Informace o bezpečnostním obsahu aktualizace pro Mac OS X 10.4.7
Tento dokument popisuje bezpečnostní obsah aktualizace pro Mac OS X 10.4.7, který lze stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo na webu Apple se soubory ke stažení.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Aktualizace pro Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
K dispozici pro: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dopad: Názvy souborů a složek mohou být zpřístupněny neoprávněným uživatelům.
Popis: Problém na serveru AFP umožňuje, aby výsledky vyhledávání obsahovaly názvy souborů a složek, ke kterým uživatel provádějící vyhledávání nemá přístup. To by mohlo vést k odhalení informací, pokud jsou názvy citlivými informacemi. Tato aktualizace řeší tento problém tím, že zajišťuje, aby výsledky vyhledávání obsahovaly pouze položky, ke kterým má uživatel oprávnění. Tento problém nemá vliv na systémy starší než Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1989
K dispozici pro: Mac OS X Server v10.4.6
Dopad: Pokud je antivirová kontrola nakonfigurována na automatickou aktualizaci, může škodlivé zrcadlení databáze způsobit spuštění libovolného kódu.
Popis: Chyba v automatické aktualizaci virové databáze programu ClamAV může vést k přetečení vyrovnávací paměti. Škodlivé nebo falešné zrcadlení databáze ClamAV může způsobit spuštění libovolného kódu s oprávněními programu ClamAV. Poštovní služba, antivirová kontrola a automatická aktualizace virové databáze jsou ve výchozím nastavení vypnuty. Aktualizace tento problém řeší aktualizací programu ClamAV na verzi 0.88.2. Tento problém nemá vliv na systémy před Mac OS X v10.4.
ImageIO
CVE-ID: CVE-2006-1469
K dispozici pro: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dopad: Zobrazení škodlivého obrázku TIFF může vést k ukončení aplikace nebo spuštění libovolného kódu.
Popis: Propracovaným vytvořením škodlivého obrázku TIFF může útočník vyvolat přetečení vyrovnávací paměti, které může vést k pádu aplikace nebo spuštění libovolného kódu. Tato aktualizace řeší problém dalším ověřováním obrázků TIFF. Tento problém nemá vliv na systémy starší než Mac OS X 10.4.
launchd
CVE-ID: CVE-2006-1471
K dispozici pro: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dopad: Místní uživatelé můžou získat navýšená oprávnění.
Popis: Zranitelnost formátovacího řetězce v příznaku setuid v nástroji launchd může oprávněnému místnímu uživateli umožnit spuštění libovolného kódu s oprávněními systému. Tento problém se vyskytuje v protokolovacím zařízení nástroje launchd. Tato aktualizace řeší problém dalším ověřováním při protokolování zpráv. Tento problém se netýká systémů před Mac OS X 10.4. Poděkování za nahlášení tohoto problému zaslouží Kevin Finisterre z týmu DigitalMunition.
OpenLDAP
CVE-ID: CVE-2006-1470
K dispozici pro: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dopad: Vzdálení útočníci mohou způsobit pád serveru Open Directory.
Popis: Propracovaným vytvořením neplatného požadavku LDAP může vzdálený útočník vyvolat potvrzení na serveru OpenLDAP, což může vést k odepření služby. Tato aktualizace tento problém řeší tím, že neplatný požadavek zamítne. Tento problém se netýká systémů starších než Mac OS X 10.4. Poděkování za nahlášení zaslouží výzkumný tým Mu Security.