Om sikkerhetsoppdatering 2010-001

Dette dokumentet er en beskrivelse av sikkerhetsoppdatering 2010-001, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Sikkerhetsoppdatering 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Avspilling av en skadelig mp4-lydfil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode utføres

    Beskrivelse: Det foreligger en bufferoverflyt i håndteringen av mp4-lydfiler. Avspilling av en skadelig mp4-lydfil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode utføres. Dette problemet løses ved forbedret grensekontroll. Takk til Tobias Klein hos trapkit.de for rapportering av dette problemet.

  • CUPS

    CVE-ID: CVE-2009-3553

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: En ekstern angriper kan forårsake at et program avslutter cupsd uventet

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i cupsd. Ved å sende en skadelig hent-skriver-forespørsel, kan en angriper forårsake en ekstern tjenestenekt. Dette løses gjennom automatisk omstart av cupsd etter at det er terminert. Dette problemet løses ved forbedret tilkoblingsbruk-sporing.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Flere sårbarheter i Adobe Flash Player-pluginmodulen

    Beskrivelse: Det er flere problemer med Adobe Flash Player-pluginmodulen, og den alvorligste kan føre at vilkårlig kode utføres ved visning av et skadelig nettsted. Problemene løses ved å oppdatere Flash Player pluginmodul til versjon 10.0.42. Mer informasjon er tilgjenglig på Adobe-nettstedet på http://www.adobe.com/support/security/bulletins/apsb09-19.html Takk til en anonym forsker og Damian Put som arbeider med TippingPoints Zero Day Initiative, Bing Liu fra Fortinet's FortiGuard Global Security Research Team, Will Dormann fra CERT, Manuel Caballero og Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger bufferunderflyt i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Dette problemet løses ved forbedret grensekontroll. For Mac OS X v10.6-systemer løses dette problemet i Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Visning av et skadelig DNG-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det finnes en buffer-overflyt i Image RAWs håndtering av DNG-bilder. Visning av et skadelig DNG-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Dette problemet løses ved forbedret grensekontroll. Takk til Jason Carr fra Carnegie Mellon University Computing Service for rapportering av dette problemet.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    En angriper med nettverksplassering med prioritet kan fange data eller endre oppgaver utført i sesjoner beskyttet av SSL

    Beskrivelse: Det eksisterer en Man-in-the-middle-sårbarhet i SSL- og TLS-protokollene. Ytterligere informasjon er tilgjengelig på http://www.phonefactor.com/sslgap Endring av gjenforhandlingsprotokollen er på vei i IETF. Denne oppdateringen deaktiverer gjenforhandlinger i OpenSSL som et forebyggende sikkerhetstiltak. Problemet omfatter ikke tjenester som bruker sikker transport siden det ikke støtter gjenforhandlinger. Takk til Steve Dispensa og Marsh Ray fra PhoneFactor, Inc. for rapportering av dette problemet.

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: