Αυτό το άρθρο έχει αρχειοθετηθεί και δεν ενημερώνεται πλέον από την Apple.

Πληροφορίες σχετικά με την Ενημέρωση ασφάλειας 2009-005

Αυτό το έγγραφο περιγράφει την Ενημέρωση ασφάλειας 2009-005.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2009-005

  • Alias Manager

    CVE-ID: CVE-2009-2800

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Το άνοιγμα κακόβουλου αρχείου ψευδώνυμου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό των αρχείων ψευδώνυμων. Το άνοιγμα κακόβουλου αρχείου ψευδώνυμου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-2803

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Το άνοιγμα αρχείου με κακόβουλο fork πόρου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης στον χειρισμό των fork πόρου από τον Διαχειριστή πόρων. Το άνοιγμα αρχείου με κακόβουλο fork πόρου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης των fork πόρου. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • ClamAV

    CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στο ClamAV 0.94.2

    Περιγραφή: Υπάρχουν πολλές ευπάθειες στο ClamAV 0.94.2, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το ζήτημα ενημερώνοντας το ClamAV στην έκδοση 0.95.2. Το ClamAV διανέμεται μόνο με συστήματα Mac OS X Server. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του ClamAV, στη διεύθυνση http://www.clamav.net/ Αυτά τα προβλήματα δεν επηρεάζουν συστήματα Mac OS X v10.6.

  • ColorSync

    CVE-ID: CVE-2009-2804

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας με ένα ενσωματωμένο προφίλ ColorSync ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση ακέραιων στον χειρισμό εικόνων με ενσωματωμένο προφίλ ColorSync, γεγονός που μπορεί να οδηγήσει σε υπερχείλιση buffer στοίβας. Το άνοιγμα κακόβουλης εικόνας με ένα ενσωματωμένο προφίλ ColorSync ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα με εκτέλεση πρόσθετης επικύρωσης των προφίλ ColorSync. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Μια υπερχείλιση ακεραίων κατά τον χειρισμό αρχείων PDF από το CoreGraphic ενδέχεται να προκαλέσει υπερχείλιση buffer σωρού. Το άνοιγμα αρχείου PDF που περιέχει κακόβουλη ροή JBIG2 μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Will Dormann της CERT/CC για την αναφορά αυτού του προβλήματος. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6.

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στη σχεδίαση δομών κειμένου μεγάλου μήκους. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστούμε τον Will Drewry της Google Inc. για την αναφορά αυτού του προβλήματος.

  • CUPS

    CVE-ID: CVE-2009-0949

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ίσως έχει τη δυνατότητα να αρνηθεί πρόσβαση στην υπηρεσία Κοινής χρήσης εκτυπωτή

    Περιγραφή: Υπάρχει διακοπή αναφοράς δείκτη null στο CUPS. Με την επανειλημμένη αποστολή κακόβουλων αιτημάτων προγραμματισμού, ένας απομακρυσμένος εισβολέας μπορεί να αρνηθεί πρόσβαση στην υπηρεσία Κοινής χρήσης εκτυπωτή. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένης επαλήθευσης των αιτημάτων προγραμματισμού. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστούμε τον Anibal Sacco της CORE IMPACT Exploit Writing Team (EWT) στην Core Security Technologies για την αναφορά αυτού του προβλήματος.

  • CUPS

    CVE-ID: CVE-2009-2807

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Μη προνομιούχος τοπικός χρήστης ενδέχεται να αποκτήσει προνόμια συστήματος

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στο παρασκήνιο του CUPS USB. Αυτό μπορεί να επιτρέψει σε τοπικό χρήστη να αποκτήσει προνόμια συστήματος. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου ελέγχου ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5 ή το Mac OS X v10.6.

  • Flash Player plug-in

    CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στην προσθήκη του Adobe Flash Player

    Περιγραφή: Υπάρχουν πολλά προβλήματα στην προσθήκη του Adobe Flash Player, από τα οποία το πιο σοβαρό ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την προβολή κακόβουλου ιστότοπου. Τα προβλήματα αντιμετωπίζονται με ενημέρωση της προσθήκης του Flash Player σε συστήματα Mac OS v10.5.8 στην έκδοση 10.0.32.18 και στην έκδοση 9.0.246.0 σε συστήματα Mac OS X v10.4.11. Για συστήματα Mac OS X v10.6, αυτά τα προβλήματα αντιμετωπίζονται στο Mac OS X v10.6.1. Περισσότερες πληροφορίες διατίθενται στον ιστότοπο της Adobe στη διεύθυνση http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID: CVE-2009-2809

