Σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2009-001
Αυτό το έγγραφο περιγράφει την Ενημέρωση ασφάλειας 2009-001, η οποία μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
Ενημέρωση ασφάλειας 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Χρήστης με δυνατότητα σύνδεσης σε Διακομιστή AFP ενδέχεται να μπορεί να εκκινήσει άρνηση υπηρεσίας
Περιγραφή: Σπάνια κατάσταση σε Διακομιστή AFP μπορεί να οδηγήσει σε αέναο βρόχο. Η απαρίθμηση αρχείων σε διακομιστή AFP μπορεί να προκαλέσει άρνηση υπηρεσίας. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης λογικής απαρίθμησης αρχείων. Αυτό το πρόβλημα επηρεάζει μόνο συστήματα που εκτελούν Mac OS X v10.5.6.
Apple Pixlet Video
CVE-ID: CVE-2009-0009
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό αρχείων ταινίας κατά τη χρήση του codec Pixlet. Το άνοιγμα ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστίες: Apple.
CarbonCore
CVE-ID: CVE-2009-0020
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Το άνοιγμα αρχείου με κακόβουλο fork πόρου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό των fork πόρου από τον Διαχειριστή πόρων. Το άνοιγμα αρχείου με κακόβουλο fork πόρου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης των fork πόρου. Ευχαριστίες: Apple.
CFNetwork
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Αποκαθιστά τη σωστή λειτουργία των cookies με μηδενικούς χρόνους λήξης
Περιγραφή: Αυτή η ενημέρωση αντιμετωπίζει απόκλιση που δεν αφορά την ασφάλεια στο Mac OS X 10.5.6. Τα cookies μπορεί να μην είναι σωστά ρυθμισμένα αν ένας ιστότοπος επιχειρήσει να ρυθμίσει ένα cookie συνεδρίας παρέχοντας μηδενική τιμή στο πεδίο «expires», αντί να παραλείψει το πεδίο. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα αγνοώντας το πεδίο «expires» αν έχει μηδενική τιμή.
CFNetwork
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Αποκαθιστά τη σωστή λειτουργία των cookies συνεδρίας σε όλες τις εφαρμογές
Περιγραφή: Αυτή η ενημέρωση αντιμετωπίζει απόκλιση που δεν αφορά την ασφάλεια στο Mac OS X 10.5.6. Το CFNetwork μπορεί να μην αποθηκεύει τα cookies στον δίσκο αν πολλές ανοιχτές εφαρμογές επιχειρούν να ρυθμίσουν cookies συνεδρίας. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα διασφαλίζοντας ότι κάθε εφαρμογή αποθηκεύει τα cookies συνεδρίας της χωριστά.
Certificate Assistant
CVE-ID: CVE-2009-0011
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Τοπικός χρήστης μπορεί να χειριστεί αρχεία με τα προνόμια άλλου χρήστη που εκτελεί τον Certificate Assistant
Περιγραφή: Υπάρχει μη ασφαλής λειτουργία αρχείου στον χειρισμό προσωρινών αρχείων από τον Certificate Assistant. Αυτό μπορεί να επιτρέψει σε τοπικό χρήστη να αντικαταστήσει αρχεία με τα προνόμια άλλου χρήστη που εκτελεί τον Certificate Assistant. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού προσωρινών αρχείων. Αυτό το πρόβλημα δεν επηρεάζει συστήματα προγενέστερα του Mac OS X v10.5. Πηγή: Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Διατίθεται για: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Αποτέλεσμα: Πολλές ευπάθειες στο ClamAV 0.94
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο ClamAV 0.94, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το ζήτημα ενημερώνοντας το ClamAV στην έκδοση 0.94.2. Το ClamAV διανέμεται μόνο με συστήματα Mac OS X Server. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του ClamAV, στη διεύθυνση http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η προβολή κακόβουλου περιεχομένου Unicode μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Μπορεί να προκύψει υπερχείλιση buffer στοίβας κατά την επεξεργασία δομών Unicode σε CoreText. Η χρήση του CoreText για τον χειρισμό κακόβουλων δομών Unicode, όπως όταν προβάλλεται μια κακόβουλη ιστοσελίδα, ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τα Mac OS X v10.5. Ευχαριστούμε τη Rosyna από την Unsanity για την αναφορά αυτού του προβλήματος.
CUPS
CVE-ID: CVE-2008-5183
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Η υπέρβαση του μέγιστου αριθμού συνδρομών RSS έχει ως αποτέλεσμα διακοπή αναφοράς δείκτη null στη διεπαφή web CUPS. Αυτό ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής κατά την επίσκεψη σε κακόβουλο ιστότοπο. Προκειμένου να εκκινηθεί αυτό το πρόβλημα, έγκυρα διαπιστευτήρια χρήστη θα πρέπει είτε να είναι γνωστά στον εισβολέα είτε να βρίσκονται στη μνήμη cache του προγράμματος περιήγησης του χρήστη. Το CUPS θα επανεκκινηθεί αυτόματα όταν εκκινηθεί αυτό το ζήτημα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με σωστό χειρισμό του αριθμού συνδρομών RSS. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5.
DS Tools
CVE-ID: CVE-2009-0013
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Συνθηματικά που παρέχονται στο dscl εκτίθενται σε άλλους τοπικούς χρήστες
Περιγραφή: Το εργαλείο γραμμής εντολών dscl απαιτούσε τα συνθηματικά να περαστούν σε αυτό στα ορίσματά του, εκθέτοντας πιθανώς τα συνθηματικά σε άλλους τοπικούς χρήστες. Τα εκτεθειμένα συνθηματικά περιλαμβάνουν εκείνα για χρήστες και διαχειριστές. Αυτή η ενημέρωση καθιστά προαιρετική την παράμετρο εισαγωγής του συνθηματικού και το dscl θα ζητήσει το συνθηματικό εφόσον είναι απαραίτητο. Ευχαριστίες: Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Πολλές ευπάθειες στο fetchmail 6.3.8
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο fetchmail 6.3.8, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε άρνηση υπηρεσίας. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα μέσω ενημέρωσης στην έκδοση 6.3.9. Περαιτέρω πληροφορίες είναι διαθέσιμες μέσω του ιστότοπου του fetchmail στη διεύθυνση http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Άλλοι τοπικοί χρήστες ενδέχεται να έχουν πρόσβαση στον φάκελο Λήψεις
Περιγραφή: Υπάρχει πρόβλημα με τις προεπιλεγμένες άδειες στον Διαχειριστή φακέλων. Όταν ένας χρήστης διαγράφει τον φάκελο Λήψεις του και ο Διαχειριστής φακέλων τον αναδημιουργήσει, ο φάκελος δημιουργείται με άδειες ανάγνωσης για όλους. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα κάνοντας τον Διαχειριστή φακέλων να περιορίσει τις άδειες, ώστε ο φάκελος να είναι προσβάσιμος μόνο στον χρήστη. Αυτό το πρόβλημα επηρεάζει μόνο εφαρμογές που χρησιμοποιούν τον Διαχειριστή φακέλων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5. Ευχαριστούμε τον Graham Perrin του CENTRIM, University of Brighton για την αναφορά αυτού του προβλήματος.
FSEvents
CVE-ID: CVE-2009-0015
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Χρησιμοποιώντας το πλαίσιο FSEvents, ένας τοπικός χρήστης μπορεί να δει τη δραστηριότητα του συστήματος αρχείων που διαφορετικά δεν θα ήταν διαθέσιμη
Περιγραφή: Υπάρχει πρόβλημα διαχείρισης διαπιστευτηρίων στο fseventsd. Χρησιμοποιώντας το πλαίσιο FSEvents, ένας τοπικός χρήστης μπορεί να δει τη δραστηριότητα του συστήματος αρχείων που διαφορετικά δεν θα ήταν διαθέσιμη. Αυτό περιλαμβάνει το όνομα ενός καταλόγου που διαφορετικά ο χρήστης δεν θα μπορούσε να δει και την ανίχνευση δραστηριότητας στον κατάλογο σε δεδομένο χρόνο. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης διαπιστευτηρίων στο fseventsd. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από τα Mac OS X v10.5. Ευχαριστούμε τον Mark Dalrymple για την αναφορά αυτού του προβλήματος.
Network Time
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η διαμόρφωση της υπηρεσίας Network Time ενημερώθηκε
Περιγραφή: Ως προδραστικό μέτρο ασφαλείας, αυτή η ενημέρωση αλλάζει την προεπιλεγμένη διαμόρφωση για την υπηρεσία Network Time. Οι πληροφορίες χρόνου και έκδοσης συστήματος δεν θα είναι πλέον διαθέσιμες στην προεπιλεγμένη διαμόρφωση ntpd. Σε συστήματα Mac OS X v10.4.11, η νέα διαμόρφωση εφαρμόζεται μετά την επανεκκίνηση του συστήματος όταν είναι ενεργοποιημένη η υπηρεσία Network Time.
perl
CVE-ID: CVE-2008-1927
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η χρήση συνηθισμένων εκφράσεων που περιέχουν χαρακτήρες UTF-8 μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό ορισμένων χαρακτήρων UTF-8 σε συνηθισμένες εκφράσεις. Η ανάλυση κακόβουλων συνηθισμένων εκφράσεων ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των κανονικών παραστάσεων.
Printing
CVE-ID: CVE-2009-0017
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αποκτήσει προνόμια συστήματος
Περιγραφή: Υπάρχει πρόβλημα χειρισμού σφαλμάτων στο csregprinter, που μπορεί να οδηγήσει σε υπερχείλιση buffer στοίβας. Αυτό μπορεί να επιτρέψει σε τοπικό χρήστη να αποκτήσει προνόμια συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού σφαλμάτων. Ευχαριστούμε τον Lars Haulin για την αναφορά αυτού του προβλήματος.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Πολλές ευπάθειες σε python
Περιγραφή: Υπάρχουν πολλές ευπάθειες σε python, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα εφαρμόζοντας patch από το έργο python.
Remote Apple Events
CVE-ID: CVE-2009-0018
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η αποστολή Απομακρυσμένων γεγονότων Apple μπορεί να οδηγήσει σε κοινοποίηση ευαίσθητων πληροφοριών
Περιγραφή: Υπάρχει πρόβλημα μη προετοιμασμένου buffer στον διακομιστή Απομακρυσμένων γεγονότων Apple που μπορεί να οδηγήσει σε κοινοποίηση περιεχομένων της μνήμης σε πελάτες δικτύου. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης αρχικοποίησης της μνήμης. Ευχαριστίες: Apple.
Remote Apple Events
CVE-ID: CVE-2009-0019
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η ενεργοποίηση των Απομακρυσμένων γεγονότων Apple μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε κοινοποίηση ευαίσθητων πληροφοριών
Περιγραφή: Υπάρχει πρόσβαση στην εκτός ορίων μνήμη στα Απομακρυσμένα γεγονότα Apple. Η ενεργοποίηση των Απομακρυσμένων γεγονότων Apple μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε κοινοποίηση ευαίσθητων πληροφοριών σε πελάτες δικτύου. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστίες: Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η πρόσβαση σε κακόβουλη URL feed: μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπάρχουν πολλά προβλήματα επικύρωσης εισαγωγής στον χειρισμό των URL feed: από το Safari. Τα προβλήματα επιτρέπουν την εκτέλεση αυθαίρετης JavaScript στην τοπική ζώνη ασφαλείας. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού της ενσωματωμένης JavaScript εντός των URL feed:. Ευχαριστούμε τους Clint Ruoho της Laconic Security, Billy Rios της Microsoft και Brian Mastenbrook για την αναφορά αυτών των προβλημάτων.
servermgrd
CVE-ID: CVE-2009-0138
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Απομακρυσμένοι εισβολείς ενδέχεται να έχουν πρόσβαση στον Server Manager χωρίς έγκυρα διαπιστευτήρια
Περιγραφή: Πρόβλημα στην επικύρωση επαλήθευσης διαπιστευτηρίων του Server Manager μπορεί να επιτρέψει σε απομακρυσμένο εισβολέα να αλλάξει τη διαμόρφωση του συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω πρόσθετης επικύρωσης επαλήθευσης διαπιστευτηρίων. Αυτό το πρόβλημα δεν επηρεάζει συστήματα προγενέστερα του Mac OS X v10.5. Πηγή: Apple.
SMB
CVE-ID: CVE-2009-0139
Διατίθεται για: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η σύνδεση σε κακόβουλο σύστημα αρχείων SMB μπορεί να οδηγήσει σε απρόσμενο τερματισμό του συστήματος ή σε εκτέλεση αυθαίρετου κώδικα με προνόμια συστήματος
Περιγραφή: Υπερχείλιση ακεραίων σε σύστημα αρχείων SMB μπορεί να έχει ως αποτέλεσμα υπερχείλιση buffer στοίβας. Η σύνδεση σε κακόβουλο σύστημα αρχείων SMB μπορεί να οδηγήσει σε απρόσμενο τερματισμό του συστήματος ή σε εκτέλεση αυθαίρετου κώδικα με προνόμια συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει συστήματα προγενέστερα του Mac OS X v10.5. Πηγή: Apple.
SMB
CVE-ID: CVE-2009-0140
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Η σύνδεση με κακόβουλο σύστημα αρχείων SMB μπορεί να οδηγήσει σε απρόσμενο τερματισμό του συστήματος
Περιγραφή: Υπάρχει πρόβλημα εξάντλησης της μνήμης στον χειρισμό των ονομάτων συστήματος αρχείων από το σύστημα αρχείων SMB. Η σύνδεση με κακόβουλο σύστημα αρχείων SMB μπορεί να οδηγήσει σε απρόσμενο τερματισμό του συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα περιορίζοντας την ποσότητα της μνήμης που ανατίθεται από τον πελάτη για τα ονόματα συστήματος αρχείων. Ευχαριστίες: Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Διατίθεται για: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Αποτέλεσμα: Πολλές ευπάθειες στο SquirrelMail
Περιγραφή: Το SquirrelMail ενημερώνεται στην έκδοση 1.4.17 για την αντιμετώπιση αρκετών ευπαθειών, εκ των οποίων η σοβαρότερη είναι πρόβλημα διατοποθεσιακής δέσμης ενεργειών. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του SquirrelMail στη διεύθυνση http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Πολλές ευπάθειες στον διακομιστή X11
Περιγραφή: Υπάρχουν πολλές ευπάθειες στον διακομιστή X11. Η σοβαρότερη από αυτές μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα με τα προνόμια του χρήστη που διαχειρίζεται τον διακομιστή Χ11 αν ο εισβολέας μπορεί να κάνει επαλήθευση ταυτότητας στον διακομιστή Χ11. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα εφαρμόζοντας τα ενημερωμένα patch X.org. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της X.Org, στη διεύθυνση http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Αποτέλεσμα: Πολλές ευπάθειες στο FreeType v2.1.4
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο FreeType v2.1.4, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την επεξεργασία κακόβουλης γραμματοσειράς. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα ενσωματώνοντας τις επιδιορθώσεις ασφαλείας από την έκδοση 2.3.6 του FreeType. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της FreeType στη διεύθυνση http://www.freetype.org/ Τα προβλήματα έχουν ήδη αντιμετωπιστεί σε συστήματα που εκτελούν Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Αποτέλεσμα: Πολλές ευπάθειες στο LibX11
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο LibX11, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την επεξεργασία κακόβουλης γραμματοσειράς. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα εφαρμόζοντας τα ενημερωμένα patch X.org. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της X.Org στη διεύθυνση http://www.x.org/wiki/Development/Security Αυτά τα προβλήματα δεν επηρεάζουν συστήματα που εκτελούν Mac OS X v10.5 ή νεότερη έκδοση.
XTerm
CVE-ID: CVE-2009-0141
Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να στείλει πληροφορίες απευθείας στο Xterm άλλου χρήστη
Περιγραφή: Υπάρχει πρόβλημα άδειας στο Xterm. Όταν χρησιμοποιείται με το luit, το Xterm δημιουργεί συσκευές tty προσβάσιμες από όλους. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα, επιβάλλοντας στο Xterm να περιορίσει τις άδειες ώστε οι συσκευές tty να είναι προσβάσιμες μόνο από τον χρήστη.
Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.