Αυτό το άρθρο έχει αρχειοθετηθεί και δεν ενημερώνεται πλέον από την Apple.

Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2010-002 / Mac OS X v10.6.3

Το παρόν έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2010-002 / Mac OS X v10.6.3.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2010-002 / Mac OS X v10.6.3

  • AppKit

    CVE-ID: CVE-2010-0056

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ο ορθογραφικός έλεγχος ενός κακόβουλου εγγράφου ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση στη λειτουργία του ορθογραφικού ελέγχου που χρησιμοποιείται από τις εφαρμογές Cocoa. Ο ορθογραφικός έλεγχος ενός κακόβουλου εγγράφου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • Application Firewall

    CVE-ID: CVE-2009-2801

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ορισμένοι κανόνες στο τείχος προστασίας της εφαρμογής ενδέχεται να καταστούν ανενεργοί μετά την επανεκκίνηση

    Περιγραφή: Ένα πρόβλημα χρονισμού στο τείχος προστασίας της εφαρμογής ενδέχεται να καθιστά ανενεργούς ορισμένους κανόνες μετά την επανεκκίνηση. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των κανόνων τείχους προστασίας. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστούμε τον Michael Kisor της OrganicOrb.com για την αναφορά αυτού του προβλήματος.

  • AFP Server

    CVE-ID: CVE-2010-0057

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Όταν απενεργοποιείται η πρόσβαση επισκέπτη, ένας απομακρυσμένος χρήστης μπορεί να έχει τη δυνατότητα να συνθέσει την κοινή χρήση AFP ως επισκέπτης

    Περιγραφή: Ένα πρόβλημα ελέγχου πρόσβασης στον διακομιστή AFP ενδέχεται να επιτρέπει σε έναν απομακρυσμένο χρήστη να συνθέσει την κοινή χρήση AFP ως επισκέπτης, ακόμα και αν η πρόσβαση επισκέπτη έχει απενεργοποιηθεί. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων πρόσβασης. Ευχαριστίες: Apple.

  • AFP Server

    CVE-ID: CVE-2010-0533

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης με πρόσβαση επισκέπτη σε κοινή χρήση AFP ενδέχεται να αποκτήσει πρόσβαση στα περιεχόμενα των αρχείων που είναι παγκοσμίως αναγνώσιμα εκτός από τη δημόσια κοινή χρήση

    Περιγραφή: Υπάρχει ένα πρόβλημα τραβέρσας καταλόγου στην επαλήθευση διαδρομής για κοινή χρήση AFP. Ένας απομακρυσμένος χρήστης ενδέχεται να απαριθμήσει τον γονικό κατάλογο της πηγής κοινής χρήσης και να διαβάσει ή να γράψει αρχεία εντός του συγκεκριμένου καταλόγου όπου έχει πρόσβαση ο χρήστης «κανένας». Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των διαδρομών αρχείων. Ευχαριστούμε τον Patrik Karlsson της cqure.net για την αναφορά αυτού του προβλήματος.

  • Apache

    CVE-ID: CVE-2009-3095

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να παρακάμψει τους περιορισμούς ελέγχου πρόσβασης

    Περιγραφή: Υπάρχει πρόβλημα επαλήθευσης εισόδου στον χειρισμό Apache των αιτημάτων FTP μεσολάβησης. Ένας απομακρυσμένος εισβολέας με τη δυνατότητα έκδοσης αιτημάτων μέσω διακομιστή μεσολάβησης μπορεί να έχει τη δυνατότητα να παρακάμψει τους περιορισμούς ελέγχου πρόσβασης που καθορίζονται στη διαμόρφωση Apache. Αυτό το πρόβλημα αντιμετωπίστηκε με την ενημέρωση Apache στην έκδοση 2.2.14.

  • ClamAV

    CVE-ID: CVE-2010-0058

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Οι ορισμοί ιών του ClamAV μπορεί να μην λαμβάνουν ενημερώσεις

    Περιγραφή: Ένα πρόβλημα διαμόρφωσης που εισήχθη στην Ενημέρωση ασφάλειας 2009-005 αποτρέπει την εκτέλεση του freshclam. Αυτό ενδέχεται να μην επιτρέπει την ενημέρωση των ορισμών ιών. Αυτό το πρόβλημα αντιμετωπίζεται με την ενημέρωση των βασικών τιμών ProgramArguments της λίστας ιδιοτήτων του freshclam. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστούμε τον Bayard Bell, τον Wil Shipley της Delicious Monster και τον David Ferrero της Zion Software, LLC για την αναφορά αυτού του προβλήματος.

  • CoreAudio

    CVE-ID: CVE-2010-0059

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η αναπαραγωγή κακόβουλου περιεχομένου ήχου ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν προβλήματα καταστροφής μνήμης κατά τον χειρισμό κωδικοποιημένου περιεχομένου ήχου QDM2. Η αναπαραγωγή κακόβουλου περιεχομένου ήχου ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • CoreAudio

    CVE-ID: CVE-2010-0060

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η αναπαραγωγή κακόβουλου περιεχομένου ήχου ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν προβλήματα καταστροφής μνήμης κατά τον χειρισμό κωδικοποιημένου περιεχομένου ήχου QDMC. Η αναπαραγωγή κακόβουλου περιεχομένου ήχου ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • CoreMedia

    CVE-ID: CVE-2010-0062

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας H.263 του CoreMedia. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.263. Ευχαριστούμε τον Damian Put και έναν ανώνυμο ερευνητή που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • CoreTypes

    CVE-ID: CVE-2010-0063

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Οι χρήστες δεν προειδοποιούνται προτού ανοίξουν ορισμένους τύπους πιθανώς μη ασφαλούς περιεχομένου

    Περιγραφή: Αυτή η ενημέρωση προσθέτει .ibplugin και .url στη λίστα τύπων περιεχομένου του συστήματος που θα επισημανθούν ως δυνητικά μη ασφαλή υπό ορισμένες συνθήκες, όπως κατά τη λήψη τους από μια ιστοσελίδα. Ενώ αυτοί οι τύποι περιεχομένου δεν εκκινούνται αυτόματα, αν ανοιχτούν χειροκίνητα, θα μπορούσαν να οδηγήσουν στην εκτέλεση ενός κακόβουλου ωφέλιμου φορτίου JavaScript ή ενός αυθαίρετου κώδικα. Αυτή η ενημέρωση βελτιώνει τη δυνατότητα του συστήματος να ειδοποιεί τους χρήστες πριν χειριστεί τύπους περιεχομένου που χρησιμοποιούνται από το Safari. Ευχαριστούμε τον Clint Ruoho της Laconic Security για την αναφορά αυτού του προβλήματος.

  • CUPS

    CVE-ID: CVE-2010-0393

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να αποκτήσει προνόμια συστήματος

    Περιγραφή: Υπάρχει πρόβλημα στη μορφή συμβολοσειράς στο βοηθητικό πρόγραμμα CUPS lppasswd. Αυτό μπορεί να επιτρέψει σε τοπικό χρήστη να αποκτήσει προνόμια συστήματος. Τα συστήματα Mac OS X v10.6 επηρεάζονται μόνο εάν το setuid bit έχει οριστεί στο δυαδικό αρχείο. Αυτό το πρόβλημα αντιμετωπίζεται με τη χρήση προεπιλεγμένων καταλόγων κατά την εκτέλεση της διαδικασίας setuid. Ευχαριστούμε τον Ronald Volgers για την αναφορά αυτού του προβλήματος.

  • curl

    CVE-ID: CVE-2009-2417

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας εισβολέας υποκλοπών επικοινωνίας μπορεί να έχει τη δυνατότητα να υποδυθεί έναν αξιόπιστο διακομιστή

    Περιγραφή: Υπάρχει πρόβλημα κανονικοποίησης στον χειρισμό ΚΕΝΩΝ χαρακτήρων του curl στο πεδίο Κοινού Ονόματος (CN) του υποκειμένου των πιστοποιητικών X.509. Αυτό μπορεί να οδηγήσει σε επιθέσεις υποκλοπών επικοινωνίας έναντι χρηστών του εργαλείου γραμμής εντολών curl ή των εφαρμογών που χρησιμοποιούν libcurl. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των ΚΕΝΩΝ χαρακτήρων.

  • curl

    CVE-ID: CVE-2009-0037

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η χρήση curl με -L μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να διαβάσει ή να γράψει τοπικά αρχεία

    Περιγραφή: Το curl θα ακολουθήσει τις ανακατευθύνσεις HTTP και HTTPS κατά τη χρήση με την επιλογή -L. Όταν το curl ακολουθεί μια ανακατεύθυνση, επιτρέπει διευθύνσεις URL file://. Αυτό μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα να αποκτήσει πρόσβαση σε τοπικά αρχεία. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένης επικύρωσης των ανακατευθύνσεων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστούμε τον Daniel Stenberg της Haxx AB για την αναφορά αυτού του προβλήματος.

  • Cyrus IMAP

    CVE-ID: CVE-2009-2632

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να αποκτήσει προνόμια χρήστη Cyrus

    Περιγραφή: Υπάρχει υπερχείλιση στον χειρισμό των σεναρίων sieve. Η εκτέλεση ενός κακόβουλου σεναρίου sieve μπορεί να έχει ως αποτέλεσμα ένας τοπικός χρήστης να αποκτήσει δικαιώματα χρήστη Cyrus. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6.

  • Cyrus SASL

    CVE-ID: CVE-2009-0688

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας μη εξουσιοδοτημένος απομακρυσμένος εισβολέας μπορεί να προκαλέσει μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση στη μονάδα ελέγχου ταυτότητας Cyrus SASL. Η χρήση ελέγχου ταυτότητας Cyrus SASL ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6.

  • DesktopServices

    CVE-ID: CVE-2010-0064

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Τα στοιχεία που αντιγράφονται στο Finder μπορεί να έχουν εκχωρηθεί έναν μη αναμενόμενο κάτοχο αρχείου

    Περιγραφή: Κατά τη δημιουργία ενός εξουσιοδοτημένου αντιγράφου στο Finder, η αρχική κατοχή του αρχείου μπορεί να αντιγραφεί απροσδόκητα. Αυτή η ενημέρωση αντιμετωπίζει το πρόβλημα διασφαλίζοντας ότι τα αντιγραμμένα αρχεία ανήκουν στον χρήστη που δημιουργεί το αντίγραφο. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Gerrit DeWitt του Auburn University (Auburn, AL) για την αναφορά αυτού του προβλήματος.

  • DesktopServices

    CVE-ID: CVE-2010-0537

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει πρόσβαση στα δεδομένα χρήστη μέσω μιας επίθεσης πολλαπλών σταδίων

    Περιγραφή: Ένα πρόβλημα επίλυσης διαδρομών στο DesktopServices είναι ευάλωτο σε επίθεση πολλαπλών σταδίων. Ένας απομακρυσμένος εισβολέας πρέπει πρώτα να δελεάσει τον χρήστη να συνθέσει μια αυθαίρετη επώνυμη κοινή χρήση, η οποία μπορεί να πραγματοποιηθεί μέσω ενός σχήματος διευθύνσεων URL. Κατά την αποθήκευση ενός αρχείου χρησιμοποιώντας το προεπιλεγμένο πλαίσιο αποθήκευσης σε οποιαδήποτε εφαρμογή και την επιλογή «Μετάβαση στον φάκελο» ή μεταφέροντας φακέλους στο πλαίσιο αποθήκευσης, τα δεδομένα μπορεί να αποθηκεύονται απροσδόκητα στην κακόβουλη κοινή χρήση. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επίλυσης διαδρομών. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Sidney San Martin που συνεργάστηκε με τη DeepTech, Inc. για την αναφορά αυτού του προβλήματος.

  • Disk Images

    CVE-ID: CVE-2010-0065

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η σύνθεση κακόβουλης εικόνας δίσκου ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης κατά τον χειρισμό συμπιεσμένων εικόνων δίσκου bzip2. Η σύνθεση κακόβουλης εικόνας δίσκου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστίες: Apple.

  • Disk Images

    CVE-ID: CVE-2010-0497

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η σύνθεση κακόβουλης εικόνας δίσκου ενδέχεται να έχει ως αποτέλεσμα την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα σχεδιασμού κατά τον χειρισμό εικόνων δίσκου με σύνδεση στο διαδίκτυο. Η σύνθεση μιας εικόνας δίσκου με σύνδεση στο διαδίκτυο που περιέχει έναν τύπο συσκευασίας αρχείων θα ανοίξει αντί να το αποκαλύψει στο Finder. Αυτή η λειτουργία απομόνωσης αρχείων συμβάλλει στον περιορισμό του προβλήματος παρέχοντας ένα παράθυρο προειδοποίησης για μη ασφαλείς τύπους αρχείων. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο χειρισμό τύπων συσκευασίας αρχείων στις εικόνες δίσκου με σύνδεση στο διαδίκτυο. Ευχαριστούμε τον Brian Mastenbrook, που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint, για την αναφορά αυτού του προβλήματος.

  • Directory Services

    CVE-ID: CVE-2010-0498

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να αποκτήσει προνόμια συστήματος

    Περιγραφή: Ένα πρόβλημα εξουσιοδότησης στον χειρισμό των ονομάτων καρτελών των Υπηρεσιών καταλόγου μπορεί να επιτρέψει σε έναν τοπικό χρήστη να αποκτήσει πρόσβαση στα προνόμια συστήματος. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένους ελέγχους εξουσιοδότησης. Ευχαριστίες: Apple.

  • Dovecot

    CVE-ID: CVE-2010-0535

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να στέλνει και λαμβάνει email ακόμα και όταν ο χρήστης δεν βρίσκεται στο SACL των επιτρεπόμενων χρηστών

    Περιγραφή: Υπάρχει πρόβλημα ελέγχου πρόσβασης στο Dovecot όταν είναι ενεργοποιημένος ο έλεγχος ταυτότητας Kerberos. Αυτό μπορεί να επιτρέψει σε έναν μη εξουσιοδοτημένο χρήστη να στέλνει και να λαμβάνει email ακόμα και όταν ο χρήστης δεν βρίσκεται στη λίστα ελέγχου πρόσβασης συστήματος (SACL) των επιτρεπόμενων χρηστών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένων ελέγχων πρόσβασης. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6.

  • Event Monitor

    CVE-ID: CVE-2010-0500

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να προσθέσει αυθαίρετα συστήματα στη μαύρη λίστα του τείχους προστασίας

    Περιγραφή: Εκτελείται αντίστροφη αναζήτηση DNS σε απομακρυσμένους πελάτες ssh που αποτυγχάνουν στον έλεγχο ταυτότητας. Υπάρχει πρόβλημα εισαγωγής της λίστας ιδιοτήτων κατά τον χειρισμό επιλυμένων ονομάτων DNS. Αυτό μπορεί να επιτρέψει σε έναν απομακρυσμένο εισβολέα την προσθήκη αυθαίρετων συστημάτων στη μαύρη λίστα του τείχους προστασίας. Αυτό το πρόβλημα αντιμετωπίζεται με τη σωστή έξοδο επιλυμένων ονομάτων DNS. Ευχαριστίες: Apple.

  • FreeRADIUS

    CVE-ID: CVE-2010-0524

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει πρόσβαση σε ένα δίκτυο μέσω έλεγχο ταυτότητας RADIUS

    Περιγραφή: Υπάρχει ένα πρόβλημα ελέγχου ταυτότητας πιστοποιητικού στην προπιλεγμένη διαμόρφωση Mac OS X του διακομιστή FreeRADIUS. Ένας απομακρυσμένος χρήστης μπορεί να χρησιμοποιήσει EAP-TLS με αυθαίρετο έγκυρο πιστοποιητικό για τον έλεγχο ταυτότητας και να συνδεθεί σε δίκτυο διαμορφωμένο για έλεγχο ταυτότητας με χρήση FreeRADIUS. Αυτό το πρόβλημα αντιμετωπίζεται με την απενεργοποίηση της υποστήριξης για EAP-TLS κατά τη διαμόρφωση. Οι πελάτες RADIUS πρέπει να χρησιμοποιούν EAP-TTLS. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Ευχαριστούμε τον Chris Linstruth της Qnet για την αναφορά αυτού του προβλήματος.

  • FTP Server

    CVE-ID: CVE-2010-0501

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Οι χρήστες μπορεί να έχουν τη δυνατότητα να ανακτούν αρχεία εκτός του ριζικού καταλόγου FTP

    Περιγραφή: Υπάρχει ένα πρόβλημα τραβέρσας καταλόγου στον Διακομιστή FTP. Αυτό μπορεί να επιτρέψει σε έναν χρήστη να ανακτήσει τα αρχεία εκτός του ριζικού καταλόγου FTP. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των ονομάτων αρχείων. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Ευχαριστίες: Apple.

  • iChat Server

    CVE-ID: CVE-2006-1329

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Υπάρχει ένα πρόβλημα υλοποίησης κατά τον χειρισμό της διαπραγμάτευσης SASL του jabberd Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να τερματίσει τη λειτουργία του jabberd. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού της διαπραγμάτευσης SASL. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server.

  • iChat Server

    CVE-ID: CVE-2010-0502

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Τα μηνύματα συνομιλιών μπορεί να μην καταγράφονται

    Περιγραφή: Υπάρχει ένα πρόβλημα σχεδιασμού στην υποστήριξη του διακομιστή iChat για καταγραφή ομαδικών συνομιλιών με δυνατότητα διαμόρφωσης. Ο διακομιστής καταγράφει μόνο μηνύματα με ορισμένους τύπους μηνυμάτων. Αυτό μπορεί να επιτρέψει σε έναν απομακρυσμένο χρήστη να στείλει ένα μήνυμα μέσω του διακομιστή χωρίς να καταγραφεί. Το πρόβλημα αντιμετωπίζεται με την αφαίρεση της δυνατότητας απενεργοποίησης των αρχείων καταγραφής ομαδικών συνομιλιών και με την καταγραφή όλων των μηνυμάτων που αποστέλλονται μέσω του διακομιστή. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Ευχαριστίες: Apple.

  • iChat Server

    CVE-ID: CVE-2010-0503

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «use after free» στον Διακομιστή iChat. Ένας εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη παρακολούθηση αναφοράς μνήμης. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server και δεν επηρεάζει την έκδοση 10.6 ή νεότερες εκδόσεις.

  • iChat Server

    CVE-ID: CVE-2010-0504

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν πολλά προβλήματα υπερχείλισης buffer στον Διακομιστή iChat. Ένας εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης διαχείρισης μνήμης. Αυτά τα προβλήματα επηρεάζουν μόνο τα συστήματα Mac OS X Server. Ευχαριστίες: Apple.

  • ImageIO

    CVE-ID: CVE-2010-0505

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας JP2 ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας κατά τον χειρισμό εικόνων JP2. Η προβολή κακόβουλης εικόνας JP2 ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Chris Ries του Carnegie Mellon University Computing Service και τον ερευνητή "85319bb6e6ab398b334509c50afce5259d42756e" που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint, για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα πρόσβασης στη μη αρχικοποιημένη μνήμη κατά τον χειρισμό εικόνων BMP του ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης αρχικοποίησης της μνήμης και πρόσθετης επικύρωσης των εικόνων BMP. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο

    Περιγραφή: Υπάρχει πρόβλημα πρόσβασης στη μη αρχικοποιημένη μνήμη κατά τον χειρισμό εικόνων TIFF του ImageIO. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην αποστολή δεδομένων από τη μνήμη του Safari στον ιστότοπο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης αρχικοποίησης της μνήμης και πρόσθετης επικύρωσης των εικόνων TIFF. Ευχαριστούμε τον Matthew 'j00ru' Jurczyk της Hispasec για την αναφορά αυτού του προβλήματος.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχουν προβλήματα καταστροφής μνήμης κατά τον χειρισμό εικόνων TIFF. Η επεξεργασία κακόβουλης εικόνας TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό της μνήμης. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Gus Mueller της Flying Meat για την αναφορά αυτού του προβλήματος.

  • Image RAW

    CVE-ID: CVE-2010-0506

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας NEF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση στον χειρισμό εικόνων NEF από το Image RAW. Η προβολή κακόβουλης εικόνας NEF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • Image RAW

    CVE-ID: CVE-2010-0507

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή κακόβουλης εικόνας PEF ενδέχεται να έχει ως αποτέλεσμα τον μη αναμενόμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση στον χειρισμό εικόνων PEF από το Image RAW. Η προβολή κακόβουλης εικόνας PEF ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Chris Ries των Carnegie Mellon University Computing Services για την αναφορά αυτού του προβλήματος.

  • Libsystem

    CVE-ID: CVE-2009-0689

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Οι εφαρμογές που μετατρέπουν μη αξιόπιστα δεδομένα μεταξύ δυαδικής κινητής υποδιαστολής και κειμένου ενδέχεται να είναι ευάλωτες σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer κατά τον κώδικα μετατροπής δυαδικής κινητής υποδιαστολής και κειμένου με το Libsystem. Ένας εισβολέας που μπορεί να προκαλέσει σε μια εφαρμογή τη μετατροπή μιας τιμής κινητής υποδιαστολής σε μεγάλη συμβολοσειρά ή να αναλύσει μια κακόβουλη συμβολοσειρά ως τιμή κινητής υποδιαστολής, μπορεί να προκαλέσει απροσδόκητο τερματισμό εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Maksymilian Arciemowicz της SecurityReason.com για την αναφορά αυτού του προβλήματος.

  • Mail

    CVE-ID: CVE-2010-0508

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Οι κανόνες που σχετίζονται με έναν διαγραμμένο λογαριασμό email παραμένουν σε ισχύ

    Περιγραφή: Όταν διαγράφεται ένας λογαριασμός email, οι κανόνες φίλτρων που ορίζονται από τον χρήστη και σχετίζονται με αυτόν τον λογαριασμό παραμένουν ενεργοί. Αυτό μπορεί να οδηγήσει σε μη αναμενόμενες ενέργειες. Αυτό το πρόβλημα αντιμετωπίζεται με την απενεργοποίηση των σχετικών κανόνων κατά τη διαγραφή του λογαριασμού email.

  • Mail

    CVE-ID: CVE-2010-0525

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Το Mail μπορεί να χρησιμοποιήσει ένα πιο αδύναμο κλειδί κρυπτογράφησης για τα εξερχόμενα email

    Περιγραφή: Υπάρχει ένα σφάλμα λογικής στον χειρισμό των πιστοποιητικών κρυπτογράφησης του Mail. Όταν υπάρχουν πολλά πιστοποιητικά για τον παραλήπτη στην κλειδοθήκη, το Mail μπορεί να επιλέξει το κλειδί κρυπτογράφησης που δεν προορίζεται για κρυπτογράφηση. Αυτό μπορεί να οδηγήσει σε πρόβλημα ασφάλειας εάν το επιλεγμένο κλειδί είναι πιο αδύναμο από το αναμενόμενο. Αυτό το πρόβλημα αντιμετωπίζεται διασφαλίζοντας την αξιολόγηση της επέκτασης χρήσης κλειδιού εντός των πιστοποιητικών κατά την επιλογή ενός κλειδιού κρυπτογράφησης email. Ευχαριστούμε τον Paul Suh της ps Enable, Inc. για την αναφορά αυτού του προβλήματος.

  • Mailman

    CVE-ID: CVE-2008-0564

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στο Mailman 2.1.9

    Περιγραφή: Υπάρχουν πολλά προβλήματα διατοποθεσιακής εκτέλεσης σεναρίων στο Mailman 2.1.9. Αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση του Mailman στην έκδοση 2.1.13. Διατίθενται περαιτέρω πληροφορίες μέσω του ιστότοπου Mailman στη διεύθυνση http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Αυτά τα προβλήματα επηρεάζουν μόνο τα συστήματα Mac OS X Server και όχι την έκδοση 10.6 ή τις νεότερες εκδόσεις.

  • MySQL

    CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Διατίθεται για: Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Πολλές ευπάθειες στο MySQL 5.0.82

    Περιγραφή: Το MySQL ενημερώνεται στην έκδοση 5.0.88 για την αντιμετώπιση πολλών ευπαθειών, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα επηρεάζουν μόνο τα συστήματα Mac OS X Server. Περισσότερες πληροφορίες διατίθενται στον ιστότοπο της MySQL στη διεύθυνση http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html

  • OS Services

    CVE-ID: CVE-2010-0509

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να αποκτήσει αυξημένα προνόμια

    Περιγραφή: Υπάρχει πρόβλημα στη κλιμάκωση προνομίων στο SFLServer, καθώς εκτελείται ως ομαδικός «τροχός» και αποκτά πρόσβαση στα αρχεία που βρίσκονται στους καταλόγους αφετηρίας των χρηστών. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένη διαχείριση προνομίων. Ευχαριστούμε τον Kevin Finisterre της DigitalMunition για την αναφορά αυτού του προβλήματος.

  • Password Server

    CVE-ID: CVE-2010-0510

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να συνδεθεί με παλιό κωδικό πρόσβασης

    Περιγραφή: Ένα πρόβλημα υλοποίησης στον χειρισμό αναπαραγωγής του διακομιστή κωδικού πρόσβασης μπορεί να καταστήσει αδύνατη την αναπαραγωγή των κωδικών πρόσβασης. Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να συνδεθεί σε ένα σύστημα χρησιμοποιώντας έναν παλιό κωδικό πρόσβασης. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού της αναπαραγωγής κωδικού πρόσβασης. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Ευχαριστούμε τον Jack Johnson της Anchorage School District για την αναφορά αυτού του προβλήματος.

  • perl

    CVE-ID: CVE-2008-5302, CVE-2008-5303

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να προκαλέσει τη διαγραφή αυθαίρετων αρχείων

    Περιγραφή: Υπάρχουν πολλά προβλήματα ανταγωνισμού στη λειτουργία rmtree in the rmtree της μονάδας perl File::Path. Ένας τοπικός χρήστης με πρόσβαση εγγραφής σε έναν κατάλογο που διαγράφεται μπορεί να προκαλέσει την αφαίρεση αυθαίρετων αρχείων με προνόμια της διαδικασίας perl. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των συμβολικών συνδέσμων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Πολλές ευπάθειες στο PHP 5.3.0

    Περιγραφή: Το PHP ενημερώνεται στην έκδοση 5.3.1 για την αντιμετώπιση πολλών ευπαθειών, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της PHP στη διεύθυνση http://www.php.net/

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στο PHP 5.2.11

    Περιγραφή: Το PHP ενημερώνεται στην έκδοση 5.2.12 για την αντιμετώπιση πολλών ευπαθειών, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίων. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της PHP στη διεύθυνση http://www.php.net/

  • Podcast Producer

    CVE-ID: CVE-2010-0511

    Διατίθεται για: Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας μη εξουσιοδοτημένος χρήστης μπορεί να έχει τη δυνατότητα να αποκτήσει πρόσβαση στη ροή δημιουργίας podcast

    Περιγραφή: Όταν αντικαθίσταται μια ροή δημιουργίας podcast, αίρονται οι περιορισμοί πρόσβασης. Αυτό μπορεί να επιτρέψει σε έναν μη εξουσιοδοτημένο χρήστη να αποκτήσει πρόσβαση σε μια ροή δημιουργίας podcast. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των περιορισμών πρόσβασης στη ροή. Ο Παραγωγός podcast εισήχθη στο Mac OS X Server v10.6.

  • Preferences

    CVE-ID: CVE-2010-0512

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας χρήστης δικτύου μπορεί να έχει τη δυνατότητα να παρακάμψει τους περιορισμούς σύνδεσης στο σύστημα

    Περιγραφή: Υπάρχει ένα πρόβλημα υλοποίησης στον χειρισμό των περιορισμών σύνδεσης στο σύστημα για λογαριασμούς δικτύου. Αν λογαριασμοί δικτύου που συνδέονται στο σύστημα στο Παράθυρο σύνδεσης ταυτοποιούνται μόνο από την ομαδική τους συνδρομή, ο περιορισμός δεν θα επιβληθεί και όλοι οι χρήστες δικτύου θα μπορούν να συνδέονται στο σύστημα. Το πρόβλημα αντιμετωπίζεται με βελτιωμένη διαχείριση των ομαδικών περιορισμών στον πίνακα προτιμήσεων λογαριασμών. Το πρόβλημα επηρεάζει μόνο τα συστήματα που έχουν διαμορφωθεί για να χρησιμοποιούν έναν διακομιστή λογαριασμών δικτύου και δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον D. Grieb του University of Michigan MSIS για την αναφορά αυτού του προβλήματος.

  • PS Normalizer

    CVE-ID: CVE-2010-0513

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PostScript ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας κατά τον χειρισμό αρχείων PostScript. Η προβολή ενός κακόβουλου αρχείου PostScript ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται μέσω εκτέλεσης πρόσθετης επικύρωσης αρχείων PostScript. Σε συστήματα Mac OS X v10.6 αυτό το πρόβλημα περιορίζεται με σημαία συμπιλητή προστασίας fstack. Ευχαριστίες: Apple.

  • QuickTime

    CVE-ID: CVE-2010-0062

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας H.263 του QuickTime. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.263. Ευχαριστούμε τον Damian Put και έναν ανώνυμο ερευνητή που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0514

    Διατίθεται για: Mac OS v10.6 v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας H.261. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.261. Ευχαριστούμε τον Will Dormann της CERT/CC για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0515

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Αλλοίωση μνήμης στον χειρισμό κωδικοποιημένων αρχείων ταινίας H.264. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινιών H.264. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0516

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας RLE. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων RLE. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0517

    Διατίθεται για: Mac OS v10.6 v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας M-JPEG. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων M-JPEG. Ευχαριστούμε τον Damian Put και έναν ανώνυμο ερευνητή που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0518

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα αλλοίωσης μνήμης στον χειρισμό κωδικοποιημένων αρχείων ταινίας Sorenson. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινίας Sorenson. Ευχαριστούμε τον Will Dormann της CERT/CC για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0519

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή:Υπάρχει υπερχείλιση ακεραίων στον χειρισμό κωδικοποιημένων αρχείων ταινίας FlashPix. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0520

    Διατίθεται για: Mac OS v10.6 v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας FLC. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων FLC. Ευχαριστούμε τον Moritz Jodeit της n.runs AG, που συνεργάστηκε με την πρωτοβουλία Zero Day Initiative της TippingPoint και τον Nicolas Joly της VUPEN Security για την αναφορά αυτού του προβλήματος.

