O bezpečnostní aktualizaci 2010-001

Tento dokument popisuje bezpečnostní aktualizaci 2010-001, kterou jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Bezpečnostní aktualizace 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dopad: Přehrání škodlivého zvukového souboru ve formátu mp4 může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání zvukových souborů ve formátu mp4 dochází k přetečení vyrovnávací paměti. Přehrání škodlivého zvukového souboru ve formátu mp4 může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Tobias Klein z trapkit.de.

  • CUPS

    CVE-ID: CVE-2009-3553

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dopad: Vzdálený útočník může způsobit neočekávané ukončení aplikace pro cupsd.

    Popis: V cupsd dochází k problému s použitím paměti po uvolnění. Vydáním škodlivého požadavku get-printer-jobs může útočník způsobit vzdálené odmítnutí služby. Tento problém je vyřešen automatickým restartováním nástroje cupsd po ukončení. Dále je vylepšeno sledování využití připojení.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dopad: Několik bezpečnostních slabin v modulu plug-in Adobe Flash Player.

    Popis: V modulu plug-in Adobe Flash Player existuje několik problémů. Ty nejzávažnější z nich mohou vést ke spuštění libovolného kódu při prohlížení škodlivé webové stránky. Problémy byly vyřešeny aktualizací modulu plug-in Flash Player na verzi 10.0.42. Další informace jsou k dispozici na webu Adobe na adrese http://www.adobe.com/support/security/bulletins/apsb09-19.html. Poděkování za nahlášení problému zaslouží anonymní výzkumník a Damian Put ve spolupráci s iniciativou TippingPoints Zero Day Initiative, Bing Liu z týmu FortiGuard Global Security Research Team společnosti Fortinet, Will Dormann ze společnosti CERT, Manuel Caballero a tým Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dopad: Zobrazení škodlivého obrázku TIFF mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků TIFF v nástroji ImageIO dochází k podtečení vyrovnávací paměti. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. U systémů Mac OS X v10.6 je tento problém vyřešen ve verzi Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dopad: Zobrazení škodlivého obrázku DNG může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracovávání obrázků DNG v nástroji Image RAW dochází k přetečení vyrovnávací paměti. Zobrazení škodlivého obrázku DNG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Jason Carr z Carnegie Mellon University Computing Services.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dopad: Útočník s privilegovanou pozicí v síti může zachytit data nebo změnit operace prováděné v relacích chráněných protokolem SSL.

    Popis: Protokoly SSL a TLS obsahují bezpečnostní slabinu typu man-in-the-middle. Další informace jsou k dispozici na webu http://www.phonefactor.com/sslgap. V IETF probíhá změna protokolu opětovného vyjednávání. Tato aktualizace v rámci preventivního bezpečnostního opatření zakazuje opětovné vyjednávání v OpenSSL. Problém nemá vliv na služby využívající Zabezpečený přenos, protože nepodporuje opětovné vyjednávání. Poděkování za nahlášení problému zaslouží Steve Dispensa a Marsh Ray ze společnosti PhoneFactor, Inc.

Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.

Datum zveřejnění: