Tento článek byl archivován a Apple ho nadále neaktualizuje.

Informace o bezpečnostním obsahu bezpečnostní aktualizace 2008-008 / Mac OS X v10.5.6

Tento dokument popisuje bezpečnostní obsah bezpečnostní aktualizace 2008-008 / Mac OS X v10.5.6, který jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Bezpečnostní aktualizace 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    K dispozici pro: Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Zobrazení nebo stažení souboru PDF obsahujícího škodlivé vložené písmo může vést k odmítnutí služby.

    Popis: Při zpracovávání vložených písem v souborech PDF serverem Apple Type Services může vzniknout nekonečná smyčka. Zobrazení nebo stažení souboru PDF obsahujícího škodlivé vložené písmo může vést k odmítnutí služby. Tato aktualizace řeší problém dalším ověřováním vložených písem. Tento problém se netýká systémů před Mac OS X v10.5. Poděkování za nahlášení problému zaslouží Michael Samarin a Mikko Vihonen ze společnosti Futurice Ltd.

  • BOM

    CVE-ID: CVE-2008-4217

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Stažení nebo zobrazení škodlivého archivu CPIO může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání hlaviček CPIO nástrojem BOM dochází k chybě signedness, která může vést k přetečení vyrovnávací paměti haldy. Stažení nebo zobrazení škodlivého archivu CPIO může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Aktualizace problém řeší dalším ověřováním hlaviček CPIO. Problém odhalil Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Zobrazení škodlivého obrázku může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání barevných prostorů v nástroji CoreGraphics dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého obrázku může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Problém odhalil Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Návštěva škodlivého webu může vést k prozrazení přihlašovacích údajů uživatele.

    Popis: Safari umožňuje webům nastavit soubory cookie pro domény nejvyšší úrovně specifické pro jednotlivé země, což může umožnit vzdálenému útočníkovi provést útok s fixací relace a odcizit přihlašovací údaje uživatele. Aktualizace problém řeší dalším ověřováním názvů domén. Poděkování za nahlášení problému zaslouží Alexander Clauss ze společnosti iCab.de.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    K dispozici pro: Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Pokus o spuštění nebezpečného staženého obsahu může vést k zobrazení upozornění.

    Popis: Mac OS X poskytuje funkci ověření stahování za účelem zjištění potenciálně nebezpečných souborů. Aplikace jako Safari a další používají ověření stahování k upozornění uživatelů před spuštěním souborů označených jako potenciálně nebezpečné. Tato aktualizace rozšiřuje seznam potenciálně nebezpečných typů. Přidává typ obsahu pro soubory, které mají oprávnění ke spuštění, ale nemají přidruženu konkrétní aplikaci. Tyto soubory jsou potenciálně nebezpečné, protože se otevřou v Terminálu a jejich obsah se spustí jako příkazy. I když se tyto soubory automaticky nespouštějí, při ručním otevření by mohly vést ke spuštění libovolného kódu. Tento problém nemá vliv na systémy před Mac OS X 10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Několik bezpečnostních slabin v modulu plug-in Adobe Flash Player.

    Popis: V modulu plug-in Adobe Flash Player existuje několik problémů. Ty nejzávažnější z nich mohou vést ke spuštění libovolného kódu při prohlížení škodlivé webové stránky. Problémy byly vyřešeny aktualizací modulu plug-in Flash Player na verzi 9.0.151.0. Další informace jsou k dispozici na webu společnosti Adobe na adrese http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    K dispozici pro: Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Místní uživatel může získat systémová oprávnění.

    Popis: V systémových voláních i386_set_ldt and i386_get_ldt dochází k problému s přetečením celých čísel, který může místnímu uživateli umožnit spuštění libovolného kódu se systémovými oprávněními. Aktualizace tyto problémy řeší vylepšením kontroly rozsahu. Tyto problémy nemají vliv na systémy PowerPC. Poděkování za nahlášení problémů zaslouží Richard van Eeden ze společnosti IOActive, Inc.

  • Kernel

    CVE-ID: CVE-2008-4219

    K dispozici pro: Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Spuštění spustitelného souboru, který propojuje dynamické knihovny v úložišti NFS, může vést k nečekanému vypnutí systému.

    Popis: Když program umístěný v úložišti NFS obdrží výjimku, může vzniknout nekonečná smyčka. To může vést k nečekanému vypnutí systému. Aktualizace problém řeší vylepšením zpracování výjimek. Poděkování za nahlášení problému zaslouží Ben Loer z univerzity Princeton.

  • Libsystem

    CVE-ID: CVE-2008-4220

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Aplikace používající rozhraní API inet_net_pton mohou být náchylné ke spuštění libovolného kódu nebo nečekanému ukončení aplikace.

    Popis: V rozhraní API inet_net_pton nástroje Libsystem dochází k přetečení celých čísel, což může vést ke spuštění libovolného kódu nebo nečekanému ukončení aplikace pomocí rozhraní API. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Toto rozhraní API není běžně voláno s nedůvěryhodnými daty a nejsou známy žádné případy zneužití tohoto problému. Tato aktualizace je poskytnuta za účelem zmírnění potenciálních útoků na aplikace za použití tohoto rozhraní API.

  • Libsystem

    CVE-ID: CVE-2008-4221

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Aplikace používající rozhraní API strptime mohou být náchylné ke spuštění libovolného kódu nebo nečekanému ukončení aplikace.

    Popis: V rozhraní API strptime nástroje Libsystem dochází k poškození paměti. Parsování škodlivého řetězce data může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením přidělení paměti. Problém odhalil Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Aplikace používající rozhraní API strfmon mohou být náchylné ke spuštění libovolného kódu nebo nečekanému ukončení aplikace.

    Popis: Při implementaci rozhraní API strfmon nástroje Libsystem dochází k násobnému přetečení celých čísel. Aplikace volající rozhraní strfmon s velkými hodnotami určitých polí celých čísel ve formátu argumentu řetězce se může nečekaně ukončit nebo způsobit spuštění libovolného kódu. Aktualizace tyto problémy řeší vylepšením kontroly rozsahu.

  • Managed Client

    CVE-ID: CVE-2008-4237

    K dispozici pro: Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Nastavení spravovaného spořiče obrazovky nejsou použita.

    Popis: Metoda, kterou software na spravovaném klientském systému instaluje konfigurační informace na hostitele, ne vždy správně identifikuje systém. Na chybně identifikovaném systému nejsou použita nastavení pro jednotlivé hostitele, včetně zámku spořiče obrazovky. Aktualizace tento problém řeší tím, že Spravovaný klient používá správnou identifikaci systému. Tento problém se netýká systémů s vestavěným Ethernetem. Poděkování za nahlášení problému zaslouží John Barnes ze společnosti ESRI a Trevor Lalish-Menagh ze společnosti Tamman Technologies, Inc.

  • network_cmds

    CVE-ID: CVE-2008-4222

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby, pokud je zapnuto Sdílení internetu.

    Popis: Při zpracovávání paketů TCP v natd může vzniknout nekonečná smyčka. Odesláním škodlivého paketu TCP se vzdálenému útočníkovi může podařit způsobit odmítnutí služby, pokud je zapnuto Sdílení internetu. Tato aktualizace problém řeší dalším ověřováním paketů TCP. Poděkování za nahlášení problému zaslouží Alex Rosenberg ze společnosti Ohmantics a Gary Teter ze společnosti Paizo Publishing.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    K dispozici pro: Mac OS X Server v10.5 až v10.5.5

    Dopad: Vzdálený útočník může získat přístup k funkcím pro správu serveru Podcast Producer.

    Popis: Na serveru Podcast Producer dochází k problému s obejitím ověření, který může umožnit neoprávněnému uživateli přístup k funkcím pro správu na serveru. Aktualizace problém řeší vylepšením správy omezení přístupu. Server Podcast Producer byl přidán v systému Mac OS X Server v10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 až v10.5.5, Mac OS X Server v10.5 až v10.5.5

    Dopad: Otevření souboru ISO může vést k neočekávanému vypnutí systému.

    Popis: Při zpracovávání chybných svazků UDF dochází k problému s ověřením vstupu. Otevření škodlivého souboru ISO může vést k neočekávanému vypnutí systému. Aktualizace problém řeší vylepšením ověřování vstupu. Poděkování za nahlášení problému zaslouží Mauro Notarianni ze společnosti PCAX Solutions.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: