Over beveiligingsupdate 2010-001

In dit document wordt beveiligingsupdate 2010-001 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2010-001

• CoreAudio

  CVE-ID: CVE-2010-0036

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: het afspelen van een kwaadwillig vervaardigd MP4-audiobestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er treedt een bufferoverloop op bij het verwerken van MP4-audiobestanden. Het afspelen van een kwaadwillig vervaardigd MP4-audiobestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Tobias Klein van trapkit.de voor het melden van dit probleem.

• CUPS

  CVE-ID: CVE-2009-3553

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: een externe aanvaller kan het onverwacht beëindigen van het programma cupsd veroorzaken

  Beschrijving: er bestaat een use-after-free-probleem in cupsd. Door het verzenden van een kwaadwillig vervaardigd verzoek 'get-printer-jobs' kan een aanvaller een externe denial of service veroorzaken. Dit probleem is beperkt door het automatisch opnieuw starten van cupsd na de beëindiging ervan. Dit probleem is opgelost door verbeterde tracering van het gebruik van een verbinding.

• Flash Player plug-in

  CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: meerdere kwetsbaarheden in Adobe Flash Player-plugin

  Beschrijving: de Adobe Flash Player-plugin wordt gekenmerkt door verschillende problemen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code als er een kwaadwillend vervaardigde website wordt geopend. De problemen zijn opgelost door de Flash Player-plugin bij te werken naar versie 10.0.42. Ga voor meer informatie naar de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb09-19.html Met dank aan een anonieme onderzoeker en Damian Put, in samenwerking met het Zero Day Initiative van TippingPoint, Bing Liu van Fortinet's FortiGuard Global Security Research Team, Will Dormann van CERT, Manuel Caballero en Microsoft Vulnerability Research (MSVR).

• ImageIO

  CVE-ID: CVE-2009-2285

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Impact: het bekijken van een kwaadwillig vervaardigd TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er is sprake van een bufferonderloop bij de verwerking van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2.

• Image RAW

  CVE-ID: CVE-2010-0037

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er is sprake van een bufferoverloop bij de verwerking van DNG-afbeeldingen door Image RAW. Het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Jason Carr van Carnegie Mellon University Computing Services voor het melden van dit probleem.

• OpenSSL

  CVE-ID: CVE-2009-3555

  Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gegevens bemachtigen of de bewerkingen wijzigen die worden uitgevoerd in sessies die zijn beveiligd met SSL

  Beschrijving: de protocollen SSL en TLS zijn gevoelig voor man-in-the-middle-aanvallen. Ga voor meer informatie naar http://www.phonefactor.com/sslgap Binnen de IETF wordt gewerkt aan een gewijzigd 'renegotiation'-protocol. Met deze update wordt 'renegotiation' uitgeschakeld in OpenSSL als een preventieve veiligheidsmaatregel. Het probleem is niet van toepassing op services die Secure Transport gebruiken, aangezien dat protocol geen ondersteuning biedt voor 'renegotiation'. Met dank aan Steve Dispensa en Marsh Ray van PhoneFactor, Inc. voor het melden van dit probleem.