    Διατίθεται για: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η προβολή κακόβουλης κωδικοποιημένης εικόνας TIFF PixarFilm μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν πολλά προβλήματα καταστροφής μνήμης στον χειρισμό των κωδικοποιημένων εικόνων TIFF PixarFilm από το ImageIO. Η προβολή κακόβουλης κωδικοποιημένης εικόνας TIFF PixarFilm μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω πρόσθετης επικύρωσης των κωδικοποιημένων εικόνων TIFF PixarFilm. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • Launch Services

    CVE-ID: CVE-2009-2811

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η απόπειρα ανοίγματος μη ασφαλούς ληφθέντος περιεχομένου μπορεί να μην οδηγήσει σε προειδοποίηση

    Περιγραφή: Αυτή η ενημέρωση προσθέτει τα «.fileloc» στη λίστα τύπων περιεχομένου του συστήματος που θα επισημαίνονται ως ενδεχόμενα μη ασφαλή υπό ορισμένες συνθήκες, όπως όταν λαμβάνονται από e-mail. Ενώ αυτοί οι τύποι περιεχομένου δεν ανοίγουν αυτόματα, αν ανοιχτούν χειροκίνητα, θα μπορούσαν να οδηγήσουν στην εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου. Αυτή η ενημέρωση βελτιώνει την ικανότητα του συστήματος να ειδοποιεί τους χρήστες πριν από τον χειρισμό αρχείων «.fileloc». Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • Launch Services

    CVE-ID: CVE-2009-2812

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Όταν λαμβάνεται μια εφαρμογή, το Launch Services αναλύει τους εξαγόμενους τύπους εγγράφων. Σχεδιαστικό πρόβλημα στη διαχείριση των εξαγόμενων τύπων εγγράφων μπορεί να οδηγήσει το Launch Services να συνδέσει μια ασφαλή επέκταση αρχείου με ένα μη ασφαλές Uniform Type Identifier (UTI). Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να έχει ως αποτέλεσμα ένας μη ασφαλής τύπος αρχείου να ανοίξει αυτόματα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα μέσω βελτιωμένου χειρισμού των εξαγόμενων τύπων εγγράφων από αναξιόπιστες εφαρμογές. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5 ή το Mac OS X v10.6. Ευχαριστίες: Apple.

  • MySQL

    CVE-ID: CVE-2008-2079

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Το MySQL ενημερώνεται στην έκδοση 5.0.82

    Περιγραφή: Το MySQL ενημερώνεται στην έκδοση 5.0.82 για την αντιμετώπιση προβλήματος εφαρμογής που επιτρέπει σε τοπικό χρήστη να λάβει ανώτερα προνόμια. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Περισσότερες πληροφορίες διατίθενται στον ιστότοπο της MySQL στη διεύθυνση http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    Διατίθεται για: Mac OS X v10.5, Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στο PHP 5.2.8

    Περιγραφή: Το PHP έχει ενημερωθεί στην έκδοση 5.2.10 για την αντιμετώπιση πολλών ευπαθειών, η σοβαρότερη εκ των οποίων ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της PHP, στη διεύθυνση http://www.php.net/ Αυτά τα προβλήματα δεν επηρεάζουν συστήματα Mac OS X v10.6.

  • SMB

    CVE-ID: CVE-2009-2813

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η ενεργοποίηση του Windows File Sharing ενδέχεται να μοιραστεί φακέλους απρόσμενα

    Περιγραφή: Υπάρχει συνθήκη μη ελεγμένου σφάλματος στο Samba. Χρήστης που δεν διαθέτει διαμορφωμένο κεντρικό κατάλογο και συνδέεται στην υπηρεσία Windows File Sharing θα μπορεί να έχει πρόσβαση στα περιεχόμενα του συστήματος αρχείων βάσει των αδειών του τοπικού συστήματος αρχείων. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα βελτιώνοντας τον χειρισμό σφαλμάτων ανάλυσης διαδρομής. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5 ή το Mac OS X v10.6. Ευχαριστούμε τον J. David Hester της LCG Systems National Institutes of Health για την αναφορά αυτού του προβλήματος.

  • Wiki Server

    CVE-ID: CVE-2009-2814

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει πρόσβαση σε λογαριασμούς χρηστών του Wiki Server

    Περιγραφή: Υπάρχει πρόβλημα διατοποθεσιακής εκτέλεσης σεναρίου στον χειρισμό αιτημάτων αναζήτησης που περιέχουν κωδικοποιημένα δεδομένα μη-UTF-8 από το Wiki Server. Αυτό μπορεί να επιτρέψει σε απομακρυσμένο εισβολέα την πρόσβαση σε διακομιστή Wiki με τα διαπιστευτήρια του χρήστη του Wiki Server που εκτελεί την αναζήτηση. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα ορίζοντας το UTF-8 ως τον προεπιλεγμένο χαρακτήρα στις αποκρίσεις HTTP. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.5 ή το Mac OS X v10.6. Ευχαριστίες: Apple.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: