Tento článek byl archivován a Apple ho nadále neaktualizuje.

O bezpečnostní aktualizaci 2009-005

Tento dokument popisuje bezpečnostní aktualizaci 2009-005.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Bezpečnostní aktualizace 2009-005

  • Alias Manager

    CVE-ID: CVE-2009-2800

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Otevření škodlivého souboru aliasu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání souborů aliasu dochází k přetečení vyrovnávací paměti. Otevření škodlivého souboru aliasu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.

  • CarbonCore

    CVE-ID: CVE-2009-2803

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Otevření souboru se škodlivým rozvětvením prostředků může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání rozvětvení prostředků v nástroji Resource Manager dochází k vícenásobnému poškození paměti. Otevření souboru se škodlivým rozvětvením prostředků může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Aktualizace problém řeší vylepšením ověřování rozvětvení prostředků. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.

  • ClamAV

    CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    K dispozici pro: Mac OS X Server v10.5.8

    Dopad: Několik bezpečnostních slabin v nástroji ClamAV 0.94.2.

    Popis: Ve verzi ClamAV 0.94.2 existuje několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Aktualizace problémy řeší aktualizací ClamAV na verzi 0.95.2. Nástroj ClamAV je distribuován pouze v systémech s Mac OS X Server. Další informace jsou k dispozici na webu ClamAV na adrese http://www.clamav.net/. Tyto problémy se netýkají systémů Mac OS X v10.6.

  • ColorSync

    CVE-ID: CVE-2009-2804

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Zobrazení škodlivého souboru obrázku s vloženým profilem ColorSync může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků s vloženým profilem ColorSync dochází k přetečení celého čísla, což může vést k přetečení vyrovnávací paměti haldy. Při otevření škodlivého obrázku s vloženým profilem ColorSync může dojít k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace problém řeší dalším ověřováním profilů ColorSync. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.

  • CoreGraphics

    CVE-ID: CVE-2009-2805

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Otevření škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Přetečení celého čísla při zpracování souborů PDF v nástroji CoreGraphics může vést k přetečení vyrovnávací paměti haldy. Otevření souboru PDF obsahujícího škodlivý tok JBIG2 může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Will Dormann z týmu CERT/CC. Tento problém se netýká systémů Mac OS X v10.6.

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Návštěva škodlivého webu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při kreslení dlouhých textových řetězců dochází k přetečení vyrovnávací paměti haldy. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Will Drewry ze společnosti Google Inc.

  • CUPS

    CVE-ID: CVE-2009-0949

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Vzdálenému útočníkovi se může podařit odmítnout přístup ke službě Sdílení tiskáren.

    Popis: V nástroji CUPS dochází k problému s přístupem přes nulový ukazatel. Opakovaným odesíláním škodlivých požadavků plánovače se může vzdálenému útočníkovi podařit odmítnout přístup ke službě Sdílení tiskáren. Aktualizace problém řeší vylepšením ověřování požadavků plánovače. Tento problém se netýká systémů Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Anibal Sacco z týmu CORE IMPACT Exploit Writing Team (EWT) ve společnosti Core Security Technologies.

  • CUPS

    CVE-ID: CVE-2009-2807

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Místní uživatel bez oprávnění může získat systémová oprávnění.

    Popis: V USB backendu CUPS dochází k přetečení vyrovnávací paměti haldy. Místní uživatel tak může získat systémová oprávnění. Aktualizace tento problém řeší vylepšením kontroly rozsahu. Tento problém se netýká systémů před Mac OS X v10.5 nebo Mac OS X v10.6.

  • Flash Player plug-in

    .

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: Multiple vulnerabilities in Adobe Flash Player plug-in

    Description: Multiple issues exist in the Adobe Flash Player plug-in, the most serious of which may lead to arbitrary code execution when viewing a maliciously crafted web site. The issues are addressed by updating the Flash Player plug-in on Mac OS v10.5.8 to version 10.0.32.18, and to version 9.0.246.0 on Mac OS X v10.4.11 systems. For Mac OS X v10.6 systems, these issues are addressed in Mac OS X v10.6.1. Further information is available via the Adobe web site at http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID: CVE-2009-2809

    K dispozici pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Zobrazení škodlivého obrázku TIFF s kódováním PixarFilm může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků TIFF s kódováním PixarFilm v nástroji ImageIO dochází k vícenásobnému poškození paměti. Zobrazení škodlivého obrázku TIFF s kódováním PixarFilm může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Aktualizace problém řeší dalším ověřováním obrázků TIFF s kódováním PixarFilm. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.

  • Launch Services

    CVE-ID: CVE-2009-2811

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Pokus o otevření nebezpečného staženého obsahu může zobrazit upozornění.

    Popis: Tato aktualizace přidává soubor .fileloc na systémový seznam typů obsahu, které budou za určitých podmínek, například v případě stažení z e-mailu, označeny jako potenciálně nebezpečné. I když se tyto typy obsahu automaticky neotevírají, při ručním otevření by mohly vést ke spuštění škodlivého datového souboru. Tato aktualizace zlepšuje schopnost systému upozornit uživatele před manipulací se soubory .fileloc. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.

  • Launch Services

    CVE-ID: CVE-2009-2812

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Návštěva škodlivého webu může vést ke spuštění libovolného kódu.

    Popis: V případě stažení aplikace rozhraní Launch Services analyzuje exportované typy dokumentů. Problém návrhu při manipulaci s exportovanými typy dokumentů může způsobit, že rozhraní Launch Services přidruží příponu bezpečného souboru k nebezpečnému identifikátoru UTI (Uniform Type Identifier). Návštěva škodlivého webu může způsobit automatické otevření nebezpečného typu souboru. Aktualizace tento problém řeší vylepšením manipulace s typy exportovaných dokumentů z nedůvěryhodných aplikací. Tento problém se netýká systémů před Mac OS X v10.5 nebo Mac OS X v10.6. Problém odhalil Apple.

  • MySQL

    .

    Available for: Mac OS X Server v10.5.8

    Impact: MySQL is updated to version 5.0.82

    Description: MySQL is updated to version 5.0.82 to address an implementation issue that allows a local user to obtain elevated privileges. This issue only affects Mac OS X Server systems. This issue does not affect Mac OS X v10.6 systems. Further information is available via the MySQL web site at http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    K dispozici pro: Mac OS X v10.5, Mac OS X Server v10.5.8

    Dopad: Několik bezpečnostních slabin v PHP 5.2.8.

    Popis: PHP je aktualizováno na verzi 5.2.10, která řeší několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Další informace jsou k dispozici na webu PHP na adrese http://www.php.net/. Tyto problémy se netýkají systémů Mac OS X v10.6.

  • SMB

    CVE-ID: CVE-2009-2813

    K dispozici pro Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Povolení služby sdílení souborů systému Windows může způsobit neočekávané sdílení složek.

    Popis: V Sambě existuje nezkontrolovaný chybový stav. Uživatel, který nemá nakonfigurovaný domovský adresář a připojí se ke službě sdílení souborů systému Windows, získá podle oprávnění místního systému souborů přístup k obsahu tohoto systému. Aktualizace tento problém řeší vylepšením manipulace s chybami vyřešení cesty. Tento problém se netýká systémů před Mac OS X v10.5 nebo Mac OS X v10.6. Poděkování za nahlášení problému zaslouží J. David Hester z organizace LCG Systems National Institutes of Health.

  • Wiki Server

    CVE-ID: CVE-2009-2814

    K dispozici pro: Mac OS X Server v10.5.8

    Dopad: Vzdálený útočník může získat přístup k uživatelským účtům Wiki Serveru.

    Popis: Při zpracovávání požadavků na vyhledávání s daty kódovanými v jiném formátu než UTF-8 Wiki Serverem dochází k problému se skriptováním napříč weby. Vzdálený útočník tak může získat přístup k Wiki Serveru pomocí oprávnění uživatele, který provádí vyhledávání. Aktualizace problém řeší nastavením UTF-8 jako výchozí sady znaků v odpovědích HTTP. Tento problém se netýká systémů před Mac OS X v10.5 nebo Mac OS X v10.6. Problém odhalil Apple.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: