Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Om sikkerhedsopdatering 2008-005

Dette dokument beskriver sikkerhedsopdatering 2008-005, som kan downloades og installeres via indstillingerne under Softwareopdatering eller fra Apple Overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse mere om andre sikkerhedsopdateringer i "Apple-sikkerhedsopdateringer".

Sikkerhedsopdatering 2008-005

  • Open Scripting Architecture

    CVE-id: CVE-2008-2830

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: En lokal bruger kan muligvis køre kommandoer med ekstra rettigheder

    Beskrivelse: Der findes et designproblem i Open Scripting Architecture-bibliotekerne i forbindelse med bestemmelse af, hvorvidt plugins til tilføjelse af scripts skal indlæses i apps, der kører med ekstra rettigheder. Afsendelse af kommandoer til tilføjelse af scripts til en privilegeret app kan muligvis tillade kørsel af vilkårlig kode med disse rettigheder. Denne opdatering løser problemet ved ikke at indlæse plugins til tilføjelse af scripts i apps, der kører med systemrettigheder. De nyligt rapporterede problemer med ARDAgent og SecurityAgent er blevet løst med denne opdatering. Tak til Charles Srstka, som har rapporteret problemet.

  • BIND

    CVE-id: CVE-2008-1447

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: BIND er modtagelig for forgiftning af DNS-cachen og kan muligvis returnere forfalskede oplysninger

    Beskrivelse: Berkeley Internet Name Domain (BIND)-serveren er distribueret med Mac OS X og er som standard ikke aktiveret. Når BIND-serveren er aktiveret, kan den yde oversættelse mellem værtsnavne og IP-adresser. En svaghed i DNS-protokollen kan muligvis tillade, at hackere udfører forgiftningsangreb på DNS-cachen. Som resultat kan systemer, der er afhængige af BIND-serveren til DNS, muligvis modtage forfalskede oplysninger. Denne opdatering løser problemet ved at implementere kildeportsrandomisering for at forbedre modstandsdygtighed over for forgiftningsangreb på cachen. For Mac OS X v10.4.11-systemer opdateres BIND til version 9.3.5-P1. For Mac OS X v10.5.4-systemer opdateres BIND til version 9.4.2-P1. Tak til Dan Kaminsky fra IOActive, som har rapporteret problemet.

  • CarbonCore

    CVE-id: CVE-2008-7259

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Behandling af lange arkivnavne kan forårsage pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et stakket bufferoverløb i håndteringen af lange arkivnavne. Behandling af lange arkivnavne kan forårsage pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Thomas Raffetseder fra International Secure Systems Lab og Sergio 'shadown' Alvarez fra n.runs AG, som har rapporteret problemet.

  • CoreGraphics

    CVE-id: CVE-2008-2321

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Besøg på et skadeligt websted kan forårsage pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: CoreGraphics indeholder et problem med hukommelseskorruption i behandlingen af argumenter. Overførsel af input, der ikke er tillid til, til CoreGraphics via en app, såsom en webbrowser, kan muligvis medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til Michal Zalewski fra Google, som har rapporteret problemet.

  • CoreGraphics

    CVE-id: CVE-2008-2322

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Et heltalsoverløb i håndteringen af PDF-arkiver kan føre til et heap-bufferoverløb. Visning af et skadeligt PDF-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via yderligere validering af PDF-arkiver. Tak til Pariente Kobi, der samarbejder med iDefense VCP, som har rapporteret problemet.

  • Data Detectors Engine

    CVE-id: CVE-2008-2323

    Fås til: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Visning af skadelige beskeder med Data Detectors kan medføre pludselig applukning

    Beskrivelse: Data Detectors bruges til at udtrække referenceinformation fra tekstindhold eller arkiver. Der findes et problem med ressourceforbrug i Data Detectors' håndtering af tekstindhold. Visning af skadeligt indhold i en app, der bruger Data Detectors, kan medføre DoS, men ikke kørsel af vilkårlig kode. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5.

  • Disk Utility

    CVE-id: CVE-2008-2324

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Effekt: En lokal bruger kan muligvis opnå systemrettigheder

    Beskrivelse: Værktøjet "Reparer tilladelser" i Diskværktøj skaber /usr/bin/emacs setuid. Efter Reparer tilladelser-værktøjet er kørt, kan en lokal bruger muligvis bruge emacs til at køre kommandoer med systemrettigheder. Denne opdatering løser problemet ved at rette de tilladelser, der anvendes for emacs i Reparer tilladelser-værktøjet. Problemet påvirker ikke systemer, der kører Mac OS X v10.5 og nyere versioner. Tak til Anton Rang og Brian Timares, som har rapporteret problemet.

  • OpenLDAP

    CVE-id: CVE-2008-2952

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: En hacker kan muligvis forårsage pludselig applukning

    Beskrivelse: Der findes et problem i OpenLDAP's afkodning af ASN.1 BER. Behandling af en skadelig LDAP-besked kan udløse en påstand og medføre pludselig applukning for OpenLDAP daemon, slapd. Denne opdatering løser problemet ved at udføre yderligere validering af LDAP-beskeder.

  • OpenSSL

    CVE-id: CVE-2007-5135

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: En hacker kan muligvis forårsage pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med kontrol af rækkevidde i hjælpeprogramfunktionen SSL_get_shared_ciphers() i OpenSSL. Behandling af skadelige pakker i en app, der bruger denne funktion, kan medføre pludselig applukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser.

  • PHP

    CVE-id: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Fås til: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Flere sårbarheder i PHP 5.2.5

    Beskrivelse: PHP opdateres til version 5.2.6 for at løse flere sårbarheder, hvor den mest alvorlige kan medføre kørsel af vilkårlig kode. Der findes flere oplysninger på PHP's websted på http://www.php.net/ PHP version 5.2.x leveres kun til Mac OS X v10.5-systemer.

  • QuickLook

    CVE-id: CVE-2008-2325

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Download af et skadeligt Microsoft Office-arkiv kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes flere problemer med hukommelseskorruption i QuickLooks håndtering af Microsoft Office-arkiver. Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig applukning eller vilkårlig kørsel af kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5.

  • rsync

    CVE-id: CVE-2007-6199, CVE-2007-6200

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Effekt: Arkiver uden for modulroden kan muligvis tilgås eller overskrives via fjernadgang

    Beskrivelse: Der findes problemer med stivalidering i rsyncs håndtering af symbolske links, når der køres i daemon-tilstand. Placering af symbolske links i et rsync-modul kan muligvis tillade, at arkiver uden for modulroden kan tilgås eller overskrives. Denne opdatering løser problemet via forbedret håndtering af symbolske links. Der findes flere oplysninger om de anvendte programrettelser på rsyncs websted på http://rsync.samba.org/

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: