.5, Mac OS X Server v10.5.8
Virkning: Flere sårbarheter i PHP 5.2.8
Beskrivelse: PHP oppdateres til versjon 5.2.10 for å rette flere sårbarheter, der den mest alvorlige kan føre til at vilkårlig kode utføres. Ytterligere informasjon er tilgjengelig på PHP-nettstedet på http://www.php.net/ Disse problemene gjelder ikke for Mac OS X v10.6-systemer.
SMB
CVE-ID: CVE-2009-2813
Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Virkning: Aktivering av Fildeling i Windows kan dele filer uventet
Beskrivelse: Det finnes en ukontrollert feiltilstand i Samba. En bruker som ikke har konfigurert en Hjem-katalog, og kobler seg til tjenesten Fildeling i Windows, kan få tilgang til innholdet i filsystemet avhengig av lokale filsystemtillatelser. Denne oppdateringen løser problemet ved å forbedre håndteringen av baneløsningsfeil. Problemet påvirker ikke systemer før Mac OS X v10.5 eller Mac OS X v10.6-systemer. Takk til J. David Hester fra LCG Systems National Institutes of Health for rapportering av dette problemet.
Wiki Server
CVE-ID: CVE-2009-2814
Tilgjengelig for: Mac OS X Server v10.5.8
Virkning: En ekstern angriper kan få tilgang til Wiki Server-brukerkontoer
Beskrivelse: Det er et problem med skripting mellom websteder i Wiki Servers håndtering av søkeforespørsler som inneholder data som ikke er UTF-8-kodet. Det kan tillate at en ekstern angriper får tilgang til en Wiki-server med påloggingsinformasjonen til Wiki Server-brukeren som utfører søket. Denne oppdateringen løser problemet ved å angi UTF-8 som standardtegnsett i HTTP-svar. Problemet påvirker ikke systemer før Mac OS X v10.5 eller Mac OS X v10.6-systemer. Kreditert: Apple.
Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.