Denne artikel er blevet arkiveret og opdateres ikke længere af Apple.

Om sikkerhedsindholdet i sikkerhedsopdatering 2009-001

I dette dokument beskrives sikkerhedsopdatering 2009-001, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apple Overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Sikkerhedsopdatering 2009-001

  • AFP Server

    CVE-id: CVE-2009-0142

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: En bruger med mulighed for at oprette forbindelse til AFP Server kan muligvis udløse et Denial of Service-angreb

    Beskrivelse: En fejl i AFP Server kan medføre en uendelig løkke. Optælling af arkiver på en AFP-server kan medføre et Denial of Service-angreb. Denne opdatering løser problemet via forbedret logik til optælling af arkiver. Dette problem påvirker kun systemer med Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-id: CVE-2009-0009

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Åbning af et skadeligt videoarkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes en hukommelsesfejl i håndteringen af filmarkiver, der bruger Pixlet-codec. Åbning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til: Apple.

  • CarbonCore

    CVE-id: CVE-2009-0020

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Åbning af et arkiv med en skadelig ressourceforgrening kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes en hukommelsesfejl i Resource Managers håndtering af ressourceforgreninger. Åbning af et arkiv med en skadelig ressourceforgrening kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet gennem forbedret validering af ressourceforgreninger. Tak til: Apple.

  • CFNetwork

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Gendanner korrekt behandling af cookies, hvor udløbstidspunktet er indstillet til null

    Beskrivelse: Denne opdatering løser et problem med regression, der opstod i Mac OS X 10.5.6. Problemet er ikke sikkerhedsrelateret. Cookies indstilles muligvis ikke korrekt, hvis et websted forsøger at indstille en sessionscookie ved at angive en null-værdi i feltet for udløbsdatoen i stedet for at udelade feltet. Denne opdatering løser problemet ved at ignorere feltet for udløbsdatoen, hvis det indeholder en null-værdi.

  • CFNetwork

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Gendanner korrekt brug af sessionscookies på tværs af programmer

    Beskrivelse: Denne opdatering løser et problem med regression, der opstod i Mac OS X 10.5.6. Problemet er ikke sikkerhedsrelateret. CFNetwork gemmer muligvis ikke cookies på disken, hvis flere programmer forsøger at indstille sessionscookies. Denne opdatering løser problemet ved at sikre, at hvert program gemmer sine sessionscookies separat.

  • Certificate Assistant

    CVE-id: CVE-2009-0011

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: En lokal bruger kan manipulere arkiver med tilladelserne for en anden bruger, der kører Certificate Assistant

    Beskrivelse: Der findes en usikker arkivbehandling i Certificate Assistants håndtering af midlertidige arkiver. Dette kan give en lokal bruger mulighed for at overskrive arkiver med tilladelserne for en anden bruger, der kører Certificate Assistant. Denne opdatering løser problemet gennem forbedret håndtering af midlertidige arkiver. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5. Tak til: Apple.

  • ClamAV

    CVE-id: CVE-2008-5050, CVE-2008-5314

    Fås til: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Effekt: Flere sårbarheder i ClamAV 0.94

    Beskrivelse: Der findes flere sårbarheder i ClamAV 0.94. Den mest alvorlige kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere ClamAV til version 0.94.2. ClamAV distribueres kun med systemer med Mac OS X Server. Du kan finde yderligere oplysninger på ClamAV-webstedet på http://www.clamav.net/

  • CoreText

    CVE-id: CVE-2009-0012

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Visning af et skadeligt Unicode-indhold kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med heap-bufferunderløb i behandlingen af Unicode-strenge i CoreText. Brugen af CoreText til at håndtere skadelige Unicode-strenge, når der vises skadeligt indhold på et websted, kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet via forbedret kontrol af grænser. Problemet påvirker ikke systemer før Mac OS X v10.5. Tak til Rosyna fra Unsanity, som har rapporteret problemet.

  • CUPS

    CVE-id: CVE-2008-5183

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Besøg på et skadeligt websted kan medføre pludselig programlukning

    Beskrivelse: Hvis det maksimalt tilladte antal RSS-abonnementer overskrides, kan det medføre fjernelse af referencer til null-pointere i CUPS-webgrænsefladen. Dette kan medføre pludselig programlukning, når der besøges et skadeligt websted. Problemet kan kun udløses, hvis hackeren kender et gyldigt sæt legitimationsoplysninger for en bruger, eller hvis de er cachelagret i brugerens webbrowser. CUPS genstartes automatisk, når problemet er opstået. Denne opdatering løser problemet ved korrekt håndtering af antallet af RSS-abonnementer. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5.

