Tietoja suojauspäivityksestä 2007-009
Tässä asiakirjassa kerrotaan asetusten Ohjelmiston päivitys -kohdasta tai Applen lataussivustosta ladattavasta ja asennettavasta suojauspäivityksestä 2007-009.
Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Suojauspäivitys 2007-009
Osoitekirja
CVE-ID: CVE-2007-4708
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Osoitekirja-apin URL-käsittelyssä oli muotoilumerkkijonohaavoittuvuus. Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän käymään haitallisessa verkkosivustossa. Päivitys korjaa ongelman parantamalla muotoilumerkkijonojen käsittelyä. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
CFNetwork
CVE-ID: CVE-2007-4709
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi mahdollistaa tiedostojen automaattisen lataamisen mielivaltaisiin kansioihin, joihin käyttäjällä on kirjoitusoikeus.
Kuvaus: CFNetworkin ladattujen tiedostojen käsittelyssä oli tiedostopolun väärinkäyttöongelma. Hyökkääjä saattoi saada tiedostot latautumaan automaattisesti mielivaltaisiin kansioihin, joihin käyttäjällä on kirjoitusoikeus, houkuttelemalla käyttäjän käymään haitallisessa verkkosivustossa. Päivitys ratkaisee ongelman parantamalla HTTP-vastausten käsittelyä. Ongelma ei koske Mac OS X 10.5:ää vanhempia järjestelmiä. Kiitos Sean Hardingille ongelman ilmoittamisesta.
ColorSync
CVE-ID: CVE-2007-4710
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: upotetun ColorSync-profiilin sisältävän haitallisen kuvan avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Sisäisen ColorSync-profiilin sisältävien kuvien käsittelyssä oli muistinvioittumisongelma. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisen kuvan. Päivitys ratkaisee ongelman suorittamalla kuvien lisätarkistuksen. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi. Kiitos Adobe Secure Software Engineering Teamin (ASSET) Tom Ferrisille ongelman ilmoittamisesta.
Core Foundation
CVE-ID: CVE-2007-5847
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: CFURLWriteDataAndPropertiesToResource-sovellusliittymän käyttö saattoi johtaa arkaluonteisten tietojen paljastumiseen.
Kuvaus: CFURLWriteDataAndPropertiesToResource-sovellusliittymässä oli kilpailutilanne, joka saattoi aiheuttaa tiedostojen luomisen suojaamattomilla käyttöoikeuksilla. Tämä saattoi johtaa arkaluonteisten tietojen paljastumiseen. Päivitys korjaa ongelman parantamalla tiedostojen käsittelyä. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
CUPS
CVE-ID: CVE-2007-5848
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: paikallinen ylläpitäjäkäyttäjä saattoi saada järjestelmäoikeudet.
Kuvaus: CUPS:n tulostinohjaimessa oli puskurin ylivuoto-ongelma. Tämä saattoi mahdollistaa paikalliselle ylläpitäjälle järjestelmätason käyttöoikeuksien saamisen välittämällä haittatarkoituksessa laaditun URI-tunnisteen CUPS-palveluun. Päivitys ratkaisee ongelman varmistamalla, että kohdepuskuri on kooltaan sellainen, että tiedot mahtuvat siihen. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi. Kiitos Critical Path Softwaren Dave Campille ongelman ilmoittamisesta.
CUPS
CVE-ID: CVE-2007-4351
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: IPP-tulostusprotokollan tunnisteiden käsittelyssä oli muistinvioittumisongelma, jonka vuoksi etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta.
CUPS
CVE-ID: CVE-2007-5849
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen, jos SNMP oli käytössä.
Kuvaus: CUPS-taustapalvelun SNMP-ohjelma etsii verkosta tulostuspalvelimia lähettämällä SNMP-pyyntöjä koko verkolle. SNMP-vastausten käsittelyssä ollut kokonaisluvun alivuoto saattoi aiheuttaa pinopuskurin ylivuodon. Etähyökkääjä saattoi hyödyntää ongelmaa lähettämällä haitallisen SNMP-vastauksen, joka voi aiheuttaa apin sulkeutumisen tai mielivaltaisen koodin suorittamisen, jos SNMP oli käytössä. Päivitys ratkaisee ongelman suorittamalla SNMP-vastausten lisätarkistuksen. Ongelma ei koske Mac OS X 10.5:ttä vanhempia järjestelmiä. Kiitos McAfee Avert Labsin Wei Wangille ongelman ilmoittamisesta.
Työpöytäpalvelut
CVE-ID: CVE-2007-5850
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisen .DS_Store-tiedoston sisältävän hakemiston avaaminen Finderissa saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Työpöytäpalveluissa oli kekopuskurin ylivuoto. Hyökkääjä saattoi aiheuttaa mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisen .DS_Store-tiedoston sisältävän hakemiston. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
Flash Player -liitännäinen
CVE-ID: CVE-2007-5476
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: Adobe Flash Player -liitännäisessä oli useita haavoittuvuuksia.
Kuvaus: Adobe Flash Player -liitännäisessä oli useiden syötteiden tarkistusongelmia, jotka voivat johtaa mielivaltaisen koodin suorittamiseen. Päivitys korjaa ongelman päivittämällä Adobe Flash Player -ohjelman versioon 9.0.115.0. Lisätietoja on saatavissa Adoben sivustossa osoitteessa http://www.adobe.com/support/security/bulletins/apsb07-20.html. Kiitos Opera Softwarelle ongelman ilmoittamisesta.
GNU Tar
CVE-ID: CVE-2007-4131
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisen tar-arkiston purkaminen saattoi korvata mielivaltaisia tiedostoja.
Kuvaus: GNU tar:ssa oli hakemiston väärinkäyttöongelma. Hyökkääjä saattoi aiheuttaa mielivaltaisten tiedostojen korvaamisen houkuttelemalla paikallisen käyttäjän purkamaan haitallisen tar-arkiston. Ongelma on ratkaistu suorittamalla tar-tiedostojen lisätarkistus. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
iChat
CVE-ID: CVE-2007-5851
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: paikallisessa verkossa oleva henkilö saattoi muodostaa videoyhteyden ilman käyttäjän hyväksyntää.
Kuvaus: paikallisessa verkossa ollut hyökkääjä saattoi aloittaa videoneuvottelun käyttäjän kanssa ilman käyttäjän hyväksyntää. Päivitys ratkaisee ongelman vaatimalla käyttäjiltä toimia videoneuvottelun aloittamiseksi. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
IO Storage -perhe
CVE-ID: CVE-2007-5853
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisen levytiedoston avaaminen saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Levytiedoston GUID-osiokarttojen käsittelyssä oli muistinvioittumisongelma. Hyökkääjä saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisen levytiedoston. Päivitys korjaa ongelman lisäämällä GUID-osiokarttojen tarkistuksia. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
Launch Services -käynnistyspalvelut
CVE-ID: CVE-2007-5854
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: haitallisen HTML-tiedoston avaaminen saattoi johtaa tietojen paljastumiseen tai sivustojenväliseen komentosarjojen suorittamiseen.
Kuvaus: Launch Services -käynnistyspalvelu ei käsitellyt HTML-tiedostoja mahdollisesti vaarallisena sisältönä. Hyökkääjä saattoi aiheuttaa arkaluonteisten tietojen paljastumisen tai sivustojenvälisen komentosarjojen suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti laaditun HTML-tiedoston. Päivitys ratkaisee ongelman luokittelemalla HTML-tiedostot mahdollisesti vaaralliseksi sisällöksi. Kiitos Google Inc:n Michal Zalewskille ongelman ilmoittamisesta.
Launch Services -käynnistyspalvelut
CVE-ID: CVE-2007-6165
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: suoritettavan sähköpostiliitteen avaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen ilman varoitusta.
Kuvaus: Launch Services -käynnistyspalveluissa oli toteutusvirhe, joka saattoi sallia suoritettavien sähköpostiliitteiden suorittamisen ilman varoitusta, kun käyttäjä avasi sähköpostiliitteen. Päivitys korjaa ongelman varoittamalla käyttäjää ennen suoritettavien sähköpostiliitteiden käynnistämistä. Ongelma ei koske Mac OS X 10.5:ttä vanhempia järjestelmiä. Kiitos Xeno Kovahille ongelman ilmoittamisesta.
CVE-ID: CVE-2007-5855
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: avustetun tilitoiminnon avulla määritetyissä SMTP-tileissä saatettiin käyttää salaamatonta tekstimuotoista todennusta, vaikka MD5-haaste-vastaus-todentaminen olisi ollut käytettävissä.
Kuvaus: Tilanteessa, jossa SMTP-tili määritettiin avustetulla tilitoiminnolla, SMTP-todennus oli valittuna ja palvelin tuki vain MD5-haastevastauksen todentamista ja salaamatonta tekstimuotoista todennusta, Mail käytti oletusarvoisesti salaamatonta tekstimuotoista todennusta. Päivitys ratkaisee ongelman varmistamalla, että määrityksessä käytetään turvallisinta käytettävissä olevaa todennusta. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
perl
CVE-ID: CVE-2007-5116
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: säännöllisten lausekkeiden jäsentäminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Perlin säännöllisten lausekkeiden kääntäjän polymorfisessa opcode-tuessa oli pituuslaskentaan liittyvä ongelma. Hyökkääjä saattoi aiheuttaa mielivaltaisen koodin suorittamiseen johtavan muistin vioittumisen vaihtamalla tavuista Unicode (UTF) -merkkeihin säännöllisessä lausekkeessa. Päivitys korjaa ongelman laskemalla pituuden uudelleen merkkikoodauksen muuttuessa. Kiitos Google Security Teamin Tavis Ormandylle ja Will Drewrylle ongelman ilmoittamisesta.
python
CVE-ID: CVE-2007-4965
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: kuvasisällön käsittely imageop-moduulilla saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: pythonin imageop-moduulissa oli useita kokonaislukujen ylivuotoja. Ne saattoivat aiheuttaa puskurin ylivuodon apeissa, jotka käyttävät moduulia haitallisen kuvasisällön käsittelyyn. Tämä saattoi puolestaan johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Päivitys ratkaisee ongelman suorittamalla kuvasisällön lisätarkistuksen.
Quick Look
CVE-ID: CVE-2007-5856
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: tiedoston esikatselu QuickLookin avulla saattoi aiheuttaa arkaluonteisten tietojen paljastumisen.
Kuvaus: Verkkopyyntöjen tekemistä ei estetty liitännäisiltä HTML-tiedoston esikatselun aikana. Tämä saattoi johtaa arkaluonteisten tietojen paljastumiseen. Päivitys korjaa ongelman poistamalla liitännäiset käytöstä. Ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä.
Quick Look
CVE-ID: CVE-2007-5857
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: elokuvatiedoston esikatselu saattoi muodostaa yhteyden elokuvan URL-osoitteeseen.
Kuvaus: Kuvakkeen luominen elokuvatiedostolle tai elokuvatiedoston esikatseleminen QuickLookilla saattoi muodostaa yhteyden elokuvatiedostossa olevaan URL-osoitteeseen. Päivitys ratkaisee ongelman poistamalla HREFTrack-toiminnon käytöstä elokuvatiedostoja selattaessa. Ongelma ei koske Mac OS X 10.5:ttä vanhempia järjestelmä tai järjestelmiä, joihin on asennettu QuickTime 7.3. Kiitos Lithoglyph Inc:n Lukhnos D. Liulle ongelman ilmoittamisesta.
Ruby
CVE-ID: CVE-2007-5770
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: Ruby-kirjastoissa oli useita SSL-varmenteiden validointiongelmia.
Kuvaus: SSL-varmenteiden validointiongelmat vaikuttivat useisiin Ruby-kirjastoihin. Tämä saattoi johtaa välimieshyökkäyksiin apeissa, jotka käyttivät kirjastoja. Päivitys korjaa ongelmat ottamalla käyttöön Rubyn korjauksen.
Ruby
CVE-ID: CVE-2007-5379, CVE-2007-5380, CVE-2007-6077
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: Rails 1.2.3:ssa oli useita haavoittuvuuksia.
Kuvaus: Rails 1.2.3:ssa oli useita haavoittuvuuksia, jotka saattoivat johtaa arkaluonteisten tietojen paljastumiseen. Päivitys ratkaisee ongelman päivittämällä Railsin versioon 1.2.6. Ongelma ei koske Mac OS X 10.5:ttä vanhempia järjestelmiä.
Safari
CVE-ID: CVE-2007-5858
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: haitallisessa verkkosivustossa käyminen saattoi aiheuttaa arkaluonteisten tietojen paljastumisen.
Kuvaus: Sivu saattoi WebKitin avulla liikkua kaikkien muiden sivujen alikehyksissä. Haitallisella verkkosivulla käyminen saattoi käynnistää sivustojenvälisen komentosarjahyökkäyksen, joka voi johtaa arkaluonteisten tietojen paljastumiseen. Päivitys korjaa ongelman ottamalla käyttöön tiukemman kehyssiirtymiskäytännön.
Safari RSS
CVE-ID: CVE-2007-5859
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisen feed:-alkuisen URL-osoitteen käyttäminen saattoi aiheuttaa apin sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Safarin tavassa käsitellä feed-tyyppisiä URL-osoitteita oli muistinvioittumisongelma. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän käyttämään haitallista URL-osoitetta. Päivitys ratkaisee ongelman suorittamalla feed-tyyppisten URL-osoitteiden lisätarkistuksen ja antamalla virheilmoituksen, jos URL-osoite on virheellinen. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
Samba
CVE-ID: CVE-2007-4572, CVE-2007-5398
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: Sambassa oli useita haavoittuvuuksia.
Kuvaus: Sambassa oli useita haavoittuvuuksia, joista vakavin oli koodin suorittaminen etäjärjestelmästä. Päivitys korjaa ongelmat ottamalla käyttöön Samba-projektin korjauspäivityksiä. Lisätietoja on Samban verkkosivustossa osoitteessa http://www.samba.org/samba/history/security.html. CVE-2007-4138 ei vaikuta Mac OS X 10.5:ttä vanhempiin järjestelmiin. Kiitos Secunia Researchin Alin Rad Popille ongelman ilmoittamisesta.
Shockwave-liitännäinen
CVE-ID: CVE-2006-0024
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: haitallisen Shockwave-sisällön avaaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Shockwave Playerissa oli useita haavoittuvuuksia. Hyökkääjä saattoi aiheuttaa mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän avaamaan haitallisesti valmistettua Shockwave-sisältöä. Päivitys korjaa ongelmat päivittämällä Shockwave Playerin versioon 10.1.1.016. Kiitos ETH Zurichin Jan Hackerille Shockwave-ongelman ilmoittamisesta.
SMB
CVE-ID: CVE-2007-3876
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: mount_smbfs- ja smbutil-ohjelmien komentoriviargumenttien jäsentämiseen käytetyssä koodissa oli pinopuskurin ylivuoto-ongelma, joka saattoi mahdollistaa paikalliselle käyttäjälle mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Päivitys ratkaisee ongelman parantamalla rajojen tarkistusta. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi. Kiitos VeriSign iDefence Labsin Sean Larssonille ongelman ilmoittamisesta.
Ohjelmiston päivitys
CVE-ID: CVE-2007-5863
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: välimieshyökkäys saattoi aiheuttaa mielivaltaisten komentojen suorittamisen Ohjelmiston päivitys-apissa.
Kuvaus: kun Ohjelmiston päivitys etsii uusia päivityksiä, se käsittelee päivityspalvelimen lähettämän jakelumääritystiedoston. Kaappaamalla päivityspalvelimeen osoitetut pyynnöt hyökkääjä saattoi syöttää haitallisen jakelunmääritystiedoston allow-external-scripts-toiminnolla, mikä saattoi aiheuttaa mielivaltaisen komennon suorittamisen järjestelmän etsiessä uusia päivityksiä. Päivitys ratkaisee ongelman estämällä ulkoisten komentosarjojen sallimisen ohjelmistopäivityksissä. Ongelma ei koske Mac OS X 10.5:ää vanhempia järjestelmiä. Kiitos Moritz Jodeitille ongelman ilmoittamisesta.
Spin Tracer
CVE-ID: CVE-2007-5860
Saatavuus: Mac OS X 10.5.1, Mac OS X Server 10.5.1
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: SpinTracerin tulostiedostojen käsittelyssä oli suojaamaton tiedostotoiminto, joka saattoi mahdollistaa paikalliselle käyttäjälle mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Päivitys ratkaisee ongelman parantamalla tulostiedostojen käsittelyä. Ongelma ei koske Mac OS X 10.5:ttä vanhempia järjestelmiä. Kiitos DigitalMunitionin Kevin Finisterrelle ongelman ilmoittamisesta.
Spotlight
CVE-ID: CVE-2007-5861
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: haitallisen .xls-tiedoston lataaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Microsoft Office Spotlight Importissa oli muistinvioittumisongelma. Hyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen houkuttelemalla käyttäjän lataamaan haitallisen .xls-tiedoston. Päivitys ratkaisee ongelman suorittamalla .xls-tiedostojen lisätarkistuksen. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
tcpdump
CVE-ID: CVE-2007-1218, CVE-2007-3798
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: tcpdumpissa oli useita haavoittuvuuksia.
Kuvaus: tcpdumpissa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Päivitys ratkaisee ongelman päivittämällä tcpdumpin versioon 3.9.7. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi.
XQuery
CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768
Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11
Vaikutus: useita haavoittuvuuksia säännöllisten lausekkeiden käsittelyssä.
Kuvaus: XQueryn käyttämässä PCRE-kirjastossa (Perl Compatible Regular Expressions) oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Päivitys korjaa ongelman päivittämällä PCRE-kirjaston versioon 7.3. Lisätietoja on saatavissa PCRE:n verkkosivustosta osoitteesta http://www.pcre.org/. Ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi. Kiitos Google Security Teamin Tavis Ormandylle ja Will Drewrylle ongelman ilmoittamisesta.
Tärkeää: Muiden valmistajien verkkosivustojen ja tuotteiden mainitseminen on tarkoitettu vain tiedoksi eikä tarkoita, että Apple suosittelisi niiden käyttämistä. Apple ei ole vastuussa kolmansien osapuolten verkkosivustojen tietojen tai tuotteiden valitsemisesta, toiminnasta tai käyttämisestä. Apple tarjoaa tiedot vain käyttäjien avuksi. Apple ei ole testannut sivustoissa olevia tietoja eikä anna minkäänlaisia takuita niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen ja Internetistä peräisin olevien tuotteiden käyttöön liittyy riskejä, joista Apple ei vastaa millään tavalla. Huomaa, että kolmannen osapuolen sivustot ovat Applesta riippumattomia ja että Apple ei voi hallita kyseisten verkkosivustojen sisältöä. Voit pyytää lisätietoja ottamalla yhteyden myyjään tai palveluntarjoajaan.