Tietoja Mac OS X 10.4.7 -päivityksen turvallisuussisällöstä
Tässä asiakirjassa kerrotaan ohjelmistopäivitysten tai Applen lataussivuston kautta ladattavan ja asennettavan Mac OS X 10.4.7 -päivityksen turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Mac OS X 10.4.7 -päivitys
AFP
CVE-ID: CVE-2006-1468
Saatavuus: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Vaikutus: Tiedostojen ja kansioiden nimet voivat paljastua valtuuttamattomille käyttäjille.
Kuvaus: AFP-palvelimeen liittyvän ongelman vuoksi hakutulokset voivat sisältää sellaisten tiedostojen ja kansioiden nimiä, joihin haun suorittavalla käyttäjällä ei ole käyttöoikeutta. Tämä voi aiheuttaa luottamuksellisten tietojen paljastumisen, jos nimet sisältävät arkaluonteista tietoa. Tämä päivitys korjaa ongelman varmistamalla, että hakutulokset sisältävät vain kohteita, joihin käyttäjällä on käyttöoikeus. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin.
ClamAV
CVE-ID: CVE-2006-1989
Saatavuus: Mac OS X Server 10.4.6
Vaikutus: Jos virusskannaus on määritetty päivittymään automaattisesti, haitallinen peilattu tietokanta voi mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: ClamAV:n virustietokannan automaattinen päivittyminen voi aiheuttaa pinopohjaisen puskuriylivuodon. Haitallinen tai väärennetty peilattu ClamAV-tietokanta voi mahdollistaa mielivaltaisen koodin suorittamisen ClamAV:n käyttöoikeuksilla. Sähköpostin tarkastus, virusskannaus ja automaattinen virustietokantojen päivittäminen ovat oletusarvoisesti poissa käytöstä. Tämä päivitys ratkaisee ongelman päivittämällä ClamAV:n versioon 0.88.2. Ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmäversioihin.
ImageIO
CVE-ID: CVE-2006-1469
Saatavuus: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Vaikutus: Haitallisen TIFF-kuvan avaaminen voi aiheuttaa apin kaatumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: Hyökkääjä voi haitallisesti laaditun TIFF-kuvatiedoston avulla käynnistää pinopohjaisen puskuriylivuodon, joka voi aiheuttaa apin kaatumisen tai mahdollistaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla TIFF-kuvien lisätarkistuksen. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin.
launchd
CVE-ID: CVE-2006-1471
Saatavuus: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Vaikutus: Paikalliset käyttäjät saattavat saada käyttöön laajempia käyttöoikeuksia.
Kuvaus: setuid-toimintoja käyttävässä launchd-ohjelmassa olevan muotoilumerkkijonon haavoittuvuuden vuoksi todennettu paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmäoikeuksilla. Ongelma on launchd:n lokikirjaustoiminnossa. Päivitys korjaa ongelman suorittamalla lisätarkistuksia viestien lokiin kirjaamisen yhteydessä. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitos DigitalMunitionin Kevin Finisterrelle ongelman ilmoittamisesta.
OpenLDAP
CVE-ID: CVE-2006-1470
Saatavuus: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Vaikutus: Etähyökkääjä saattoi aiheuttaa Open Directory -palvelimen kaatumisen.
Kuvaus: Etähyökkääjä saattoi virheellisen LDAP-pyynnön avulla käynnistää OpenLDAP-palvelimessa palvelun käytön estävän varmistustoiminnon. Päivitys korjaa ongelman hylkäämällä virheellisen pyynnön. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitos Mu Security -tutkimusryhmälle ongelman ilmoittamisesta.