  • DS Tools

    CVE-id: CVE-2009-0013

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Adgangskoder, der sendes til dscl, kan ses af andre lokale brugere

    Beskrivelse: Kommandolinjeværktøjet dscl kræver, at der overføres adgangskoder i kommandoens argumenter, og det kan potentielt afsløre adgangskoderne til andre lokale brugere. De afslørede adgangskoder kan både tilhøre brugere og administratorer. Denne opdatering gør adgangskodeparameteren valgfri, og dscl beder om adgangskoden efter behov. Tak til: Apple.

  • fetchmail

    CVE-id: CVE-2007-4565, CVE-2008-2711

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Flere sårbarheder i fetchmail 6.3.8

    Beskrivelse: Der findes flere sårbarheder i fetchmail 6.3.8. Den mest alvorlige kan medføre et Denial of Service-angreb. Denne opdatering løser problemerne ved at opdatere til version 6.3.9. Du kan finde yderligere oplysninger på fetchmail-webstedet på http://fetchmail.berlios.de/

  • Folder Manager

    CVE-id: CVE-2009-0014

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Andre lokale brugere kan få adgang til mappen med overførsler

    Beskrivelse: Der findes et problem med standardtilladelserne i Folder Manager. Når en bruger sletter mappen med overførsler, og Folder Manager genopretter mappen, oprettes mappen med læsetilladelser for alle. Denne opdatering løser problemet ved at lade Folder Manager begrænse tilladelserne, så mappen kun er tilgængelig for brugeren. Dette problem påvirker de programmer, der bruger Folder Manager. Problemet påvirker ikke systemer før Mac OS X v10.5. Tak til Graham Perrin fra CENTRIM, University of Brighton, som har rapporteret problemet.

  • FSEvents

    CVE-id: CVE-2009-0015

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Ved brug af FSEvents-frameworket kan en lokal bruger muligvis se arkivsystemaktiviteter, som ellers ikke ville være tilgængelige

    Beskrivelse: Der findes et problem med administration af legitimationsoplysninger i fseventsd. Ved at bruge FSEvents-frameworket kan en lokal bruger muligvis se filsystemaktiviteter, der ellers ikke ville være tilgængelige. Dette omfatter navnet på en mappe, som brugeren ellers ikke ville kunne se, og det kan afsløre aktiviteter i mappen. Denne opdatering løser problemet via forbedret validering i fseventsd. Problemet påvirker ikke systemer før Mac OS X v10.5. Tak til Mark Dalrymple, som har rapporteret problemet.

  • Network Time

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Konfigurationen af tjenesten Network Time er opdateret

    Beskrivelse: Som en proaktiv sikkerhedsforanstaltning ændrer denne opdatering standardkonfigurationen af tjenesten Network Time. Systemtiden og versionsoplysninger er ikke længere tilgængelige i standardkonfigurationen af ntpd. På systemer med Mac OS X v10.4.11 træder den nye konfiguration i kraft, efter at et system genstarter med tjenesten Network Time aktiveret.

  • perl

    CVE-id: CVE-2008-1927

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Brugen af regulære udtryk, der indeholder UTF-8-tegn, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes en hukommelsesfejl i håndteringen af bestemte UTF-8-tegn i regulære udtryk. Parsing af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Denne opdatering løser problemet ved at foretage yderligere validering af regulære udtryk.

  • Printing

    CVE-id: CVE-2009-0017

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: En lokal bruger kan muligvis få systemtilladelser

    Beskrivelse: Der findes en håndteringsfejl i csregprinter, som kan medføre et heap-bufferoverløb. Dette kan give en lokal bruger mulighed for at få systemrettigheder. Denne opdatering løser problemet via forbedret fejlhåndtering. Tak til Lars Haulin, som har rapporteret problemet.

  • python

    CVE-id: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Flere sårbarheder i python

    Beskrivelse: Der findes flere sårbarheder i python. Den mest alvorlige kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at anvende patches fra python-projektet.

  • Remote Apple Events

    CVE-id: CVE-2009-0018

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Når der sendes Remote Apple-hændelser, kan det medføre afsløring af følsomme oplysninger

    Beskrivelse: Der findes et problem med en ikke-initialiseret buffer i Remote Apple Events-serveren. Dette kan medføre, at indholdet af hukommelsen afsløres for netværksklienter. Denne opdatering løser problemet via forbedret initialisering af hukommelsen. Tak til: Apple.

  • Remote Apple Events

    CVE-id: CVE-2009-0019

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Aktivering af Remote Apple Events kan medføre pludselig programlukning eller afsløring af fortrolige oplysninger

    Beskrivelse: Der kan fås adgang til out-of-bounds-hukommelse i Remote Apple Events. Aktivering af Remote Apple Events kan medføre pludselig programlukning eller afsløring af fortrolige oplysninger til netværksklienter. Denne opdatering løser problemet via forbedret kontrol af grænser. Tak til: Apple.

  • Safari RSS

    CVE-is: CVE-2009-0137

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Adgang til en skadelig feed:-URL-adresse kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der findes flere problemer med validering af input i Safaris håndtering af feed:-URL-adresser. Disse problemer kan medføre afvikling af et vilkårligt JavaScript i den lokale sikkerhedszone. Denne opdatering løser problemerne via en forbedret håndtering af integreret JavaScript i feed:-URL-adresser. Tak til Clint Ruoho fra Laconic Security, Billy Rios fra Microsoft og Brian Mastenbrook, som har rapporteret disse problemer.

  • servermgrd

    CVE-id: CVE-2009-0138

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Hackere kan muligvis få adgang til Server Manager uden gyldige legitimationsoplysninger

    Beskrivelse: Der findes et problem i Server Managers validering af legitimationsoplysninger, som kan give en hacker mulighed for at ændre systemkonfigurationen. Denne opdatering løser problemet via yderligere validering af legitimationsoplysninger. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5. Tak til: Apple.

  • SMB

    CVE-is: CVE-2009-0139

    Fås til: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Hvis der oprettes forbindelse til et skadeligt SMB-arkivsystem, kan det medføre pludselig lukning af systemet eller kørsel af vilkårlig kode med systemtilladelser

    Beskrivelse: Et heltalsoverløb i SMB-arkivsystemet kan medføre et heap-bufferoverløb. Hvis der oprettes forbindelse til et skadeligt SMB-arkivsystem, kan det medføre pludselig lukning af systemet eller kørsel af vilkårlig kode med systemtilladelser. Denne opdatering løser problemet via forbedret kontrol af grænser. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.5. Tak til: Apple.

  • SMB

    CVE-id: CVE-2009-0140

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Hvis der oprettes forbindelse til en skadelig SMB-arkivserver, kan det medføre pludselig lukning af systemet

    Beskrivelse: Der findes et hukommelsesproblem i SMB-arkivsystemets håndtering af filsystemnavne. Hvis der oprettes forbindelse til en skadelig SMB-arkivserver, kan det medføre pludselig lukning af systemet Denne opdatering løser problemet ved at begrænse den mængde hukommelse, som klienten kan allokere til arkivsystemnavne. Tak til: Apple.

  • SquirrelMail

    CVE-id: CVE-2008-2379, CVE-2008-3663

    Fås til: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Effekt: Flere sårbarheder i SquirrelMail

    Beskrivelse: SquirrelMail er opdateret til version 1.4.17 for at løse problemer med flere sårbarheder. Den mest alvorlige er et problem med scripting på tværs af websteder. Du kan finde yderligere oplysninger på SquirrelMail-webstedet på http://www.SquirrelMail.org/

  • X11

    CVE-id: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: Flere sårbarheder i X11-server

    Beskrivelse: Der findes flere sårbarheder i X11-server. Den mest alvorlige kan medføre kørsel af vilkårlig kode med samme tilladelser som den bruger, der kører X11-serveren, hvis hackeren kan blive godkendt på X11-serveren. Denne opdatering løser problemerne ved at anvende X.Org-programrettelser. Du kan finde yderligere oplysninger på X.Org-webstedet på http://www.x.org/wiki/Development/Security

  • X11

    CVE-id: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Effekt: Flere sårbarheder i FreeType v2.1.4

    Beskrivelse: Der findes flere sårbarheder i FreeType v2.1.4. Den mest alvorlige kan medføre kørsel af vilkårlig kode, når der behandles en skadelig skrift. Denne opdatering løser problemerne ved at inkorporere sikkerhedsbeskyttelse fra version 2.3.6 af FreeType. Du kan finde yderligere oplysninger på FreeType-webstedet på http://www.freetype.org/ Problemerne er allerede løst på systemer med Mac OS X v10.5.6.

  • X11

    CVE-id: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Effekt: Flere sårbarheder i LibX11

    Beskrivelse: Der findes flere sårbarheder i LibX11. Den mest alvorlige kan medføre kørsel af vilkårlig kode, når der behandles en skadelig skrift. Denne opdatering løser problemerne ved at anvende X.Org-programrettelser. Du kan finde yderligere oplysninger på X.Org-webstedet på http://www.x.org/wiki/Development/Security Disse problemer påvirker ikke systemer med Mac OS X v10.5 eller nyere versioner.

  • CUPS

    CVE-is: CVE-2009-0141

    Fås til: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Effekt: En lokal bruger kan muligvis sende oplysninger til en anden brugers Xterm

    Beskrivelse: Der findes et problem med tilladelser i Xterm. Når der bruges luit, opretter Xterm TTY-enheder, som er tilgængelige for alle. Denne opdatering løser problemet ved at få Xterm til at begrænse tilladelserne, så TTY-enheder kun er tilgængelige for brugeren.

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: