關於安全性更新 2010-001

本文說明安全性更新 2010-001，可透過「軟體更新」偏好設定，或是從 Apple「下載項目」下載並安裝。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，CVE ID 會用來參考安全漏洞，以取得進一步資訊。

若要了解其他安全性更新，請參閱「Apple 安全性更新」。

安全性更新 2010-001

• CoreAudio

  CVE-ID：CVE-2010-0036

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

  影響：播放惡意製作的 MP4 音訊檔案可能導致應用程式意外終止或執行任意程式碼

  說明：處理 MP4 音訊檔案時有緩衝區溢位問題。播放惡意製作的 MP4 音訊檔案可能會導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後，已解決問題。感謝 trapkit.de 的 Tobias Klein 回報此問題。

• CUPS

  CVE-ID：CVE-2009-3553

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

  影響：遠端攻擊者可能導致 cupsd 應用程式意外終止

  說明：cupsd 有使用已釋放記憶體問題。攻擊者可能會提出惡意製作的取得印表機作業要求，導致遠端阻斷服務。藉由終止 cupsd 後自動重新啟動，已緩解此問題的影響。改進連線使用追蹤後，已解決問題。

• Flash Player plug-in

  CVE-ID：CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

  影響：Adobe Flash Player 外掛模組有多個漏洞

  說明：Adobe Flash Player 外掛模組有多個漏洞，最嚴重者可能導致在檢視惡意製作的網站時執行任意程式碼。將 Flash Player 外掛模組更新至 10.0.42 後，已解決問題。如需詳細資訊，請造訪 Adobe 網站 https://www.adobe.com/support/security/bulletins/apsb09-19.html。感謝匿名研究員和 Damian Put（與 TippingPoints Zero Day Initiative 合作）、Fortinet's FortiGuard Global Security Research Team 的 Bing Liu、CERT 的 Will Dormann、Manuel Caballero 和 Microsoft Vulnerability Research（MSVR）。

• ImageIO

  CVE-ID：CVE-2009-2285

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8

  影響：檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼

  說明：ImageIO 處理 TIFF 影像時有緩衝區溢位問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後，已解決問題。針對 Mac OS X v10.6 系統，已在 Mac OS X v10.6.2 中解決問題。

• Image RAW

  CVE-ID：CVE-2010-0037

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

  影響：檢視惡意製作的 DNG 影像可能導致應用程式意外終止或執行任意程式碼

  說明：Image RAW 處理 DNG 影像時有緩衝區溢位問題。檢視惡意製作的 DNG 影像可能導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後，已解決問題。感謝 Carnegie Mellon University Computing Services 的 Jason Carr 回報此問題。

• OpenSSL

  CVE-ID：CVE-2009-3555

  適用於：Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

  影響：具有網路特殊權限的攻擊者可能會擷取資料或變更採用 SSL 保護機制工作階段中執行的運作

  說明：SSL 和 TLS 通訊協定中有攔截式漏洞。如需詳細資訊，請造訪 https://www.phonefactor.com/sslgap。IETF 內部正在進行重新協議通訊協定的異動。這項更新會停用 OpenSSL 的重新協議，作為預防性安全措施。此問題不會影響使用安全傳輸的服務，因為該通訊協定不支援重新協議。感謝 PhoneFactor, Inc. 的 Steve Dispensa 和 Marsh Ray 回報此問題。