Om sikkerhedsopdatering 2010-005
I dette dokument beskrives sikkerhedsopdatering 2010-005.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Sikkerhedsopdatering 2010-005
ATS
CVE-ID: CVE-2010-1808
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrifttype, kan medføre kørsel af vilkårlig kode
Beskrivelse: Der findes et stakbufferoverløb i behandlingen af integrerede skrifttyper i Apple Type Services. Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan muliggøre kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser.
CFNetwork
CVE-ID: CVE-2010-1800
Fås til: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange brugerens adgangsoplysninger eller andre følsomme oplysninger
Beskrivelse: CFNetwork tillader anonyme TLS/SSL-forbindelser. Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Problemet påvirker ikke Mail-programmet. Problemet er løst ved at deaktivere anonyme TLS/SSL-forbindelser. Problemet påvirker ikke systemer før Mac OS X v10.6.3. Tak til Aaron Sigel fra vtty.com, Jean-Luc Giraud fra Citrix, Tomas Bjurman fra Sirius IT og Wan-Teh Chang fra Google, Inc., som har rapporteret problemet.
ClamAV
CVE-ID: CVE-2010-0098, CVE-2010-1311
Fås til: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4
Effekt: Flere sårbarheder i ClamAV
Beskrivelse: Der findes flere sårbarheder i ClamAV, hvor den mest alvorlige kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere ClamAV til version 0.96.1. ClamAV leveres kun med Mac OS X Server-systemer. Du kan finde yderligere oplysninger på ClamAV-webstedet på http://www.clamav.net/
CoreGraphics
CVE-ID: CVE-2010-1801
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Der findes et heap-bufferoverløb i CoreGraphics' håndtering af PDF-arkiver. Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode. Problemet er løst via forbedret kontrol af grænser. Tak til Rodrigo Rubira Branco fra Check Point Vulnerability Discovery Team (VDT), som har rapporteret problemet.
libsecurity
CVE-ID: CVE-2010-1802
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: En hacker i en privilegeret netværksposition, som kan hente et domænenavn, der kun afviger fra de sidste tegn i navnet på et legitimt domæne, kan udgive sig for at være værter i det pågældende domæne
Beskrivelse: Der findes et problem i håndteringen af certifikatværtsnavne. For værtsnavne, der indeholder tre eller flere komponenter, sammenlignes de sidste tegn ikke korrekt. I tilfælde af at et navn indeholder præcis tre komponenter, er det kun det sidste tegn, der ikke kontrolleres. Hvis en hacker i en privilegeret netværksposition f.eks. kan hente et certifikat for www.example.con, kan hackeren udgive sig for at være www.example.com. Problemet er løst via en forbedret håndtering af certifikatværksnavne. Tak til Peter Speck, som har rapporteret problemet.
PHP
CVE-ID: CVE-2010-1205
Fås til: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: Indlæsning af et skadeligt PNG-billede kan medføre pludselig applukning eller kørsel af vilkårlig kode
Beskrivelse: Der findes et bufferoverløb i PHPs libpng-bibliotek. Indlæsning af et skadeligt PNG-billede kan medføre pludselig applukning eller kørsel af vilkårlig kode. Problemet er løst ved at opdatere libpng i PHP til version 1.4.3. Problemet påvirker ikke systemer før Mac OS X v10.6.
PHP
CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484
Fås til: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: Flere sårbarheder i PHP 5.3.1
Beskrivelse: PHP opdateres til version 5.3.2 for at løse flere sårbarheder, hvor den mest alvorlige kan medføre kørsel af vilkårlig kode. Du kan finde yderligere oplysninger via PHP-webstedet på http://www.php.net/
Samba
CVE-ID: CVE-2010-2063
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Effekt: En uautoriseret hacker med fjernadgang kan muligvis forårsage DoS (Denial of Service) eller kørsel af vilkårlig kode
Beskrivelse: Der findes et bufferoverløb i Samba. En uautoriseret hacker med fjernadgang kan muligvis forårsage DoS (Denial of Service) eller kørsel af vilkårlig kode ved at sende en skadelig pakke. Problemet er løst ved at udføre yderligere validering af pakker i Samba.
Vigtigt: Omtale af tredjepartswebsteder og -produkter er kun til orientering og udgør hverken en godkendelse eller en anbefaling. Apple påtager sig intet ansvar med hensyn til udvælgelse, ydeevne eller brug af oplysninger eller produkter, der findes på tredjepartswebsteder. Apple leverer kun dette som en bekvemmelighed for vores brugere. Apple har ikke testet de oplysninger, der findes på disse websteder, og fremsætter ingen erklæringer om deres nøjagtighed eller pålidelighed. Der er risici forbundet med brugen af oplysninger eller produkter, der findes på internettet, og Apple påtager sig intet ansvar i denne henseende. Vær opmærksom på, at et tredjepartswebsted er uafhængigt af Apple, og at Apple ikke har kontrol over indholdet på det pågældende websted. Kontakt producenten for at få yderligere oplysninger.