Αυτό το άρθρο έχει αρχειοθετηθεί και δεν ενημερώνεται πλέον από την Apple.

Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2010-004 / Mac OS X v10.6.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας της Ενημέρωσης ασφάλειας 2010-004 / Mac OS X v10.6.4.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2010-004 / Mac OS X v10.6.4

  • CUPS

    CVE-ID: CVE-2010-0540

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η επίσκεψη ενός χρήστη σε κακόβουλο ιστότοπο ενώ είναι συνδεδεμένος στη διεπαφή ιστού CUPS ως διαχειριστής ενδέχεται να επιτρέψει να γίνει αλλαγή των ρυθμίσεων του συστήματος CUPS

    Περιγραφή: Στη διεπαφή ιστού του συστήματος CUPS υπάρχει ένα πρόβλημα πλαστογράφησης αιτημάτων μεταξύ ιστότοπων. Η επίσκεψη ενός χρήστη σε κακόβουλο ιστότοπο ενώ είναι συνδεδεμένος στη διεπαφή ιστού CUPS ως διαχειριστής ενδέχεται να επιτρέψει να γίνει αλλαγή των ρυθμίσεων του συστήματος CUPS. Αυτό το πρόβλημα αντιμετωπίζεται με την απαίτηση οι υποβολές φόρμας ιστού να περιλαμβάνουν ένα τυχαιοποιημένο διακριτικό συνεδρίας. Ευχαριστούμε τους Adrian 'pagvac' Pastor της GNUCITIZEN και Tim Starling για την αναφορά αυτού του προβλήματος.

  • CUPS

    CVE-ID: CVE-2010-0302

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό εφαρμογής του cupsd

    Περιγραφή: Υπάρχει πρόβλημα τύπου «user-after-free» στο cupsd. Με την έκδοση κακόβουλου αιτήματος get-printer-jobs, ένας εισβολέας μπορεί να προκαλέσει απομακρυσμένη άρνηση υπηρεσίας. Το πρόβλημα αμβλύνεται μέσω αυτόματης επανεκκίνησης του cupsd μετά τον τερματισμό του. Αυτό το θέμα αντιμετωπίζεται με τη βελτίωση του εντοπισμού χρήσης σύνδεσης. Ευχαριστούμε τον Tim Waugh για την αναφορά αυτού του προβλήματος.

  • CUPS

    CVE-ID: CVE-2010-1748

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας εισβολέας με πρόσβαση στη διεπαφή ιστού του CUPS ενδέχεται να μπορεί να διαβάσει μια περιορισμένη ποσότητα της μνήμης από τη διεργασία του cupsd

    Περιγραφή: Υπάρχει ένα πρόβλημα στον χειρισμό μεταβλητών φόρμας από τη διεπαφή ιστού του CUPS, σχετικά με την ανάγνωση μη αρχικοποιημένης μνήμης. Ένας εισβολέας με πρόσβαση στη διεπαφή ιστού του CUPS ενδέχεται να μπορεί να διαβάσει μια περιορισμένη ποσότητα της μνήμης από τη διεργασία του cupsd. Από προεπιλογή, η πρόσβαση στη διεπαφή ιστού επιτρέπεται μόνο σε τοπικούς χρήστες. Πρόσβαση μπορούν να αποκτήσουν και απομακρυσμένοι χρήστες όταν έχει ενεργοποιηθεί η Κοινή χρήση εκτυπωτή. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των μεταβλητών φόρμας. Ευχαριστούμε τον Luca Carettoni για την αναφορά αυτού του προβλήματος.

  • DesktopServices

    CVE-ID: CVE-2010-0545

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Μια λειτουργία στο Finder ενδέχεται να έχει ως αποτέλεσμα αρχεία ή φακέλους με μη αναμενόμενα προνόμια

    Περιγραφή: Όταν γίνεται η επιλογή «Εφαρμογή σε περικλειόμενα στοιχεία...» στο παράθυρο «Πληροφορίες» στο Finder, η κυριότητα των περικλειόμενων στοιχείων δεν αλλάζει. Αυτό μπορεί να έχει ως αποτέλεσμα τα περικλειόμενα αρχεία και φάκελοι να έχουν μη αναμενόμενα προνόμια. Αυτό το πρόβλημα αντιμετωπίζεται με την εφαρμογή της σωστής κυριότητας. Ευχαριστούμε τον Michi Ruepp της pianobakery.com για την αναφορά αυτού του προβλήματος.

  • Flash Player plug-in

    CVE-ID: CVE-2010-0186, CVE-2010-0187

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Πολλές ευπάθειες στην προσθήκη του Adobe Flash Player

    Περιγραφή: Υπάρχουν πολλά προβλήματα στην προσθήκη Adobe Flash Player, από τα οποία το πιο σοβαρό ενδέχεται να οδηγήσει σε μη εγκεκριμένα αιτήματα μεταξύ ιστότοπων. Τα προβλήματα αντιμετωπίζονται με ενημέρωση της προσθήκης του Flash Player στην έκδοση 10.0.45.2. Περισσότερες πληροφορίες διατίθενται μέσω του ιστότοπου της Adobe στο http://www.adobe.com/support/security/

  • Folder Manager

    CVE-ID: CVE-2010-0546

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η αποπροσάρτηση ενός κακόβουλου ειδώλου δίσκου ή κοινόχρηστου στοιχείου ενδέχεται να οδηγήσει σε απώλεια δεδομένων

    Περιγραφή: Στον Διαχειριστή φακέλων υπάρχει ένα πρόβλημα με το να ακολουθούνται συμβολικοί σύνδεσμοι. Ένας φάκελος με την ονομασία "Cleanup At Startup" καταργείται κατά την αποπροσάρτηση. Ένας κακόβουλος τόμος ενδέχεται να χρησιμοποιήσει έναν συμβολικό σύνδεσμο για να προκαλέσει διαγραφή ενός αυθαίρετου φακέλου με τα προνόμια του τρέχοντος χρήστη. Αυτό το πρόβλημα αντιμετωπίζεται με τον βελτιωμένο χειρισμό των συμβολικών συνδέσμων. Ευχαριστίες: Apple.

  • Help Viewer

    CVE-ID: CVE-2010-1373

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην εκτέλεση JavaScript στον τοπικό τομέα

    Περιγραφή: Υπάρχει ένα πρόβλημα με τα σενάρια μεταξύ ιστότοπων στον χειρισμό των διευθύνσεων URL help: της Προβολής βοήθειας. Η επίσκεψη σε κακόβουλο ιστότοπο ενδέχεται να οδηγήσει στην εκτέλεση JavaScript στον τοπικό τομέα. Αυτό μπορεί να οδηγήσει σε κοινοποίηση πληροφοριών ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένη διαφυγή των παραμέτρων URL στο περιεχόμενο HTML. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Clint Ruoho της Laconic Security για την αναφορά αυτού του προβλήματος.

  • iChat

    CVE-ID: CVE-2010-1374

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να αποστείλει αρχεία σε αυθαίρετες τοποθεσίες στο σύστημα αρχείων ενός χρήστη που χρησιμοποιεί το AIM στο iChat

    Περιγραφή: Υπάρχει ένα πρόβλημα διέλευσης καταλόγων στον χειρισμός των μεταβιβάσεων ενσωματωμένων εικόνων από το iChat. Ένας απομακρυσμένος χρήστης ενδέχεται να αποστείλει αρχεία σε αυθαίρετες τοποθεσίες στο σύστημα αρχείων ενός χρήστη που χρησιμοποιεί το AIM στο iChat. Αυτό το πρόβλημα αντιμετωπίζεται με τον βελτιωμένο χειρισμό των διαδρομών αρχείων. Ευχαριστίες: Apple.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου TIFF ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Πολλαπλές υπερχειλίσεις ακεραίων κατά τον χειρισμό αρχείων TIFF ενδέχεται να προκαλέσουν υπερχείλιση buffer σωρού. Το άνοιγμα ενός κακόβουλου αρχείου TIFF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων. Ευχαριστούμε τον Kevin Finisterre του digitalmunition.com για την αναφορά αυτών των προβλημάτων.

  • ImageIO

    CVE-ID: CVE-2010-0543

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα καταστροφής μνήμης κατά τον χειρισμό αρχείων ταινίας με κωδικοποίηση MPEG2. Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται με πρόσθετη επικύρωση των κωδικοποιημένων αρχείων ταινίας MPEG2. Για συστήματα Mac OS X v10.6, αυτό το πρόβλημα αντιμετωπίζεται στο Mac OS X v10.6.2. Ευχαριστίες: Apple.

  • ImageIO

    CVE-ID: CVE-2010-1816

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό εικόνων. Η επεξεργασία κακόβουλης εικόνας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Joseph Spiros της iThink Software για την αναφορά αυτού του προβλήματος.

  • Kerberos

    CVE-ID: CVE-2009-4212

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης για τον οποίο δεν έχει πραγματοποιηθεί έλεγχος ταυτότητας μπορεί να προκαλέσει μη αναμενόμενο τερματισμό της διεργασίας του KDC, ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση ακεραίων στις λειτουργίες αποκρυπτογράφησης AES και RC4 της βιβλιοθήκης κρυπτογράφησης στον διακομιστή του KDC. Η αποστολή ενός κακόβουλου κρυπτογραφημένου μηνύματος στον διακομιστή του KDC ενδέχεται να οδηγήσει σε μη αναμενόμενο τερματισμό της διεργασίας του KDC ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε την ομάδα Kerberos του MIT για την αναφορά αυτού του προβλήματος.

  • Kerberos

    CVE-ID: CVE-2010-1320

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης μπορεί να προκαλέσει μη αναμενόμενο τερματισμό της διεργασίας του KDC, ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει ένα πρόβλημα τύπου «double free» στην ανανέωση ή επικύρωση υπαρχόντων δελτίων στη διεργασία του KDC. Ένας απομακρυσμένος χρήστης μπορεί να προκαλέσει μη αναμενόμενο τερματισμό της διεργασίας του KDC, ή εκτέλεση αυθαίρετου κώδικα. Αυτό το ζήτημα αντιμετωπίζεται με βελτιωμένο χειρισμό των δελτίων. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν το Mac OS X v10.6. Ευχαριστούμε τους Joel Johnson για την αναφορά αυτού του προβλήματος στην Debian και Brian Almeida που συνεργάζεται με την ομάδα ασφάλειας Kerberos του MIT.

  • Kerberos

    CVE-ID: CVE-2010-0283

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης για τον οποίο δεν έχει πραγματοποιηθεί έλεγχος ταυτότητας μπορεί να προκαλέσει μη αναμενόμενο τερματισμό της διεργασίας του KDC

    Περιγραφή: Ένα πρόβλημα λογικής στον χειρισμό αιτημάτων KDC ενδέχεται να προκαλέσει ενεργοποίηση ενός ισχυρισμού. Στέλνοντας ένα κακόβουλο μήνυμα στον διακομιστή του KDC, ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διακόψει την υπηρεσία Kerberos μέσω της ενεργοποίησης ενός ισχυρισμού. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένης επικύρωσης των αιτημάτων KDC. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Emmanuel Bouillon της NATO C3 Agency, που συνεργάζεται με την ομάδα ασφάλειας Kerberos του MIT, για την αναφορά αυτού του προβλήματος.

  • Kernel

    CVE-ID: CVE-2010-1821

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να αποκτήσει προνόμια συστήματος

    Περιγραφή: Υπάρχει ένα πρόβλημα λογικής στον χειρισμό vfork, κατά το οποίο δεν γίνεται επαναφορά του δείκτη χειρισμού εξαίρεσης Mach σε μια ορισμένη περίπτωση. Αυτό μπορεί να επιτρέψει σε έναν τοπικό χρήστη να αποκτήσει προνόμια συστήματος. Αυτό το πρόβλημα αντιμετωπίζεται με τον βελτιωμένο χειρισμό του vfork. Ευχαριστούμε τον Richard van Eeden της IOActive για την αναφορά αυτού του προβλήματος.

  • libcurl

    CVE-ID: CVE-2010-0734

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η χρήση του libcurl για τη λήψη αρχείων από έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στον χειρισμό περιεχομένου ιστού με συμπίεση gzip από το libcurl. Κατά την επεξεργασία συμπιεσμένου περιεχομένου, το libcurl ενδέχεται να επιστρέψει μια απρόσμενα μεγάλη ποσότητα δεδομένων στην εφαρμογή κλήσης. Αυτό μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Το πρόβλημα αντιμετωπίζεται διασφαλίζοντας ότι το μέγεθος των μπλοκ δεδομένων που επιστρέφονται στην εφαρμογή κλήσης από το libcurl είναι συμβατό με τα αναφερόμενα στη βιβλιογραφία όρια.

  • Network Authorization

    CVE-ID: CVE-2010-1375

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να αποκτήσει προνόμια συστήματος

    Περιγραφή: Το NetAuthSysAgent δεν απαιτεί εξουσιοδότηση για ορισμένες λειτουργίες. Αυτό μπορεί να επιτρέψει σε έναν τοπικό χρήστη να αποκτήσει προνόμια συστήματος. Αυτό το πρόβλημα αντιμετωπίζεται με την απαίτηση εξουσιοδότησης για ορισμένες λειτουργίες. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα Mac OS X v10.6. Ευχαριστίες: Apple.

  • Network Authorization

    CVE-ID: CVE-2010-1376

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει πρόβλημα συμβολοσειράς μορφοποίησης στον χειρισμό διευθύνσεων URL afp:, cifs: και smb:. Η μετάβαση σε κακόβουλους ιστότοπους ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένης επικύρωσης των διευθύνσεων URL afp:, cifs: και smb:. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τους Ilja van Sprundel της IOActiveMellon και Chris Ries των Υπηρεσιών πληροφορικής του Carnegie Mellon University για την αναφορά αυτού του προβλήματος.

  • Open Directory

    CVE-ID: CVE-2010-1377

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας εισβολέας που χρησιμοποιεί μεθόδους παρεμβολής σε επικοινωνίες (man in the middle) ενδέχεται να μπορεί να υποδυθεί έναν διακομιστή λογαριασμού δικτύου

    Περιγραφή: Κατά τη δέσμευση σε έναν διακομιστή λογαριασμού δικτύου μέσω των Προτιμήσεων συστήματος, το Open Directory θα διαπραγματευτεί αυτόματα μια μη προστατευμένη σύνδεση με τον διακομιστή αν δεν είναι εφικτό να γίνει σύνδεση στον διακομιστή με χρήση του πρωτοκόλλου Secure Sockets Layer (SSL). Ένας εισβολέας που χρησιμοποιεί μεθόδους παρεμβολής σε επικοινωνίες (man in the middle) ενδέχεται να μπορεί να υποδυθεί έναν διακομιστή λογαριασμού δικτύου, πράγμα που μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα με τα προνόμια συστήματος. Αυτό το πρόβλημα αντιμετωπίζεται με το να παρέχεται μια επιλογή σύμφωνα με την οποία απαιτείται ασφαλής σύνδεση. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6.

  • Printer Setup

    CVE-ID: CVE-2010-1379

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Οι συσκευές δικτύου ενδέχεται να απενεργοποιήσουν την εκτύπωση σε ορισμένες εφαρμογές

    Περιγραφή: Υπάρχει ένα πρόβλημα κωδικοποίησης χαρακτήρων στον χειρισμό κοντινών εκτυπωτών από την Διαμόρφωση εκτυπωτή. Αν μια συσκευή στο τοπικό δίκτυο κοινοποιήσει μια υπηρεσία εκτυπώσεων με έναν χαρακτήρα Unicode στο όνομα της υπηρεσίας της, η εκτύπωση ενδέχεται να αποτύχει σε ορισμένες εφαρμογές. Το πρόβλημα αντιμετωπίζεται με βελτιωμένο χειρισμό των κοινόχρηστων εκτυπωτών. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον Filipp Lepalaan της mcare Oy για την αναφορά αυτού του προβλήματος.

  • Printing

    CVE-ID: CVE-2010-1380

    Διατίθεται για: Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας χρήστης με πρόσβαση στον εκτυπωτή ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει ένα πρόβλημα υπερχείλισης ακεραίων στον υπολογισμό των μεγεθών σελίδας στο φίλτρο cgtexttops του CUPS. Ένας τοπικός ή απομακρυσμένος χρήστης με πρόσβαση στον εκτυπωτή ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Αυτό το πρόβλημα δεν επηρεάζει τα συστήματα πριν από το Mac OS X v10.6. Ευχαριστούμε τον regenrecht, που συνεργάζεται με την iDefense, για την αναφορά αυτού του προβλήματος.

  • Ruby

    CVE-ID: CVE-2010-0541

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να αποκτήσει πρόσβαση σε λογαριασμούς που εξυπηρετούνται από το Ruby WEBrick

    Περιγραφή: Υπάρχει ένα πρόβλημα με τα σενάρια μεταξύ ιστότοπων στον χειρισμό των σελίδων σφάλματος από τον διακομιστή HTTP του Ruby WEBrick. Η πρόσβαση σε μια κακόβουλη διεύθυνση URL σε ορισμένα προγράμματα περιήγησης ενδέχεται να προκαλέσει χειρισμό της σελίδας σφάλματος ως UTF-7, επιτρέποντας την έγχυση JavaScript. Το πρόβλημα αντιμετωπίζεται ορίζοντας το UTF-8 ως προεπιλεγμένο σύνολο χαρακτήρων στις αποκρίσεις σφάλματος HTTP. Ευχαριστίες: Apple.

  • SMB File Server

    CVE-ID: CVE-2010-1381

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αυθαίρετα αρχεία

    Περιγραφή: Υπάρχει ένα πρόβλημα διαμόρφωσης στη διανομή Samba της Apple, του διακομιστή που χρησιμοποιείται για κοινή χρήση αρχείων SMB. Χρησιμοποιώντας συμβολικούς συνδέσμους, ένας απομακρυσμένος χρήστης με πρόσβαση σε ένα κοινόχρηστο στοιχείο SMB ενδέχεται να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αυθαίρετα αρχεία. Αυτό το πρόβλημα αντιμετωπίζεται απενεργοποιώντας την υποστήριξη για συνδέσμους wide στο αρχείο διαμόρφωσης Samba.

  • SquirrelMail

    CVE-ID: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-2964

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Πολλές ευπάθειες στο SquirrelMail

    Περιγραφή: Το SquirrelMail ενημερώνεται στην έκδοση 1.4.20 για την αντιμετώπιση διαφόρων ευπαθειών, εκ των οποίων η σοβαρότερη είναι ένα πρόβλημα με τα σενάρια μεταξύ ιστότοπων. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του SquirrelMail στη διεύθυνση http://www.SquirrelMail.org/

  • Wiki Server

    CVE-ID: CVE-2010-1382

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 έως v10.6.3, Mac OS X Server v10.6 έως v10.6.3

    Αποτέλεσμα: Η προβολή κακόβουλου περιεχομένου Wiki ενδέχεται να έχει ως αποτέλεσμα μια επίθεση σεναρίου μεταξύ ιστότοπων (XSS)

    Περιγραφή: Το Wiki Server δεν προσδιορίζει ένα συγκεκριμένο σύνολο χαρακτήρων κατά την παροχή εγγράφων HTML σε απόκριση σε αιτήματα χρηστών. Ένας εισβολέας που έχει τη δυνατότητα να κάνει δημοσίευση ή σχολιασμό σε περιεχόμενο που φιλοξενείται στο Wiki Server ενδέχεται να συμπεριλάβει σενάρια κωδικοποιημένα σε κάποιο εναλλακτικό σύνολο χαρακτήρων. Αυτό μπορεί να οδηγήσει σε μια επίθεση σεναρίου μεταξύ ιστότοπων (XSS) εναντίον χρηστών του Wiki Server. Το πρόβλημα αντιμετωπίζεται ορίζοντας ένα σύνολο χαρακτήρων για το έγγραφο στις αποκρίσεις HTTP.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: