Αυτό το άρθρο έχει αρχειοθετηθεί και δεν ενημερώνεται πλέον από την Apple.

Πληροφορίες σχετικά με την Ενημέρωση ασφάλειας 2010-005

Αυτό το έγγραφο περιγράφει την Ενημέρωση ασφάλειας 2010-005.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

Ενημέρωση ασφάλειας 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Η προβολή ή λήψη εγγράφου που περιέχει κακόβουλη ενσωματωμένη γραμματοσειρά μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στοίβας στον χειρισμό ενσωματωμένων γραμματοσειρών από τις υπηρεσίες Apple Type Services. Η προβολή ή λήψη εγγράφου που περιέχει κακόβουλη ενσωματωμένη γραμματοσειρά μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Διατίθεται για: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να υποκλέψει διαπιστευτήρια χρηστών ή άλλες ευαίσθητες πληροφορίες

    Περιγραφή: Το CFNetwork επιτρέπει ανώνυμες συνδέσεις TLS/SSL. Αυτό ενδέχεται να επιτρέψει σε έναν εισβολέα που έχει τη δυνατότητα μεσολάβησης να ανακατευθύνει συνδέσεις και να υποκλέπτει διαπιστευτήρια χρηστών ή άλλες ευαίσθητες πληροφορίες. Αυτό το πρόβλημα δεν επηρεάζει την εφαρμογή Mail. Αυτό το πρόβλημα αντιμετωπίζεται με την απενεργοποίηση των ανώνυμων συνδέσεων TLS/SSL. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6.3. Ευχαριστούμε τους Aaron Sigel της vtty.com, Jean-Luc Giraud της Citrix, Tomas Bjurman της Sirius IT και Wan-Teh Chang της Google, Inc. για την αναφορά αυτού του προβλήματος.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Διατίθεται για: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Αποτέλεσμα: Πολλαπλές ευπάθειες στο ClamAV

    Περιγραφή: Υπάρχουν πολλαπλές ευπάθειες στο ClamAV, η σοβαρότερη εκ των οποίων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το πρόβλημα ενημερώνοντας το ClamAV στην έκδοση 0.96.1. Το ClamAV διανέμεται μόνο με συστήματα Mac OS X Server. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο του ClamAV, στη διεύθυνση http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer σωρού στον χειρισμό αρχείων PDF από το CoreGraphic. Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με βελτιωμένο έλεγχο ορίων. Ευχαριστούμε τον Rodrigo Rubira Branco από την ομάδα Check Point Vulnerability Discovery Team (VDT) για την αναφορά αυτού του προβλήματος.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου που μπορεί να αποκτήσει ένα όνομα τομέα, το οποίο διαφέρει μόνο στους τελευταίους χαρακτήρες από το όνομα ενός γνήσιου τομέα, ενδέχεται να μιμηθεί υπολογιστές υπηρεσίας στον συγκεκριμένο τομέα

    Περιγραφή: Υπάρχει ένα πρόβλημα στον χειρισμό των ονομάτων υπολογιστών υπηρεσίας. Στα ονόματα υπολογιστών υπηρεσίας που περιέχουν τρία ή περισσότερα στοιχεία, οι τελευταίοι χαρακτήρες δεν συγκρίνονται σωστά. Στην περίπτωση ονόματος που περιέχει τρία στοιχεία ακριβώς, μόνο ο τελευταίος χαρακτήρας δεν ελέγχεται. Για παράδειγμα, αν ένας εισβολέας σε προνομιακή θέση δικτύου μπορέσει να αποκτήσει ένα πιστοποιητικό για το www.example.con, ο εισβολέας θα μπορεί να μιμηθεί το www.example.com. Αυτό το πρόβλημα αντιμετωπίζεται μέσω βελτιωμένου χειρισμού των ονομάτων υπολογιστών υπηρεσίας πιστοποιητικών. Ευχαριστούμε τον Peter Speck για την αναφορά αυτού του προβλήματος.

  • PHP

    CVE-ID: CVE-2010-1205

    Διατίθεται για: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Η φόρτωση μιας κακόβουλης εικόνας PNG ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στη βιβλιοθήκη libpng του PHP. Η φόρτωση κακόβουλης εικόνας PNG ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα. Αυτό το πρόβλημα αντιμετωπίζεται με την ενημέρωση της βιβλιοθήκης libpng εντός του PHP στην έκδοση 1.4.3. Αυτό το πρόβλημα δεν επηρεάζει συστήματα πριν από το Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Διατίθεται για: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Πολλαπλές ευπάθειες στο PHP 5.3.1

    Περιγραφή: Το PHP έχει ενημερωθεί στην έκδοση 5.3.2 για την αντιμετώπιση πολλαπλών ευπαθειών, η σοβαρότερη εκ των οποίων ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Περισσότερες πληροφορίες είναι διαθέσιμες στον ιστότοπο της PHP στη διεύθυνση http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Διατίθεται για: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας για τον οποίο δεν έχει πραγματοποιηθεί έλεγχος ταυτότητας ενδέχεται να προκαλέσει άρνηση υπηρεσίας ή εκτέλεση αυθαίρετου κώδικα

    Περιγραφή: Υπάρχει υπερχείλιση buffer στο Samba. Ένας απομακρυσμένος εισβολέας για τον οποίο δεν έχει πραγματοποιηθεί έλεγχος ταυτότητας ενδέχεται να προκαλέσει άρνηση υπηρεσίας ή εκτέλεση αυθαίρετου κώδικα μέσω της αποστολής ενός κακόβουλου πακέτου. Αυτό το πρόβλημα αντιμετωπίζεται με την εκτέλεση πρόσθετης επαλήθευσης των πακέτων στο Samba.

Σημαντικό: Η αναφορά ιστότοπων και προϊόντων τρίτων προορίζεται μόνο για ενημερωτικούς σκοπούς και δεν συνιστά ούτε έγκριση ούτε σύσταση. Η Apple δεν φέρει καμία ευθύνη όσον αφορά την επιλογή, την απόδοση ή τη χρήση πληροφοριών ή προϊόντων που βρίσκονται σε ιστότοπους τρίτων. Η Apple το παρέχει μόνο για διευκόλυνση των χρηστών μας. Η Apple δεν έχει ελέγξει τις πληροφορίες που βρίσκονται σε αυτούς τους ιστότοπους και δεν προβαίνει σε καμία δήλωση σχετικά με την ακρίβεια ή την αξιοπιστία τους. Υπάρχουν κίνδυνοι που συνδέονται με τη χρήση οποιωνδήποτε πληροφοριών ή προϊόντων που βρίσκονται στο διαδίκτυο και η Apple δεν αναλαμβάνει καμία ευθύνη ως προς αυτό. Πρέπει να κατανοήσετε ότι ένας ιστότοπος τρίτου μέρους είναι ανεξάρτητος από την Apple και ότι η Apple δεν έχει κανέναν έλεγχο επί του περιεχομένου σε αυτόν τον ιστότοπο. Επικοινωνήστε με τον προμηθευτή για πρόσθετες πληροφορίες.

Ημερομηνία δημοσίευσης: