Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2008-008 / Mac OS X v10.5.6

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2008-008 / Mac OS X v10.5.6, που μπορεί να ληφθεί και να εγκατασταθεί μέσω των προτιμήσεων Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να μάθετε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στην ενότητα «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Διατίθεται για: Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η προβολή ή λήψη αρχείου PDF που περιέχει κακόβουλη ενσωματωμένη γραμματοσειρά ενδέχεται να οδηγήσει σε άρνηση υπηρεσίας

    Περιγραφή: Ένας αέναος βρόχος ενδέχεται να προκύψει στη διαχείριση ενσωματωμένων γραμματοσειρών σε αρχεία PDF από τον διακομιστή Apple Type Services. Η προβολή ή λήψη αρχείου PDF που περιέχει κακόβουλη ενσωματωμένη γραμματοσειρά ενδέχεται να οδηγήσει σε άρνηση υπηρεσίας Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα εκτελώντας πρόσθετη επικύρωση των ενσωματωμένων γραμματοσειρών. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.5. Ευχαριστούμε τους Michael Samarin και Mikko Vihonen της Futurice Ltd. για την αναφορά αυτού του προβλήματος.

  • BOM

    CVE-ID: CVE-2008-4217

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η λήψη ή προβολή ενός κακόβουλου αρχείου CPIO ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα ή απρόσμενο τερματισμό της εφαρμογής

    Περιγραφή: Υπάρχει ζήτημα signedness στον τρόπο με τον οποίο χειρίζεται το BOM τις κεφαλίδες CPIO, γεγονός που ενδέχεται να προκαλέσει υπερχείλιση buffer σωρού. Η λήψη ή προβολή ενός κακόβουλου αρχείου CPIO ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα ή απρόσμενο τερματισμό της εφαρμογής. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των κεφαλίδων CPIO. Ευχαριστίες: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει μια υπερχείλιση buffer στοίβας κατά τον χειρισμό χώρων χρωμάτων εντός του CoreGraphics. Η προβολή κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστίες: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην κοινοποίηση διαπιστευτηρίων χρήστη

    Περιγραφή: Το Safari επιτρέπει σε ιστότοπους να ορίζουν cookies για κορυφαίου επιπέδου τομείς συγκεκριμένων χωρών, γεγονός που μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να πραγματοποιήσει επίθεση σταθεροποίησης συνεδρίας και να υποκλέψει διαπιστευτήρια χρήστη. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των ονομάτων τομέα. Ευχαριστούμε τον Alexander Clauss της iCab.de για την αναφορά αυτού του προβλήματος.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Διατίθεται για: Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η απόπειρα εκκίνησης μη ασφαλούς ληφθέντος περιεχομένου ενδέχεται να μην οδηγήσει σε προειδοποίηση

    Περιγραφή: Το Mac OS X παρέχει τη δυνατότητα Επικύρωσης λήψης που υποδεικνύει πιθανώς μη ασφαλή αρχεία. Εφαρμογές όπως το Safari και άλλες χρησιμοποιούν την Επικύρωση λήψης για να προειδοποιήσουν τους χρήστες πριν από το άνοιγμα αρχείων που επισημαίνονται ως ενδεχόμενα μη ασφαλή. Αυτή η ενημέρωση προσθέτει δεδομένα στη λίστα ενδεχόμενα μη ασφαλών τύπων. Προσθέτει τον τύπο περιεχομένου για αρχεία που έχουν εκτελέσιμες άδειες και δεν συνδέονται με συγκεκριμένη εφαρμογή. Αυτά τα αρχεία είναι πιθανώς μη ασφαλή, καθώς θα ανοίξουν σε Τερματικό και το περιεχόμενό τους θα εκτελεστεί ως εντολές. Ενώ αυτά τα αρχεία δεν εκκινούνται αυτόματα, αν ανοιχτούν χειροκίνητα, θα μπορούσαν να οδηγήσουν στην εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Πολλές ευπάθειες στην προσθήκη του Adobe Flash Player

    Περιγραφή: Υπάρχουν πολλά προβλήματα στην προσθήκη του Adobe Flash Player, από τα οποία το πιο σοβαρό ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την προβολή κακόβουλου ιστότοπου. Τα προβλήματα αντιμετωπίζονται με ενημέρωση της προσθήκης του Flash Player στην έκδοση 9.0.151.0. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου της Adobe στο http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Διατίθεται για: Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αποκτήσει προνόμια συστήματος

    Περιγραφή: Προβλήματα υπερχείλισης ακεραίων υπάρχουν εντός των κλήσεων συστήματος i386_set_ldt και i386_get_ldt, γεγονός που μπορεί να επιτρέψει σε τοπικό χρήστη να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα μέσω βελτιωμένου ελέγχου ορίων. Αυτά τα προβλήματα δεν επηρεάζουν συστήματα PowerPC. Ευχαριστούμε τον Richard van Eeden της IOActive, Inc. για την αναφορά αυτών των προβλημάτων.

  • Kernel

    CVE-ID: CVE-2008-4219

    Διατίθεται για: Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Η εκτέλεση ενός εκτελέσιμου που συνδέει δυναμικές συλλογές σε κοινή χρήση NFS ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό του συστήματος

    Περιγραφή: Ένας αέναος βρόχος ενδέχεται να προκύψει όταν ένα πρόγραμμα που βρίσκεται σε κοινή χρήση NFS λάβει μια εξαίρεση. Αυτό μπορεί να οδηγήσει σε απρόσμενο τερματισμό του συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των εξαιρέσεων. Ευχαριστούμε τον Ben Loer του Princeton University για την αναφορά αυτού του προβλήματος.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Εφαρμογές που χρησιμοποιούν το API inet_net_pton ενδέχεται να είναι ευάλωτες στην εκτέλεση αυθαίρετου κώδικα ή σε απρόσμενο τερματισμό της εφαρμογής

    Περιγραφή: Υπερχείλιση ακεραίων υπάρχει στο API inet_net_pton του Libsystem, γεγονός που μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα ή σε απρόσμενο τερματισμό της εφαρμογή χρησιμοποιώντας το API. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το API δεν καλείται κανονικά με αναξιόπιστα δεδομένα και δεν υπάρχουν γνωστές αξιοποιήσιμες περιπτώσεις αυτού του προβλήματος. Αυτή η ενημέρωση παρέχεται για να συμβάλει στην άμβλυνση ενδεχόμενων επιθέσεων κατά εφαρμογής που χρησιμοποιεί αυτό το API.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Εφαρμογές που χρησιμοποιούν το API strptime ενδέχεται να είναι ευάλωτες στην εκτέλεση αυθαίρετου κώδικα ή σε απρόσμενο τερματισμό της εφαρμογής

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στο API strptime του Libsystem. Η ανάλυση μιας κακόβουλης δομής ημερομηνίας ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα ή απρόσμενο τερματισμό της εφαρμογής. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης κατανομής της μνήμης. Ευχαριστίες: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Εφαρμογές που χρησιμοποιούν το API strfmon ενδέχεται να είναι εκτεθειμένες σε απρόσμενο τερματισμό της εφαρμογής ή στην εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν πολλές υπερχειλίσεις ακεραίων στην εφαρμογή του strfmon του Libsystem. Μια εφαρμογή που καλεί το strfmon με μεγάλες τιμές ορισμένων πεδίων ακεραίων με τη μορφή ορίσματος δομής ενδέχεται να τερματίσει απρόσμενα ή να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα μέσω βελτιωμένου ελέγχου ορίων.

  • Managed Client

    CVE-ID: CVE-2008-4237

    Διατίθεται για: Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Οι διαχειριζόμενες ρυθμίσεις προστασίας οθόνης δεν εφαρμόζονται

    Περιγραφή: Η μέθοδος με την οποία το λογισμικό σε διαχειριζόμενο σύστημα πελάτη εγκαθιστά πληροφορίες κατά διαμόρφωση υπολογιστή δεν αναγνωρίζει πάντα σωστά το σύστημα. Σε εσφαλμένα αναγνωρισμένο σύστημα, οι ρυθμίσεις κατά υπολογιστή δεν εφαρμόζονται, συμπεριλαμβανομένου του κλειδώματος προστασίας οθόνης. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα κάνοντας τον Διαχειριζόμενο πελάτη να χρησιμοποιήσει τη σωστή αναγνώριση συστήματος. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα με ενσωματωμένο Ethernet. Ευχαριστούμε τους John Barnes του ESRI και Trevor Lalish-Menagh της Tamman Technologies, Inc. για την αναφορά αυτού του προβλήματος.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας αν είναι ενεργοποιημένη η Κοινή χρήση Διαδικτύου

    Περιγραφή: Ένας αέναος βρόχος ενδέχεται να προκύψει στον χειρισμό πακέτων TCP στο natd. Μέσω της αποστολής ενός κακόβουλου πακέτου TCP, ένας απομακρυσμένος εισβολέας μπορεί να καταφέρει να προκαλέσει άρνηση υπηρεσίας αν είναι ενεργοποιημένη η Κοινή χρήση του Διαδικτύου. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με την εκτέλεση επιπλέον διαδικασιών επαλήθευσης στα πακέτα TCP. Ευχαριστούμε τον Alex Rosenberg της Ohmantics και τον Gary Teter της Paizo Publishing για την αναφορά αυτού του προβλήματος.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Διατίθεται για: Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει πρόσβαση στις λειτουργίες διαχείρισης του Podcast Producer

    Περιγραφή: Υπάρχει πρόβλημα παράκαμψης επαλήθευσης ταυτότητας στον Podcast Producer Server, γεγονός που μπορεί να επιτρέψει σε μη εξουσιοδοτημένο χρήστη να έχει πρόσβαση στις λειτουργίες διαχείρισης στον διακομιστή. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των περιορισμών πρόσβασης. Ο Podcast Producer Server παρουσιάστηκε στο Mac OS X Server v10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 έως v10.5.5, Mac OS X Server v10.5 έως v10.5.5

    Αποτέλεσμα: Το άνοιγμα ενός αρχείου ISO ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό του συστήματος

    Περιγραφή: Υπάρχει πρόβλημα επαλήθευσης εισαγωγής στον χειρισμό κακοσχηματισμένων όγκων UDF. Το άνοιγμα ενός κακόβουλου αρχείου ISO ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό του συστήματος Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης των δεδομένων εισαγωγής. Ευχαριστούμε τον Mauro Notarianni της PCAX Solutions για την αναφορά αυτού του προβλήματος.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: