Om sikkerhedsindholdet i opdateringen til Mac OS X 10.4.7

I dette dokument beskrives sikkerhedsindholdet i opdateringen til Mac OS X 10.4.7, som kan downloades og installeres ved hjælp af Softwareopdatering eller fra Apple Overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Hvis du vil vide mere om andre sikkerhedsopdateringer, skal du se "Apple-sikkerhedsopdateringer."'

Opdatering til Mac OS X v10.4.7

  • AFP

    CVE-id: CVE-2006-1468

    Fås til: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Effekt: Arkiv- og mappenavne kan blive afsløret over for uautoriserede brugere

    Beskrivelse: Et problem på AFP-serveren kan tillade, at søgeresultater omfatter navnene på arkiver og mapper, som brugeren, der udfører søgningen, ikke har adgang til. Dette kan føre til, at information afsløres, hvis selve navnene udgør følsomme oplysninger. Denne opdatering løser problemet ved at sikre, at søgeresultaterne kun omfatter elementer, som brugeren er autoriseret til. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.4.

  • ClamAV

    CVE-id: CVE-2006-1989

    Fås til: Mac OS X Server v10.4.6

    Effekt: Når virusscanning er indstillet til at opdatere automatisk, kan en skadelig databasedublering muligvis forårsage kørsel af vilkårlig kode

    Beskrivelse: Et problem i ClamAV's automatiske virusdatabaseopdatering kan føre til et stakbaseret bufferoverløb. En skadelig eller forfalsket ClamAV-databasedublering kan muligvis forårsage kørsel af vilkårlig kode med ClamAV's rettigheder. Tjenesten Mail, virusscanning og automatiske virusdatabaseopdateringer er som standard slået fra. Denne opdatering løser problemet ved at inkorporere ClamAV 0.88.2. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.4.

  • ImageIO

    CVE-id: CVE-2006-1469

    Fås til: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Effekt: Visning af et skadeligt TIFF-billede kan muligvis føre til et appnedbrud eller kørsel af vilkårlig kode

    Beskrivelse: Ved omhyggeligt at udarbejde et korrupt TIFF-billede kan en hacker udløse et stakbaseret bufferoverløb, som kan føre til et appnedbrud eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at udføre yderligere validering af TIFF-billeder. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.4.

  • launchd

    CVE-id: CVE-2006-1471

    Fås til: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Effekt: Lokale brugere kan muligvis opnå ekstra rettigheder

    Beskrivelse: En sårbarhed med formatstrenge i setuid program launchd kan tillade, at en godkendt lokal bruger kan udføre vilkårlig kode med systemrettigheder. Problemet findes i launchds logføringsfacilitet. Denne opdatering løser problemet ved at udføre yderligere validering, når der logføres beskeder. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.4. Tak til Kevin Finisterre fra DigitalMunition, som har rapporteret problemet.

  • OpenLDAP

    CVE-id: CVE-2006-1470

    Fås til: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Effekt: Hackere kan muligvis få Open Directory-serveren til at gå ned

    Beskrivelse: Ved omhyggeligt at udarbejde en ugyldig LDAP-anmodning kan en hacker muligvis udløse en påstand på OpenLDAP-serveren, som fører til DoS. Opdateringen løser problemet ved at afvise den ugyldige anmodning. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.4. Tak til Mu Securitys sikkerhedsteam, som har rapporteret problemet.

Udgivelsesdato: