O obsahu bezpečnostní aktualizace 2009-001

Tento dokument popisuje bezpečnostní aktualizaci 2009-001, kterou jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Bezpečnostní aktualizace 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Uživateli s možností připojení k serveru AFP se může podařit spustit odmítnutí služby.

    Popis: Problém se souběhem na serveru AFP může vést k nekonečné smyčce. Výčet souborů na serveru AFP může vést k odmítnutí služby. Aktualizace tento problém řeší vylepšením logiky výčtu souborů. Problém se týká pouze systémů s Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Otevření škodlivého souboru filmu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání souborů filmu pomocí kodeku Pixlet dochází k vícenásobnému poškození paměti. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Problém odhalil Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Otevření souboru se škodlivým rozvětvením prostředků může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání rozvětvení prostředků v nástroji Resource Manager dochází k vícenásobnému poškození paměti. Otevření souboru se škodlivým rozvětvením prostředků může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Aktualizace problém řeší vylepšením ověřování rozvětvení prostředků. Problém odhalil Apple.

  • CFNetwork

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Obnoví řádné fungování souborů cookie s dobou vypršení platnosti null.

    Popis: Tato aktualizace řeší jinou než bezpečnostní regresi v systému Mac OS X 10.5.6. Soubory cookie nemusí být správně nastaveny, pokud se web pokusí o nastavení souboru cookie relace zadáním hodnoty null do pole vypršení platnosti namísto vynechání tohoto pole. Aktualizace problém řeší ignorováním pole vypršení platnosti, pokud obsahuje hodnotu null.

  • CFNetwork

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Obnoví řádné fungování souborů cookie relace napříč aplikacemi.

    Popis: Tato aktualizace řeší jinou než bezpečnostní regresi v systému Mac OS X 10.5.6. CFNetwork nemusí uložit soubory cookie na disk, pokud se více otevřených aplikací pokusí nastavit soubory cookie relace. Aktualizace problém řeší zajištěním, že každá aplikace uchovává své soubory cookie relace zvlášť.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Místní uživatel může manipulovat se soubory s oprávněními jiného uživatele, který spustil Certificate Assistant.

    Popis: Při manipulaci s dočasnými soubory v nástroji Certificate Assistant dochází k nezabezpečené operaci se soubory. Místní uživatel by tak mohl přepsat soubory s oprávněními jiného uživatele, který spustil Certificate Assistant. Aktualizace problém řeší vylepšením správy dočasných souborů. Tento problém nemá vliv na systémy před Mac OS X v10.5. Poděkování: Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    K dispozici pro: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Dopad: Několik bezpečnostních slabin v nástroji ClamAV 0.94.

    Popis: Ve verzi ClamAV 0.94 existuje několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Aktualizace problémy řeší aktualizací ClamAV na verzi 0.94.2. Nástroj ClamAV je distribuován pouze v systémech s Mac OS X Server. Další informace jsou k dispozici na webu ClamAV na adrese http://www.clamav.net/ .

  • CoreText

    CVE-ID: CVE-2009-0012

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Zobrazení škodlivého obsahu Unicode může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání řetězců Unicode v nástroji CoreText může dojít k přetečení mezipaměti haldy. Používání nástroje CoreText k manipulaci se škodlivými řetězci Unicode, například při prohlížení škodlivého webu, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém se netýká systémů před Mac OS X v10.5. Poděkování za nahlášení problému zaslouží Rosyna ze společnosti Unsanity.

  • CUPS

    CVE-ID: CVE-2008-5183

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace.

    Popis: Překročení maximálního počtu předplatných RSS má za následek problém s přístupem přes nulový ukazatel ve webovém rozhraní CUPS. To může vést k neočekávanému ukončení aplikace při návštěvě škodlivého webu. Ke spuštění tohoto problému musí útočník buď znát platná uživatelská oprávnění, nebo tyto údaje musí být uloženy ve webovém prohlížeči uživatele. Po spuštění tohoto problému se CUPS automaticky restartuje. Aktualizace problém řeší řádným zpracováním počtu předplatných RSS. Tento problém nemá vliv na systémy před Mac OS X 10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Hesla poskytnutá nástroji dscl jsou zveřejněna dalším místním uživatelům.

    Popis: Nástroj příkazového řádku dscl vyžadoval předání hesel v argumentech, což mohlo vést k odhalení hesel dalším místním uživatelům. Odhalena byla hesla uživatelů i správců. Aktualizace mění parametr hesla na nepovinný. Pokud příkaz dscl bude vyžadovat heslo, řekne si o něj. Problém odhalil Apple.

  • fetchmail

    .

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impact: Multiple vulnerabilities in fetchmail 6.3.8

    Description: Multiple vulnerabilities exist in fetchmail 6.3.8, the most serious of which may lead to a denial of service. This update addresses the issues by updating to version 6.3.9. Further information is available via the fetchmail web site at http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Ostatní místní uživatelé mohou mít přístup ke složce se staženými soubory.

    Popis: V nástroji Folder Manager dochází k problému s výchozími oprávněními. Když uživatel odstraní svoji složku se staženými soubory a nástroj Folder Manager ji znovu vytvoří, je složka vytvořena s oprávněními ke čtení pro všechny. Aktualizace problém řeší tím, že Folder Manager omezí oprávnění tak, aby byla složka přístupná pouze danému uživateli. Tento problém se týká pouze aplikací, které používají Folder Manager. Problém se netýká systémů před Mac OS X v10.5. Poděkování za nahlášení problému zaslouží Graham Perrin z týmu CENTRIM, University of Brighton.

  • FSEvents

    CVE-ID: CVE-2009-0015

    K dispozici pro Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Pomocí prostředí FSEvents může místní uživatel vidět aktivitu systému souborů, která by jinak nebyla k dispozici.

    Popis: V prostředí fseventsd dochází k problému se správou pověření. Pomocí prostředí FSEvents může místní uživatel vidět aktivitu systému souborů, která by jinak nebyla k dispozici. Patří sem název adresáře, který by uživatel jinak neviděl, a detekce aktivity v tomto adresáři v daném čase. Aktualizace problém řeší vylepšením ověřování pověření v prostředí fseventsd. Tento problém se netýká systémů před Mac OS X v10.5. Poděkování za nahlášení problému zaslouží Mark Dalrymple.

  • Network Time

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Konfigurace služby Network Time byla aktualizována.

    Popis: V rámci proaktivního bezpečnostního opatření tato aktualizace změní výchozí konfiguraci služby Network Time. Informace o systémovém času a verzi již nebudou k dispozici ve výchozí konfiguraci ntpd. Když je povolena služba Network Time, v systémech Mac OS X v10.4.11 se nová konfigurace projeví po restartování systému.

  • perl

    CVE-ID: CVE-2008-1927

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Použití regulárních výrazů obsahujících znaky UTF-8 může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání určitých znaků UTF-8 v regulárních výrazech dochází k poškození paměti. Parsování škodlivých regulárních výrazů může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace problém řeší dalším ověřováním regulárních výrazů.

  • Printing

    CVE-ID: CVE-2009-0017

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Místní uživatel může získat systémová oprávnění.

    Popis: V příkazu csregprinter dochází k problému se zpracováním chyb, což může vést k přetečení vyrovnávací paměti haldy. Místní uživatel tak může získat systémová oprávnění. Aktualizace problém řeší vylepšením zpracování chyb. Poděkování za nahlášení problému zaslouží Lars Haulin.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Několik bezpečnostních slabin v pythonu.

    Popis: V pythonu existuje několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Aktualizace tyto problémy řeší použitím oprav z projektu pythonu.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Odesílání Remote Apple Events může vést k prozrazení citlivých informací.

    Popis: Na serveru Remote Apple Events dochází k problému s neinicializovanou vyrovnávací paměti, což může vést k prozrazení obsahu paměti síťovým klientům. Aktualizace tento problém řeší řádnou inicializací paměti. Problém odhalil Apple.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Povolení Remote Apple Events může vést k neočekávanému ukončení aplikace nebo prozrazení citlivých informací.

    Popis: V Remote Apple Events dochází ke čtení paměti mimo rozsah. Povolení Remote Apple Events můžete vést k neočekávanému ukončení aplikace nebo prozrazení citlivých informací síťovým klientům. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Problém odhalil Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Přístup ke škodlivé adrese URL kanálu může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci s adresami URL kanálu v Safari dochází k několika problémům s ověřením vstupu. Problémy umožňují spuštění libovolného JavaScriptu v místní zóně zabezpečení. Aktualizace tento problém řeší vylepšením zpracování adres JavaScriptu vloženého v adresách URL kanálu. Poděkování za nahlášení problému zaslouží Clint Ruoho z týmu Laconic Security, Billy Rios ze společnosti Microsoft, a Brian Mastenbrook.

  • servermgrd

    CVE-ID: CVE-2009-0138

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Vzdálení útočníci mohou získat přístup k nástroji Server Manager bez platných pověření.

    Popis: Problém s ověřením pověření v nástroji Server Manager by mohl vzdálenému útočníkovi umožnit změnit konfiguraci systému. Aktualizace problém řeší provedením dodatečného ověření pověření. Tento problém nemá vliv na systémy před Mac OS X v10.5. Poděkování: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    K dispozici pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Připojení ke škodlivému systému souborů SMB může vést k neočekávanému vypnutí systému nebo spuštění libovolného kódu se systémovými oprávněními.

    Popis: Přetečení celých čísel v systému souborů SMB může vést k přetečení vyrovnávací paměti haldy. Připojení ke škodlivému systému souborů může vést k neočekávanému vypnutí systému nebo spuštění libovolného kódu se systémovými oprávněními. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém nemá vliv na systémy před Mac OS X v10.5. Poděkování: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Připojení ke škodlivému souborovému serveru SMB může vést k neočekávanému vypnutí systému.

    Popis: Při manipulaci s názvy systému souborů v systému souborů SMB dochází k vyčerpání paměti. Připojení ke škodlivému souborovému serveru SMB může vést k neočekávanému vypnutí systému. Aktualizace problém řeší omezením množství paměti přidělené klientem pro názvy systému souborů. Problém odhalil Apple.

  • SquirrelMail

    .

    Available for: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Impact: Multiple vulnerabilities in SquirrelMail

    Description: SquirrelMail is updated to version 1.4.17 to address several vulnerabilities, the most serious of which is a cross-site scripting issue. Further information is available via the SquirrelMail web site at http://www.SquirrelMail.org/

  • X11

    .

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Impact: Multiple vulnerabilities in X11 server

    Description: Multiple vulnerabilities exist in X11 server. The most serious of these may lead to arbitrary code execution with the privileges of the user running the X11 server, if the attacker can authenticate to the X11 server. This update addresses the issues by applying the updated X.Org patches. Further information is available via the X.Org website at http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    K dispozici pro Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Dopad: Několik bezpečnostních slabin v nástroji FreeType v2.1.4.

    Popis: V nástroji FreeType v2.1.4 existuje několik bezpečnostních slabin. Nejzávažnější z nich může vést ke spuštění libovolného kódu při zpracovávání škodlivého písma. Aktualizace problémy řeší začleněním bezpečnostních oprav ze součásti FreeType verze 2.3.6. Další informace naleznete na webu FreeType na adrese http://www.freetype.org/. Problémy jsou již vyřešeny v systémech s Mac OS X v10.5.6.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    K dispozici pro Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Dopad: Několik bezpečnostních slabin v nástroji LibX11.

    Popis: V nástroji LibX11 existuje několik bezpečnostních slabin. Nejzávažnější z nich může vést ke spuštění libovolného kódu při zpracovávání škodlivého písma. Aktualizace tyto problémy řeší použitím aktualizovaných oprav X.Org. Další informace jsou k dispozici na webu X.Org na adrese http://www.x.org/wiki/Development/Security. Tyto problémy se netýkají systémů s Mac OS X v10.5 nebo novějším.

  • XTerm

    CVE-ID: CVE-2009-0141

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Dopad: Místní uživatel může odesílat informace přímo do nástroje Xterm jiného uživatele.

    Popis: V nástroji Xterm dochází k problému s oprávněními. Při použití s luit Xterm vytváří zařízení tty, ke kterým mají přístup všichni. Aktualizace problém řeší tím, že Xterm omezí oprávnění tak, aby zařízení tty byla dostupná pouze danému uživateli.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: