Tämä artikkeli on arkistoitu eikä Apple enää päivitä sitä.

Tietoja suojauspäivityksestä 2008-005

Tässä asiakirjassa kerrotaan ohjelmiston päivitystoiminnolla tai Applen lataussivustosta ladattavasta ja asennettavasta suojauspäivityksestä 2008-005.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Suojauspäivitys 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Paikallinen käyttäjä saattoi suorittaa komentoja laajennetuilla käyttöoikeuksilla.

    Kuvaus: Open Scripting Architecture -kirjastoissa on ongelma, joka esiintyy selvitettäessä, ladataanko komentosarjakielen liitännäisiä laajennetuilla käyttöoikeuksilla toimiviin appeihin. Komentosarjakielen lisäkomentojen lähettäminen laajennetuilla käyttöoikeuksilla toimivalle apille saattoi mahdollistaa mielivaltaisen koodin suorittaminen apin käyttöoikeuksilla. Tämä päivitys ratkaisee ongelman siten, että komentosarjakielen liitännäisiä ei ladata appeihin, jotka toimivat järjestelmäoikeuksilla. Tämä päivitys korjaa myös hiljattain ilmoitetut ADRAgent- ja SecurityAgent-ongelmat. Kiitokset Charles Srstkalle tämän ongelman ilmoittamisesta.

  • BIND

    CVE-ID: CVE-2008-1447

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: BIND on altis DNS-välimuistin myrkyttämiselle ja voi palauttaa väärennettyjä tietoja.

    Kuvaus: Berkeley Internet Name Domain (BIND) -palvelin on Mac OS X:n osa, mutta palvelu ei oletusarvoisesti ole käytössä. Palvelun ollessa käytössä se kääntää isäntänimet verkon IP-osoitteiksi. DNS-protokollassa oleva heikkous voi mahdollistaa DNS-välimuistin myrkyttämiseen perustuvien hyökkäysten tekemisen. Tämän seurauksena järjestelmät, jotka käyttävät BIND-palvelinta DNS-nimipalveluna, voivat saada palvelusta väärennettyjä tietoja. Tämä päivitys ratkaisee ongelman toteuttamalla lähdeporttien satunnaistamisen, joka parantaa kestävyyttä välimuistin myrkyttämiseen perustuvia hyökkäyksiä vastaan. Mac OS X 10.4.11 -järjestelmissä BIND päivitetään versioon 9.3.5-P1. Mac OS X 10.5.4 -järjestelmissä BIND päivitetään versioon 9.4.2-P1. Kiitokset IOActiven Dan Kaminskylle tämän ongelman ilmoittamisesta.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Pitkien tiedostonimien käsitteleminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Pitkien tiedostonimien käsittelyssä on pinopuskurin ylivuoto. Pitkien tiedostonimien käsittely saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset International Secure Systems Labin Thomas Raffetsederille ja n.runs AG:n Sergio 'shadown' Alvarezille tämän ongelman ilmoittamisesta.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Haitallisessa verkkosivustossa käyminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreGraphicsin argumenttien käsittelyssä on muistinvioittumisongelma. Ei-luotetun syötteen välittäminen CoreGraphicsille apin, kuten verkkoselaimen, kautta, saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset Googlen Michal Zalewskille tämän ongelman ilmoittamisesta.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oleva kokonaisluvun ylivuoto saattoi aiheuttaa pinopuskurin ylivuodon. Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen. Tämä päivitys ratkaisee ongelman lisäämällä PDF-tiedostoille ylimääräisen tarkastuksen. Kiitokset iDefense VCP:n Pariente Kobille tämän ongelman ilmoittamisesta.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Saatavuus: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Haitallisten viestien avaaminen datatunnistimilla saattoi johtaa apin odottamattomaan sulkeutumiseen.

    Kuvaus: Datatunnistimilla puretaan viitetietoja tekstisisällöstä tai arkistoista. Datatunnistinten tekstisisällön käsittelyssä on resurssienkulutusongelma. Haitallisen sisällön tarkastelu datatunnistimia käyttävässä apissa saattoi aiheuttaa palveluneston mutta ei mahdollistanut mielivaltaisen koodin suorittamista. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Vaikutus: Paikallinen käyttäjä saattoi pystyä käyttämään järjestelmätason käyttöoikeuksia.

    Kuvaus: Levytyökalun Korjaa oikeudet -työkalu antoi /usr/bin/emacsille setuid-määrityksen. Paikalliset käyttäjät saattoivat Korjaa oikeudet -toiminnon suorittamisen jälkeen käyttää emacsia järjestelmätason oikeuksilla. Tämä päivitys ratkaisee ongelman korjaamalla Korjaa oikeudet -työkalun emacsille määrittämät käyttöoikeudet oikeiksi. Tämä ongelma ei koske järjestelmiä, joissa on Mac OS X 10.5 tai uudempi. Kiitokset Anton Rangille ja Brian Timaresille tämän ongelman ilmoittamisesta.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttaman apin odottamattoman sulkeutumisen.

    Kuvaus: OpenLDAP:n ASN.1 BER -koodauksessa oli ongelma. Haitallisen LDAP-sanoman käsittely saattoi käynnistää varmistustoiminnon ja aiheuttaa slapd:n (OpenLDAP-taustaohjelma) odottamattoman sulkeutumisen. Tämä päivitys korjaa ongelman suorittamalla LDAP-sanomien lisätarkistuksen.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan apin odottamattoman sulkeutumisen tai suorittamaan mielivaltaista koodia.

    Kuvaus: OpenSSL:n SSL_get_shared_ciphers()-apufunktiossa on arvoalueen tarkastamiseen liittyvä ongelma. Haitalliset datapaketit saattoivat aiheuttaa funktiota käyttävän apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Saatavuus: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Useita haavoittuvuuksia PHP 5.2.5:ssa.

    Kuvaus: PHP:n päivittäminen versioon 5.2.6 korjaa useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa mielivaltaisen koodin suorittamisen. Lisätietoja on saatavana PHP:n verkkosivustossa osoitteessa http://www.php.net/. PHP 5.2.x sisältyy vain Mac OS X 10.5 -järjestelmiin.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Saatavuus: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Vaikutus: Haitallisen Microsoft Office -tiedoston lataaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickLookin Microsoft Office -tiedostojen käsittelyssä oli useita muistinvioittumisongelmia. Haitallisen Microsoft Office -tiedoston lataaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin.

  • rsync

    .

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: Files outside the module root may be accessed or overwritten remotely

    Description: Path validation issues exist in rsync's handling of symbolic links when running in daemon mode. Placing symbolic links in an rsync module may allow files outside of the module root to be accessed or overwritten. This update addresses the issue through improved handling of symbolic links. Further information on the patches applied is available via the rsync web site at http://rsync.samba.org/

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Voit pyytää lisätietoja myös ohjelmiston toimittajalta.

Julkaisupäivämäärä: