Informace o bezpečnostním obsahu bezpečnostní aktualizace 2010-002 / Mac OS X v10.6.3
Tento dokument popisuje bezpečnostní obsah bezpečnostní aktualizace 2010-002 / Mac OS X v10.6.3.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Bezpečnostní aktualizace 2010-002 / Mac OS X v10.6.3
AppKit
CVE-ID: CVE-2010-0056
K dispozici pro: 10.5.8, 10.5.8, Mac OS X v, Mac OS X Server v
Dopad: Kontrola pravopisu na škodlivém dokumentu může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při funkci kontroly pravopisu obrázků aplikace Cocoa dochází k přetečení vyrovnávací paměti. Kontrola pravopisu u škodlivého dokumentu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.
Application Firewall
CVE-ID: CVE-2009-2801
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Některá pravidla v aplikaci Firewall mohou být po restartování neaktivní.
Popis: Problém s načasováním v aplikaci Firewall může způsobit, že některá pravidla budou po restartování neaktivní. Problém byl vyřešen vylepšením zpracovávání pravidel aplikace Firewall. Tento problém se netýká systémů Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Michael Kisor z OrganicOrb.com.
AFP Server
CVE-ID: CVE-2010-0057
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Když je zakázán přístup jako host, vzdálený uživatel může mít možnost připojit sdílení položky AFP jako host.
Popis: Problém se řízením přístupu na serveru AFP může umožnit uživateli připojit vzdálené položky AFP jako host, přestože je přístup jako host zakázán. Problém byl vyřešen lepší kontrolou řízení přístupu. Problém odhalil Apple.
AFP Server
CVE-ID: CVE-2010-0533
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený uživatel s přístupem hosta ke sdílené položce AFP může přistupovat k obsahu celosvětově čitelných souborů mimo veřejně sdílenou položku.
Popis: Při ověřování cesty k položce AFP dochází k problému s procházením adresáře. Vzdálený uživatel může vytvořit výčet nadřazeného adresáře kořenové položky a číst nebo zapisovat soubory v tomto adresáři, které jsou přístupné uživateli „Nikdo“. Problém byl vyřešen vylepšením zpracovávání cest k souborům. Poděkování za nahlášení problému zaslouží Patrik Karlsson z cqure.net.
Apache
CVE-ID: CVE-2009-3095
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může být schopen obejít omezení řízení přístupu.
Popis: Dochází k problému s ověřením vstupu při zpracování proxy FTP požadavků ze strany Apache. Vzdálený útočník se schopností vydávat požadavky prostřednictvím serveru proxy může být schopen obejít omezení řízení přístupu zadaná v konfiguraci Apache. Problém byl vyřešen aktualizací Apache na verzi 2.2.14.
ClamAV
CVE-ID: CVE-2010-0058
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Definice viru ClamAV se nemusejí aktualizovat.
Popis: Problém s konfigurací zavedený v bezpečnostní aktualizaci 2009-005 brání spuštění nástroje freshclam. To může bránit aktualizaci definicí virů. Problém byl vyřešen aktualizací klíčových hodnot ProgramArguments v rámci souboru launchd plist nástroje freshclam. Tento problém se netýká systémů Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Bayard Bell a Wil Shipley ze společnosti Delicious Monster a David Ferrero ze společnosti Zion Software, LLC.
CoreAudio
CVE-ID: CVE-2010-0059
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Přehrání škodlivého audio obsahu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování audio obsahu kódovaného ve formátu QDM2 dochází k poškození paměti. Přehrávání škodlivého audio obsahu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
CoreAudio
CVE-ID: CVE-2010-0060
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Přehrání škodlivého audio obsahu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování audio obsahu kódovaného ve formátu QDMC dochází k poškození paměti. Přehrávání škodlivého audio obsahu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
CoreMedia
CVE-ID: CVE-2010-0062
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním H.263 v CoreMedia dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním H.263. Poděkování za nahlášení problému si zaslouží Damian Put a anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.
CoreTypes
CVE-ID: CVE-2010-0063
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Uživatelé nejsou varováni před otevřením potenciálně nebezpečných typů obsahu.
Popis: Tato aktualizace přidává položky .ibplugin a .url do seznamu typů obsahu, který je za určitých okolností označen za potenciálně nebezpečný, například když jsou tyto typy stahovány z webových stránek. I když se tyto typy obsahu automaticky nespouštějí, při ručním otevření by mohly vést ke spuštění škodlivého datového souboru JavaScript nebo libovolného kódu. Tahle aktualizace zlepšuje schopnost systému upozornit uživatele před manipulací s typy obsahu používanými prohlížečem Safari. Poděkování na nahlášení problému zaslouží Clint Ruoho ze společnosti Laconic Security.
CUPS
CVE-ID: CVE-2010-0393
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Místní uživatel může získat systémová oprávnění.
Popis: V nástroji lppasswd CUPS dochází k problému s formátem řetězců. Místní uživatel tak může získat systémová oprávnění. Systémů Mac OS X v10.6 se problém týká pouze v případě, že byl setuid bit nastaven na binární. Problém byl vyřešen použitím výchozích adresářů při spouštění procesu setuid. Poděkování za nahlášení problému zaslouží Ronald Volgers.
curl
CVE-ID: CVE-2009-2417
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Útočník provádějící útok typu man-in-the-middle může být schopen vydávat se za důvěryhodný server.
Popis: Dochází k problému s kanonizací znaků NULL v knihovně curl v poli Common Name (CN) certifikátů X.509 subjektu. To může vést k útokům man-in-the-middle proti uživatelům, kteří používají nástroj příkazového řádku curl, nebo aplikacím, které používají libcurl. Problém byl vyřešen prostřednictvím zlepšení zpracování znaků NULL.
curl
CVE-ID: CVE-2009-0037
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Použití curl s -L může vzdálenému útočníkovi umožnit číst nebo zapisovat místní soubory.
Popis: curl se bude držet přesměrování HTTP a HTTPS při použití s možností -L. Když se curl drží přesměrování umožňuje adresy URL file://. To může vzdálenému útočníkovi umožnit přístup k místním souborům. Tento problém byl vyřešen vylepšením ověřování přesměrování. Tento problém se netýká systémů Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Daniel Stenberg ze společnosti Haxx AB.
Cyrus IMAP
CVE-ID: CVE-2009-2632
K dispozici pro: Mac OS X Server v10.5.8
Dopad: Místní uživatel může získat oprávnění uživatele Cyrus.
Popis: Při zpracování skriptů sieve dochází k přetečení vyrovnávací paměti. Spuštěním škodlivého skriptu sieve může místní uživatel získat oprávnění uživatele Cyrus. Problém byl vyřešen vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6.
Cyrus SASL
CVE-ID: CVE-2009-0688
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Ověřený vzdálený útočník může způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: V ověřovacím modulu Cyrus SASL dochází k přetečení vyrovnávací paměti. Použití přihlášení Cyrus SASL může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6.
DesktopServices
CVE-ID: CVE-2010-0064
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Položkám zkopírovaným ve Finderu může být přiřazen neočekávaný vlastník souboru.
Popis: Při provádění ověřeného kopírování ve Finderu může být neočekávaně zkopírováno vlastnictví souboru. Aktualizace řeší tento problém zajištěním, že zkopírované soubory jsou vlastněny uživatelem, který provádí kopírování. Tento problém se netýká systémů starších než Mac OS X 10.6. Poděkování za nahlášení problému zaslouží Gerrit DeWitt z Auburn University (Auburn, Alabama, USA).
DesktopServices
CVE-ID: CVE-2010-0537
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může získat přístup k datům uživatele pomocí vícefázového útoku.
Popis: V nástroji DesktopServices dochází k problému s řešením cesty, proto vykazuje bezpečnostní slabinu vůči vícefázovým útkům. Vzdálený útočník musí nejprve přimět uživatele k připojení libovolně pojmenované položky, což lze provést pomocí schématu URL. Při ukládání souboru pomocí výchozího panelu pro ukládání v jakékoli a aplikaci a použití možnosti "Přijetí do položky“ nebo přetažení složky na panel pro ukládání mohou být data neočekávaně uložena na škodlivou položku. Problém byl vyřešen vylepšením řešení cesty. Tento problém se netýká systémů starších než Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Sidney San Martin ze společnosti DeepTech, Inc.
Disk Images
CVE-ID: CVE-2010-0065
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Připojení škodlivého obrazu disku mohlo vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání komprimovaných obrazů bzip2 disku dochází k více problémům s poškozením paměti. Připojení škodlivého obrazu disku může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Problém odhalil Apple.
Disk Images
CVE-ID: CVE-2010-0497
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Připojení škodlivého obrazu disku mohlo vést ke spuštění libovolného kódu.
Popis: Při zpracovávání obrazů disku s povoleným internetem dochází k problému s návrhem. Při připojení obrazu disku s povoleným internetem , který obsahuje typ souboru balíčku, se soubor otevře, místo aby se ukázal ve Finderu. Tato funkce karantény souborů pomáhá toto riziko snížit, protože u nebezpečných typů souborů ukáže varovné dialogové okno. Problém byl vyřešen prostřednictvím zlepšení zpracování typů souborů balíčků u obrazů disku s povoleným internetem. Poděkování za nahlášení problému zaslouží Brian Mastenbrook ve spolupráci se Zero Day Initiative společnosti TippingPoint.
Directory Services
CVE-ID: CVE-2010-0498
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Místní uživatel může získat systémová oprávnění.
Popis: Problém s oprávněními při zpracovávání názvů záznamů adresářovými službami může umožnit místnímu uživateli získat systémová oprávnění. Problém byl vyřešen lepší kontrolou oprávnění. Problém odhalil Apple.
Dovecot
CVE-ID: CVE-2010-0535
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Ověřený uživatel může být schopen odesílat a přijímat poštu, ačkoli uživatel není na seznamu SACL uživatelů, kteří to mají povoleno.
Popis: Když je povoleno ověřování Kerberos, dochází v nástroji Dovecot k problému s řízením přístupu. Kvůli němu může ověřený uživatel odesílat a přijímat poštu, ačkoli uživatel není na seznamu řízení přístupu ke službám (SACL) uživatelů, kteří to mají povoleno. Problém byl vyřešen lepší kontrolou řízení přístupu. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.
Event Monitor
CVE-ID: CVE-2010-0500
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může způsobit, že na černou listinu firewallu budou přidány libovolné systémy.
Popis: U vzdálených klientů ssh, u nichž se nezdaří ověření, je provedeno zpětné vyhledávání DNS. Při zpracovávání překladu názvů DNS, dochází k problému s vložením souboru plist. Kvůli tomu může vzdálený útočník způsobit, že na černou listinu firewallu budou přidány libovolné systémy. Tento problém byl vyřešen správným zakódováním přeložených názvů DNS. Problém odhalil Apple.
FreeRADIUS
CVE-ID: CVE-2010-0524
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může získat přístup k síti pomocí ověřování RADIUS.
Popis: Ve výchozí konfiguraci Mac OS X serveru FreeRADIUS dochází k problému s ověřením certifikátu. Vzdálený útočník může použít EAP-TLS s libovolným platným certifikátem k ověření a připojení k síti konfigurované k využívání ověřování FreeRADIUS. Problém byl vyřešen zakázáním podpory EAP-TLS v konfiguraci. Klienty RADIUS by měly namísto toho využívat EAP-TTLS. Tento problém se týká jenom systémů s Mac OS X Serverem. Poděkování za nahlášení problému zaslouží Chris Linstruth ze společnosti Qnet.
FTP Server
CVE-ID: CVE-2010-0501
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Uživatelé mohou být schopni načítat soubory mimo kořenový adresář FTP.
Popis: Na severu FTP dochází k problému s procházením adresáře. To může uživateli umožnit načítat soubory mimo kořenový adresář FTP. Problém byl vyřešen vylepšením zpracovávání názvů souborů. Tento problém se týká jenom systémů s Mac OS X Serverem. Problém odhalil Apple.
iChat Server
CVE-ID: CVE-2006-1329
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může být schopen způsobit odmítnutí služby.
Popis: Při zpracování vyjednávání SASL v nástroji jabberd dochází k problému s implementací. Vzdálený útočník může ukončit fungování nástroje jabberd. Problém byl vyřešen prostřednictvím zlepšení zpracování vyjednávání SASL. Tento problém se týká jenom systémů s Mac OS X Serverem.
iChat Server
CVE-ID: CVE-2010-0502
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Zprávy chatu nemusí být zaznamenány.
Popis: V podpoře serveru iChat pro konfigurovatelné zaznamenávání skupinových chatů může docházet k problému s návrhem. Server iChat pouze zaznamenává zprávy určitých typů. To může způsobit, že vzdálený uživatel pošle prostřednicím serveru zprávu, která nebude zaznamenána. Problém byl vyřešen odstraněním funkce zakázání záznamů skupinových chatů a zaznamenávány jsou všechny zprávy poslané přes server. Tento problém se týká jenom systémů s Mac OS X Serverem. Problém odhalil Apple.
iChat Server
CVE-ID: CVE-2010-0503
K dispozici pro: Mac OS X Server v10.5.8
Dopad: Ověřený uživatel může způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: V serveru iChat dochází k problému s použitím paměti po uvolnění. Ověřený uživatel může způsobit nečekané ukončení aplikace nebo spustit libovolný kód. Problém byl vyřešen vylepšením sledování referencí paměti. Tento problém se týká pouze systémů s Mac OS X Serverem, netýká se verze 10.6 a novějších verzí.
iChat Server
CVE-ID: CVE-2010-0504
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Ověřený uživatel může způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: V serveru iChat dochází k přetečení vyrovnávací paměti stacku. Ověřený uživatel může způsobit nečekané ukončení aplikace nebo spustit libovolný kód. Tyto problémy jsou vyřešeny vylepšením správy paměti. Tento problém se týká jenom systémů s Mac OS X Serverem. Problém odhalil Apple.
ImageIO
CVE-ID: CVE-2010-0505
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého obrázku JP2 může vést k nečekanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracování obrázků JP2 dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého obrázku JP2 může vést k nečekanému ukončení aplikace nebo spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Chris Ries z Carnegie Mellon University Computing Service a výzkumník „85319bb6e6ab398b334509c50afce5259d42756e“ spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint.
ImageIO
CVE-ID: CVE-2010-0041
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web.
Popis: Při zpracování obrázků BMP v ImageIO dochází k problému přístupu paměti bez inicializace. Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web. Problém byl vyřešen vylepšením inicializace paměti a dodatečným ověřováním obrázků BMP. Poděkování za nahlášení problému zaslouží Matthew 'j00ru' Jurczyk z týmu Hispasec.
ImageIO
CVE-ID: CVE-2010-0042
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web.
Popis: Při zpracování obrázků TIFF v ImageIO dochází k problému přístupu paměti bez inicializace. Návštěva škodlivého webu může vést k odeslání dat z paměti Safari na web. Problém byl vyřešen vylepšením inicializace paměti a dodatečným ověřováním obrázků TIFF. Poděkování za nahlášení problému zaslouží Matthew 'j00ru' Jurczyk z týmu Hispasec.
ImageIO
CVE-ID: CVE-2010-0043
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zpracování škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání obrázků TIF dochází k poškození paměti. Zpracování škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením správy paměti. Tento problém se netýká systémů před Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Gus Mueller z Flying Meat.
Image RAW
CVE-ID: CVE-2010-0506
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Zobrazení škodlivého obrázku NEF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracovávání obrázků NEF v nástroji Image RAW dochází k přetečení vyrovnávací paměti. Zobrazení škodlivého obrázku NEF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.
Image RAW
CVE-ID: CVE-2010-0507
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého obrázku PEF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracovávání obrázků PEF v nástroji Image RAW dochází k přetečení vyrovnávací paměti. Zobrazení škodlivého obrázku PEF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Poděkování za nahlášení problému zaslouží Chris Ries z Carnegie Mellon University Computing Services.
Libsystem
CVE-ID: CVE-2009-0689
Available for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 through v10.6.2, Mac OS X Server v10.6 through v10.6.2
Impact: Applications that convert untrusted data between binary floating point and text may be vulnerable to an unexpected application termination or arbitrary code execution
Description: A buffer overflow exists in the floating point binary to text conversion code within Libsystem. An attacker who can cause an application to convert a floating point value into a long string, or to parse a maliciously crafted string as a floating point value, may be able to cause an unexpected application termination or arbitrary code execution. This issue is addressed through improved bounds checking. Credit to Maksymilian Arciemowicz of SecurityReason.com for reporting this issue.
Mail
CVE-ID: CVE-2010-0508
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Pravidla spojená se smazaným účtem Mail zůstávají platná.
Popis: Když je smazán účet Mail, pravidla filtrů určená uživatelem spojená s tímto účtem zůstávají platná. To může způsobit nečekané akce. Problém byl vyřešen deaktivací spojených pravidel při smazání účtu Mail.
Mail
CVE-ID: CVE-2010-0525
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Mail může používat slabší šifrovací klíč pro odchozí e-maily.
Popis: Při zpracování šifrovacích certifikátů v Mailu dochází k problému s logikou. Pokud v řetězci klíčů existuje více certifikátů pro příjemce, Mail může vybrat šifrovací klíč, který pro šifrování není určen. To může způsobit bezpečnostní problém, pokud je klíč slabší, než by se očekávalo. Tento problém byl vyřešen zajištěním, že při výběru klíče pro šifrování v Mailu bude vyhodnoceno rozšíření využití klíče v rámci certifikátů. Poděkování za nahlášení problému zaslouží Paul Suh ze společnosti ps Enable, Inc.
Mailman
CVE-ID: CVE-2008-0564
K dispozici pro: Mac OS X Server v10.5.8
Dopad: Několik bezpečnostních slabin v nástroji Mailman 2.1.9
Popis: V nástroji Mailman 2.1.9. dochází k několika problémům se skriptování napříč weby. Tyto problémy jsou vyřešeny aktualizací verze služby Mailman na verzi 2.1.13. Další informace jsou k dispozici na webu nástroje Mailman http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Tyto problémy se týkají pouze systémů s Mac OS X Serverem, netýkají se verze 10.6 a novějších verzí.
MySQL
CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030
K dispozici pro: Mac OS X Server v10.6 až v10.6.2
Dopad: Několik bezpečnostních slabin v nástroji MySQL 5.0.82.
Popis: Nástroj MySQL je aktualizován na verzi 5.0.88, která řeší několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Tento problém se týká jenom systémů s Mac OS X Serverem. Další informace jsou k dispozici na webu MySQL na adrese http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
OS Services
CVE-ID: CVE-2010-0509
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Místní uživatel může získat vyšší oprávnění.
Popis: V nástroji SFLServer dochází k problému s eskalací oprávnění, protože je spuštěna jako skupinové „kolo“ a získává přístup k souborům v domovských adresářích uživatelů. Problém byl vyřešen vylepšením správy oprávnění. Poděkování za nahlášení problému zaslouží Kevin Finisterre ze společnosti DigitalMunition.
Password Server
CVE-ID: CVE-2010-0510
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může být schopen přihlásit se starším heslem.
Popis: Při zpracování replikace serverem hesel dochází k problému s implementací, který způsobuje, že hesla nejsou replikována. Vzdálený útočník může být schopen přihlásit se k systému starším heslem. Problém byl vyřešen prostřednictvím zlepšení zpracování replikace hesel. Tento problém se týká jenom systémů s Mac OS X Serverem. Poděkování za nahlášení problému zaslouží Jack Johnson ze školního obvodu Anchorage.
perl
CVE-ID: CVE-2008-5302, CVE-2008-5303
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Místní uživatel může způsobit vymazání náhodných souborů.
Popis: V modulu perl module File::Path v rámci funkce rmtree dochází k několika problémům se souběhem. Místní uživatel s oprávněním pro zápis do adresáře, který je odstraňován, může způsobit odstranění libovolných souborů s oprávněním procesů perl. Problém byl vyřešen vylepšením zpracovávání symbolických odkazů. Tento problém se netýká systémů Mac OS X v10.6.
PHP
CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Několik bezpečnostních slabin v nástroji PHP 5.3.0.
Popis: Nástroj PHP je aktualizován na verzi 5.3.1, která řeší několik bezpečnostních slabin, z nichž nejzávažnější může vést ke spuštění libovolného kódu. Další informace jsou k dispozici na webových stránkách PHP na adrese http://www.php.net/
PHP
CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Několik bezpečnostních slabin v PHP 5.2.11.
Popis: PHP je aktualizováno na verzi 5.2.12, která řeší několik bezpečnostních slabin, z nichž nejzávažnější může vést ke skriptování napříč weby. Další informace jsou k dispozici na webových stránkách PHP na adrese http://www.php.net/
Podcast Producer
CVE-ID: CVE-2010-0511
K dispozici pro: Mac OS X Server v10.6 až v10.6.2
Dopad: Neověřený uživatel může získat přístup k pracovnímu postupu nástroje Podcast Composer.
Popis: Když je přepsán pracovní postup nástroje Podcast Composer, jsou odstraněna omezení přístupu. Kvůli tomu může neověřený uživatel získat přístup k pracovnímu postupu nástroje Podcast Composer. Problém byl vyřešen vylepšeným zpracováváním omezení přístupu pracovního postupu. Nástroj Podcast Composer byl zaveden ve verzi Mac OS X Server v10.6.
Preferences
CVE-ID: CVE-2010-0512
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Uživatel sítě může být schopen obejít omezení přihlášení do systému.
Popis: Při zpracování omezení přihlášení do systému síťových účtů dochází k problému s implementací. Pokud jsou síťové účty, kterým je povoleno přihlášení do systému v přihlašovacím okně, identifikovány pouze na základě členství ve skupině, omezení nebude platné a všem síťovým uživatelům bude povoleno přihlásit se do systému. Problém by vyřešen vylepšeným řízením oprávnění skupin na panelu předvoleb pro Účty. Tento problém se týká pouze systémů konfigurovaným k využívání serveru se síťovými účty a netýká se verzí systému starších než Mac OS X v10.6. Poděkování za nahlášení problému zaslouží Christopher D. Grieb z University of Michigan MSIS.
PS Normalizer
CVE-ID: CVE-2010-0513
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého souboru PostScript může vést k nečekanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracování souborů PostScript dochází k přetečení vyrovnávací paměti stacku. Zobrazení škodlivého souboru PostScript může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením souborů PostScript. V systémech Mac OS X v10.6 je tento problém omezen příznakem kompilátoru -fstack-protector. Problém odhalil Apple.
QuickTime
CVE-ID: CVE-2010-0062
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním H.263 v QuickTime dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním H.263. Poděkování za nahlášení problému si zaslouží Damian Put a anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.
CoreMedia
CVE-ID: CVE-2010-0514
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním H.261 dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním H.261. Poděkování za nahlášení problému zaslouží Will Dormann z CERT/CC.
QuickTime
CVE-ID: CVE-2010-0515
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním H.264 dochází k poškození paměti. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním H.264. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
CoreMedia
CVE-ID: CVE-2010-0516
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním RLE dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním RLE. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
QuickTime
CVE-ID: CVE-2010-0517
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním M-JPEG dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním M-JPEG. Poděkování za nahlášení problému si zaslouží Damian Put a anonymní výzkumník spolupracující se Zero Day Initiative společnosti TippingPoint.
QuickTime
CVE-ID: CVE-2010-0518
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním Sorenson dochází k problému s poškozením paměti. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním Sorenson. Poděkování za nahlášení problému zaslouží Will Dormann z CERT/CC.
CoreMedia
CVE-ID: CVE-2010-0519
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním FlashPix dochází k přetečení celých čísel. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen vylepšením kontroly rozsahu. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
CoreMedia
CVE-ID: CVE-2010-0520
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním FLC dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním FLC. Poděkování za nahlášení problému zaslouží Moritz Jodeit ze společnosti n.runs AG spolupracující se Zero Day Initiative společnosti TippingPoint a Nicolas Joly ze společnosti VUPEN Security.
CoreMedia
CVE-ID: CVE-2010-0526
K dispozici pro: Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého souboru MPEG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování videosouborů s kódováním MPEG dochází k přetečení vyrovnávací paměti haldy. Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením videosouborů s kódováním MPEG. Oznámení tohoto problému je zásluhou anonymního výzkumníka spolupracujícího se Zero Day Initiative společnosti TippingPoint.
Ruby
CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Několik problémů v aplikaci Ruby on Rails.
Popis: V nástroji Ruby on Rails existuje několik bezpečnostních slabin, z nichž nejzávažnější může vést ke skriptování napříč weby. V systémech Mac OS X v10.6 jsou tyto problémy řešeny aktualizací nástroje Ruby on Rails na verzi 2.3.5. V systémech Mac OS X v10.5 jsou ovlivněna pouze ID CVE-2009-4214. Tento problém byl vyřešen pouze prostřednictvím vylepšeného ověřování argumentů strip_tags.
Ruby
CVE-ID: CVE-2009-1904
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Spuštění skriptu Ruby, který využívá nedůvěryhodný vstup k inicializaci objektu BigDecimal, může vést k neočekávanému ukončení aplikace.
Popis: Při zpracování objektů BigDecimal s velmi vysokými hodnotami v nástroji Ruby dochází k problémům s vyčerpáním stacku. Spuštění skriptu Ruby, který využívá nedůvěryhodný vstup k inicializaci objektu BigDecimal, může vést k neočekávanému ukončení aplikace. V systémech Mac OS X v10.6 byl tento problém vyřešen aktualizací nástroje Ruby na verzi 1.8.7-p173. V systémech Mac OS v10.5 byl tento problém vyřešen aktualizací nástroje Ruby na verzi 1.8.6-p369.
Server Admin
CVE-ID: CVE-2010-0521
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může být schopen extrahovat informace z adresáře Open Directory.
Popis: Při zpracování ověřených vazeb adresáře dochází k problému s návrhem. Vzdálený útočník může být schopen anonymně extrahovat informace z adresáře Open Directory, ačkoli je možnost „Vyžadovat ověřenou vazbu mezi adresářem a klienty“ povolena. Problém byl vyřešen odstraněním této možnosti konfigurace. Tento problém se týká jenom systémů s Mac OS X Serverem. Poděkování za nahlášení problému zaslouží Scott Gruby ze společnosti Gruby Solutions a Mathias Haack ze společnosti GRAVIS Computervertriebsgesellschaft mbH.
Server Admin
CVE-ID: CVE-2010-0522
K dispozici pro: Mac OS X Server v10.5.8
Dopad: Bývalý administrátor může mít neoprávněný přístup ke sdílení obrazovky.
Popis: Uživatel, který byl odstraněn ze skupiny „Administrátoři“ se přesto může připojit k serveru pomocí sdílení obrazovky. Problém byl vyřešen prostřednictvím zlepšení řízení oprávnění administrátorů. Tento problém se týká pouze systémů s Mac OS X Serverem, netýká se verze 10.6 a novějších verzí. Problém odhalil Apple.
Apache
CVE-ID: CVE-2009-2906
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Vzdálený útočník může být schopen způsobit odmítnutí služby.
Popis: Při zpracování oznámení o ukončení protokolu „oplock“ SMB v nástroji Samba dochází k problému s nekonečnou smyčkou. Vzdálený útočník může být schopen spustit v smdb nekonečnou smyčku, která bude spotřebovávat nadměrné zdroje CPU. Problém byl vyřešen vylepšením zpracovávání oznámení o ukončení protokolu „oplock“.
Tomcat
CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693
K dispozici pro: Mac OS X Server v10.5.8, Mac OS X Server v10.6 až v10.6.2
Dopad: Několik bezpečnostních slabin v nástroji Tomcat 6.0.18.
Popis: Nástroj Tomcat je aktualizován na verzi 6.0.24, která řeší několik bezpečnostních slabin, z nichž nejzávažnější může vést útoku skriptováním napříč weby. Tomcat se dodává jenom se systémy Mac OS X Server. Další informace jsou k dispozici na webu Tomcat na adrese http://tomcat.apache.org/
unzip
CVE-ID: CVE-2008-0888
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Extrahování škodlivých souborů .zip pomocí příkazu rozbalení může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování souboru dochází k problému neinicializovaného ukazatele. Rozbalení škodlivých souborů .zip pomocí nástroje pro příkaz rozbalení může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Problém byl vyřešen dodatečným ověřením souborů .zip. Tento problém se netýká systémů Mac OS X v10.6.
vim
CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Několik bezpečnostních slabin v nástroji vim 7.0.
Popis: V nástroji vim 7.0 existuje několik bezpečnostních slabin. Nejzávažnější z nich může při práci škodlivými soubory vést ke spuštění libovolného kódu. Tyto problémy jsou vyřešeny aktualizací na verzi služby 7.2.102. Tyto problémy se netýkají systémů Mac OS X v10.6. Další informace jsou k dispozici na webových stránkách vim na adrese http://www.vim.org/
Wiki Server
CVE-ID: CVE-2010-0523
K dispozici pro: Mac OS X Server v10.5.8
Dopad: Nahrání škodlivého appletu může vést ke zpřístupnění citlivých informací.
Popis: Wiki Server umožňuje uživatelům nahrávat aktivní obsah, jako jsou applety Java. Vzdálený útočník může získat citlivé informace nahráním škodlivého appletu a přesměrováním uživatele Wiki Serveru na jeho zobrazení. Problém byl vyřešen použitím speciálního jednorázového ověřovacího souboru cookie, který lze použít jen ke stažení konkrétní přílohy. Tento problém se týká pouze systémů s Mac OS X Serverem, netýká se verze 10.6 a novějších verzí.
Wiki Server
CVE-ID: CVE-2010-0534
K dispozici pro Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Ověřený uživatel může obejít omezení vytváření weblogů.
Popis: Wiki Server podporuje seznamy řízení přístupu ke službám (SACL), které umožňují administrátorovi kontrolovat zveřejňování obsahu. Wiki Server při vytváření weblogu uživatele nezkontroluje seznamy SACL pro weblog. To může ověřenému uživateli zveřejnit obsah na Wiki Serveru, přestože by takové zveřejnění melo být na základě seznamu SACL služby zakázáno. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.
X11
CVE-ID: CVE-2009-2042
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivého obrázku může vést ke zpřístupnění citlivých informací.
Popis: libpng byl aktualizován na verzi 1.2.37, která řeší problém způsobující zpřístupnění citlivých informací. Další informace jsou k dispozici na webu knihovny libpng na adrese http://www.libpng.org/pub/png/libpng.html
X11
CVE-ID: CVE-2003-0063
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 až v10.6.2, Mac OS X Server v10.6 až v10.6.2
Dopad: Zobrazení škodlivých dat v terminálu xterm může vést ke spuštění libovolného kódu.
Popis: Program xterm podporuje sekvenci příkazů určenou ke změně názvu okna a přenosu názvu okna na terminál. Poskytnuté informace jsou předány terminálu, jako by šlo o vstup z klávesnice od uživatele. V terminálu xterm může zobrazení škodlivých dat obsahujících takové sekvence způsobit vložení příkazu. Problém byl vyřešen zakázáním ovlivněné sekvence příkazů.
xar
CVE-ID: CVE-2010-0055
K dispozici pro: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dopad: Změněný balíček může vypadat jako platně podepsaný.
Popis: Při ověřování podpisu balíčku dochází v nástroji xar k problému s návrhem. Kvůli tomu může změněný balíček vypadat jako platně podepsaný. Problém byl vyřešen vylepšením ověřování podpisu balíčků. Tento problém se netýká systémů Mac OS X v10.6. Problém odhalil Apple.
Důležité: Zmínky o webových stránkách a produktech třetích stran slouží pouze k informačním účelům a nepředstavují žádnou podporu ani žádné doporučení. Společnost Apple nenese žádnou odpovědnost za výběr, výkon nebo používání informací nebo produktů nalezených na webových stránkách třetích stran. Apple tyto informace poskytuje pouze pro zajištění pohodlí našim uživatelům. Společnost Apple netestovala informace nalezené na těchto stránkách a nečiní žádná prohlášení ohledně jejich přesnosti nebo spolehlivosti. Existují rizika spojená s používáním jakýchkoli informací nebo produktů nalezených na internetu a společnost Apple v tomto ohledu nenese žádnou odpovědnost. Vezměte na vědomí, že weby třetích stran jsou nezávislé na společnosti Apple a že společnost Apple nemá kontrolu nad obsahem takových webů. Pro získání dalších informací kontaktujte dodavatele.