  • QuickTime

    CVE-ID: CVE-2010-0526

    Διατίθεται για: Mac OS v10.6 v10.6.2, Mac OS X Server v10.6 v10.6.2

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό κωδικοποιημένων αρχείων ταινίας MPEG. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων MPEG. Ευχαριστούμε τον ανώνυμο ερευνητή που συνεργάζεται με την πρωτοβουλία Zero Day Initiative της TippingPoint για την αναφορά αυτού του προβλήματος.

  • Ruby

    CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Πολλά προβλήματα στο Ruby on Rails

    Περιγραφή: Υπάρχουν πολλές ευπάθειες στο Ruby on Rails, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίων. Στα συστήματα Mac OS X v10.6, αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση του Ruby on Rails στην έκδοση 2.3.5. Τα συστήματα Mac OS X v10.5 επηρεάζονται μόνο από το CVE-2009-4214 και αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη επαλήθευση ορισμάτων στη λειτουργία strip_tags.

  • Ruby

    CVE-ID: CVE-2009-1904

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η εκτέλεση ενός σεναρίου Ruby που χρησιμοποιεί μη αξιόπιστη εισαγωγή για την αρχικοποίηση ενός αντικειμένου BigDecimal μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

    Περιγραφή: Υπάρχει ένα πρόβλημα εξάντλησης στοίβας στον χειρισμό αντικειμένων BigDecimal με πολύ μεγάλες τιμές από το Ruby. Η εκτέλεση ενός σεναρίου Ruby που χρησιμοποιεί μη αξιόπιστη εισαγωγή για την αρχικοποίηση ενός αντικειμένου BigDecimal μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής. Για τα συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται με την ενημέρωση του Ruby στην έκδοση 1.8.7-p173. Για τα συστήματα Mac OS v10.5, αυτό το πρόβλημα αντιμετωπίζεται με την ενημέρωση του Ruby στην έκδοση 1.8.6-p369.

  • Διαχειριστής διακομιστή

    CVE-ID: CVE-2010-0521

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποσπάσει πληροφορίες από το Open Directory

    Περιγραφή: Υπάρχει ένα πρόβλημα σχεδιασμού στον χειρισμό της σύνδεσης εξουσιοδοτημένου καταλόγου. Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να αποσπάσει πληροφορίες από το Open Directory, ακόμα και αν είναι ενεργοποιημένη η επιλογή «Απαιτείται επαληθευμένη σύνδεση μεταξύ καταλόγου και πελατών». Αυτό το πρόβλημα αντιμετωπίζεται με την αφαίρεση αυτής της επιλογής διαμόρφωσης. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server. Ευχαριστούμε τον Scott Gruby της Gruby Solutions και τον Mathias Haack της GRAVIS Computervertriebsgesellschaft mbH για την αναφορά αυτού του προβλήματος.

  • Server Admin

    CVE-ID: CVE-2010-0522

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας πρώην διαχειριστής μπορεί να έχει μη εξουσιοδοτημένη πρόσβαση στην κοινή χρήση οθόνης

    Περιγραφή: Ένας χρήστης που έχει αφαιρεθεί από την ομάδα διαχειριστών μπορεί να συνδεθεί ακόμα στον διακομιστή χρησιμοποιώντας κοινή χρήση οθόνης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό προνομίων του διαχειριστή. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server και δεν επηρεάζει την έκδοση 10.6 ή νεότερες εκδόσεις. Ευχαριστίες: Apple.

  • SMB

    CVE-ID: CVE-2009-2906

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8 Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Υπάρχει πρόβλημα αέναου βρόχου στον χειρισμό των ειδοποιήσεων διαλείμματος «oplock» από το Samba. Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να ενεργοποιήσει έναν αέναο βρόχο στο smbd, προκαλώντας την κατανάλωση υπερβολικών πόρων της CPU. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των ειδοποιήσεων διαλείμματος «oplock».

  • Tomcat

    CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Πολλές ευπάθειες στο Tomcat 6.0.18

    Περιγραφή: Το Tomcat ενημερώνεται στην έκδοση 6.0.24 για την αντιμετώπιση πολλών ευπαθειών, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε επίθεση διατοποθεσιακής εκτέλεσης σεναρίων. Το Tomcat παρέχεται μόνο στα συστήματα Mac OS X Server. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του Tomcat στη διεύθυνση http://tomcat.apache.org/

  • unzip

    CVE-ID: CVE-2008-0888

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η εξαγωγή κακόβουλων αρχείων zip με τη χρήση του εργαλείου εντολών μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση κώδικα

    Περιγραφή: Υπάρχει ένα πρόβλημα μη αρχικοποιημένου δείκτη στον χειρισμό των αρχείων zip. Η εξαγωγή κακόβουλων αρχείων zip με τη χρήση του εργαλείου εντολών unzip μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται μέσω εκτέλεσης πρόσθετης επικύρωσης αρχείων zip. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Πολλές ευπάθειες στο vim 7.0

    Περιγραφή: Υπάρχουν πολλές ευπάθειες στο vim 7.0, η πιο σοβαρή από τις οποίες μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα κατά την εργασία με κακόβουλα αρχεία. Αυτά τα προβλήματα αντιμετωπίζονται με την ενημέρωση του vim 7.2.102. Αυτά τα προβλήματα δεν επηρεάζουν τα συστήματα Mac OS X v10.6. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου του vim στη διεύθυνση http://www.vim.org/

  • Wiki Server

    CVE-ID: CVE-2010-0523

    Διατίθεται για: Mac OS X Server v10.5.8

    Αποτέλεσμα: Το ανέβασμα μιας κακόβουλης βοηθητικής εφαρμογής μπορεί να οδηγήσει στη γνωστοποίηση ευαίσθητων δεδομένων

    Περιγραφή: Το Wiki Server επιτρέπει στους χρήστες να ανεβάζουν ενεργό περιεχόμενο, όπως οι βοηθητικές εφαρμογές Java. Ένας απομακρυσμένος χρήστης μπορεί να αποκτήσει ευαίσθητα δεδομένα ανεβάζοντας μια κακόβουλη βοηθητική εφαρμογή και κατευθύνοντας τον χρήστη του Wiki Server να τη χρησιμοποιήσει. Το πρόβλημα αντιμετωπίζεται με τη χρήση ενός ειδικού cookie ελέγχου ταυτότητας το οποίο χρησιμοποιείται μόνο για τη λήψη ενός συγκεκριμένου συνημμένου. Αυτό το πρόβλημα επηρεάζει μόνο τα συστήματα Mac OS X Server και δεν επηρεάζει την έκδοση 10.6 ή νεότερες εκδόσεις.

  • Wiki Server

    CVE-ID: CVE-2010-0534

    Διατίθεται για: Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Ένας μη εξουσιοδοτημένος χρήστης μπορεί να παρακάμψει τους περιορισμούς δημιουργίας του weblog.

    Περιγραφή: Το Wiki Server υποστηρίζει τις λίστες ελέγχου πρόσβασης συστήματος (SACL), επιτρέποντας σε έναν διαχειριστή να ελέγχει τη δημοσίευση του περιεχομένου. Το Wiki Server αποτυγχάνει να συμβουλευθεί τη λίστα ελέγχου πρόσβασης συστήματος (SACL) του weblog SACL κατά τη δημιουργία ενός weblog χρήστη. Αυτό μπορεί να επιτρέψει σε έναν μη εξουσιοδοτημένο χρήστη να δημοσιεύει περιεχόμενο στο Wiki Server, παρόλο που η δημοσίευση θα πρέπει να μην επιτρέπεται από την υπηρεσία ACL. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6.

  • X11

    CVE-ID: CVE-2009-2042

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε γνωστοποίηση ευαίσθητων δεδομένων

    Περιγραφή: Το libpng έχει ενημερωθεί στην έκδοση 1.2.37 για την αντιμετώπιση ενός προβλήματος που μπορεί να οδηγούσε σε γνωστοποίηση ευαίσθητων δεδομένων. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου του libpng στη διεύθυνση http://www.libpng.org/pub/png/libpng.html

  • X11

    CVE-ID: CVE-2003-0063

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.2, Mac OS X Server v10.6 έως v10.6.2

    Αποτέλεσμα: Η προβολή κακόβουλων δεδομένων εντός του τερματικού xterm μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Το πρόγραμμα xterm υποστηρίζει μια σειρά εντολών για την αλλαγή του τίτλου παραθύρου και για την εκτύπωση του τίτλου παραθύρου στο τερματικό. Οι λαμβανόμενες πληροφορίες παρέχονται στο τερματικό σαν να εισάγονται μέσω πληκτρολογίου από τον χρήστη. Εντός τερματικού xterm, η εμφάνιση κακόβουλων δεδομένων που περιέχουν τέτοιες ακολουθίες μπορεί να οδηγήσει σε έγχυση εντολών. Το πρόβλημα αντιμετωπίζεται απενεργοποιώντας την επηρεασμένη σειρά εντολών.

  • xar

    CVE-ID: CVE-2010-0055

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένα τροποποιημένο πακέτο μπορεί να εμφανίζεται σαν να έχει υπογραφεί έγκυρα

    Περιγραφή: Υπάρχει ένα πρόβλημα σχεδιασμού στο xar κατά την επαλήθευση μιας υπογραφής πακέτου. Αυτό μπορεί να επιτρέπει στο τροποποιημένο πακέτο να εμφανίζεται ως έγκυρα υπογεγραμμένο. Αυτό το πρόβλημα διορθώνεται με βελτιωμένη επαλήθευση υπογραφής πακέτου. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: