Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης Mac OS X 10.4.7
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης Mac OS X 10.4.7, η οποία μπορεί να ληφθεί και να εγκατασταθεί με χρήση της Ενημέρωσης λογισμικού ή από τη σελίδα Λήψεις της Apple.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».
Ενημέρωση Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Διατίθεται για: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Αποτέλεσμα: Τα ονόματα αρχείων και φακέλων ενδέχεται να αποκαλυφθούν σε μη εξουσιοδοτημένους χρήστες
Περιγραφή: Ένα πρόβλημα στον διακομιστή AFP επιτρέπει τη συμπερίληψη στα αποτελέσματα αναζήτησης των ονομάτων αρχείων και φακέλων στα οποία δεν έχει πρόσβαση ο χρήστης που εκτελεί την αναζήτηση. Αυτό ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών εάν τα ίδια τα ονόματα αποτελούν ευαίσθητες πληροφορίες. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εξασφαλίζοντας ότι τα αποτελέσματα αναζήτησης περιλαμβάνουν μόνο στοιχεία για τα οποία είναι εξουσιοδοτημένος ο χρήστης. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τα Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1989
Διατίθεται για: Mac OS X Server v10.4.6
Αποτέλεσμα: Όταν η σάρωση ιών έχει διαμορφωθεί ώστε να ενημερώνεται αυτόματα, ένα κακόβουλο στοιχείο κατοπτρισμού βάσης δεδομένων ενδέχεται να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατά την αυτόματη ενημέρωση της βάσης δεδομένων ιών από το ClamAV ενδέχεται να οδηγήσει σε υπερχείλιση buffer βάσει στοίβας. Ένα κακόβουλο ή πλαστογραφημένο στοιχείο κατοπτρισμού βάσης δεδομένων ClamAV ενδέχεται να μπορεί να προκαλέσει εκτέλεση αυθαίρετου κώδικα με τα προνόμια του ClamAV. Οι ενημερώσεις της υπηρεσίας Mail, της σάρωσης ιών και οι αυτόματες ενημερώσεις της βάσης δεδομένων ιών είναι απενεργοποιημένες από προεπιλογή. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με ενσωμάτωση του ClamAV 0.88.2. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.4.
ImageIO
CVE-ID: CVE-2006-1469
Διατίθεται για: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας TIFF ενδέχεται να οδηγήσει σε ολικό σφάλμα εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Με την προσεκτική διαμόρφωση μιας κατεστραμμένης εικόνας TIFF, ένας εισβολέας μπορεί να προκαλέσει υπερχείλιση buffer βάσει στοίβας, η οποία μπορεί να προκαλέσει ολικό σφάλμα εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των εικόνων TIFF. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τα Mac OS X v10.4.
launchd
CVE-ID: CVE-2006-1471
Διατίθεται για: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Αποτέλεσμα: Οι τοπικοί χρήστες ενδέχεται να αποκτήσουν αυξημένα προνόμια
Περιγραφή: Μια ευπάθεια συμβολοσειράς μορφής στο launchd προγράμματος setuid ενδέχεται να επιτρέψει σε έναν εξουσιοδοτημένο τοπικό χρήστη να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος. Το πρόβλημα παρουσιάζεται στην εγκατάσταση καταγραφής του launchd. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης κατά την καταγραφή μηνυμάτων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.4. Ευχαριστούμε τον Kevin Finisterre της DigitalMunition για την αναφορά αυτού του προβλήματος.
OpenLDAP
CVE-ID: CVE-2006-1470
Διατίθεται για: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Αποτέλεσμα: Απομακρυσμένοι εισβολείς ενδέχεται να προκαλέσουν ολικό σφάλμα στον διακομιστή Open Directory
Περιγραφή: Με την προσεκτική διαμόρφωση ενός μη έγκυρου αιτήματος LDAP, ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει μια διεκδίκηση στον διακομιστή OpenLDAP, με αποτέλεσμα την άρνηση υπηρεσίας. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με απόρριψη του μη έγκυρου αιτήματος. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.4. Ευχαριστούμε την ομάδα έρευνας Mu Security για την αναφορά αυτού του προβλήματος.