Πληροφορίες σχετικά με την Ενημέρωση ασφάλειας 2010-001

Αυτό το έγγραφο περιγράφει την Ενημέρωση ασφάλειας 2010-001, η οποία μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2010-001

• CoreAudio

  CVE-ID: CVE-2010-0036

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Αποτέλεσμα: Η αναπαραγωγή κακόβουλου αρχείου ήχου mp4 μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό αρχείων ήχου mp4. Η αναπαραγωγή κακόβουλου αρχείου ήχου mp4 ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Tobias Klein της trapkit.de για την αναφορά αυτού του προβλήματος.

• CUPS

  CVE-ID: CVE-2009-3553

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό εφαρμογής του cupsd

  Περιγραφή: Υπάρχει πρόβλημα τύπου «user-after-free» στο cupsd. Με την έκδοση κακόβουλου αιτήματος get-printer-jobs, ένας εισβολέας μπορεί να προκαλέσει απομακρυσμένη άρνηση υπηρεσίας. Το πρόβλημα αμβλύνεται μέσω αυτόματης επανεκκίνησης του cupsd μετά τον τερματισμό του. Αυτό το θέμα αντιμετωπίζεται με τη βελτίωση του εντοπισμού χρήσης σύνδεσης.

• Flash Player plug-in

  CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951, CVE-2009-1869, CVE-2009-1870

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Αποτέλεσμα: Πολλές ευπάθειες στην προσθήκη του Adobe Flash Player

  Περιγραφή: Υπάρχουν πολλά προβλήματα στην προσθήκη του Adobe Flash Player, από τα οποία το πιο σοβαρό ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την προβολή ενός κακόβουλου ιστότοπου. Τα προβλήματα αντιμετωπίζονται με ενημέρωση της προσθήκης του Flash Player στην έκδοση 10.0.42. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου της Adobe στη διεύθυνση http://www.adobe.com/support/security/bulletins/apsb09-19.html Ευχαριστούμε έναν ανώνυμο ερευνητή και τον Damian Put, σε συνεργασία με την πρωτοβουλία Zero Day Initiative της TippingPoints, τον Bing Liu της Fortinet's FortiGuard Global Security Research Team, τον Will Dormann της CERT, τον Manuel Caballero και τη Microsoft Vulnerability Research (MSVR).

• ImageIO

  CVE-ID: CVE-2009-2285

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Αποτέλεσμα: Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει υποχείλιση buffer στον χειρισμό εικόνων TIFF από το ImageIO. Η προβολή κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.2.

• Image RAW

  CVE-ID: CVE-2010-0037

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Αποτέλεσμα: Η προβολή κακόβουλης εικόνας DNG ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπάρχει υπερχείλιση στον χειρισμό εικόνων DNG από το Image RAW. Η προβολή κακόβουλης εικόνας DNG ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Jason Carr της Carnegie Mellon University Computing Services για την αναφορά αυτού του προβλήματος.

• OpenSSL

  CVE-ID: CVE-2009-3555

  Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Αποτέλεσμα: Ένας εισβολέας με προνομιούχα θέση στο δίκτυο μπορεί να συλλέξει δεδομένα ή να αλλάξει τις λειτουργίες που εκτελούνται σε συνεδρίες προστατευμένες από SSL

  Περιγραφή: Υπάρχει ευπάθεια τύπου «man-in-the-middle» στα πρωτόκολλα SSL και TLS. Περισσότερες πληροφορίες διατίθενται στη διεύθυνση http://www.phonefactor.com/sslgap Αλλαγή στο πρωτόκολλο αναδιαπραγμάτευσης βρίσκεται σε εξέλιξη εντός του IETF. Αυτή η ενημέρωση απενεργοποιεί την αναδιαπραγμάτευση στο OpenSSL ως προληπτικό μέτρο ασφαλείας. Το πρόβλημα δεν επηρεάζει υπηρεσίες που χρησιμοποιούν Ασφαλή μεταφορά, καθώς δεν υποστηρίζει αναδιαπραγμάτευση. Ευχαριστούμε τους Steve Dispensa και Marsh Ray της PhoneFactor, Inc. για την αναφορά αυτού του προβλήματος.