Om sikkerhedsopdatering 2010-001

I dette dokument beskrives sikkerhedsopdatering 2010-001, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apple-overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer."

Sikkerhedsopdatering 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Afspilning af et skadeligt mp4-lydarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med bufferoverløb i håndteringen af mp4 lydarkiver. Afspilning af et skadeligt mp4-lydarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til Tobias Klein fra trapkit.de, som har rapporteret problemet.

  • CUPS

    CVE-ID: CVE-2009-3553

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: En hacker kan muligvis forårsage pludselig lukning af cupsd

    Beskrivelse: Der findes et use-after-free-problem i cupsd. Ved at udstede en skadelig get-printer-jobs-anmodning kan en hacker forårsage et Denial of Service-angreb. Dette afhjælpes med en automatisk genstart af cupsd, efter at det blev afsluttet. Problemet blev løst ved forbedret sporing af forbindelser.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Flere sårbarheder i Adobe Flash Player-tilbehør

    Beskrivelse: Der findes flere sårbarheder i Adobe Flash Player-tilbehøret. Den mest alvorlige kan medføre kørsel af vilkårlig kode ved besøg på et skadeligt websted. Problemerne løses ved at opdatere Flash Player-tilbehøret til version 10.0.42. Du kan finde flere oplysninger på Adobes websted på http://www.adobe.com/support/security/bulletins/apsb09-19.html Tak til en anonym programmør og til Damian Put, der arbejder med TippingPoints Zero Day Initiative, Bing Liu fra Fortinets FortiGuard Global Security Research Team, Will Dormann fra CERT, Manuel Caballero og Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig applukning eller vilkårlig kørsel af kode

    Beskrivelse: Der findes et problem med bufferunderløb i håndteringen af TIFF-billeder i ImageIO. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. For systemer med Mac OS X v10.6 er problemet løst i Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE CVE-2010-0037

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Visning af et skadeligt DNG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der findes et problem med bufferoverløb i håndteringen af DNG-billeder i Image RAW. Visning af et skadeligt DNG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Vi vil gerne takke Jason Carr fra Carnegie Mellon University Computing Services, som har rapporteret problemet.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: En hacker med en privilegeret netværksposition kan optage data eller ændre de operationer, der udføres i sessioner, som er beskyttet af SSL

    Beskrivelse: Der findes en man-in-the-middle-sårbarhed i SSL- og TLS-protokollerne. Du kan finde flere oplysninger på http://www.phonefactor.com/sslgap Der er en ændring på vej til genforhandlingsprotokollen hos IETF. Denne opdatering deaktiverer genforhandling i OpenSSL som en forebyggende sikkerhedsforanstaltning. Problemet påvirker ikke tjenester, der bruger Secure Transport, da det ikke understøtter genforhandling. Tak til Steve Dispensa og Marsh Ray fra PhoneFactor, Inc., som har rapporteret problemet.

Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.

Udgivelsesdato: