Tietoja Mac OS X 10.4.8 ‑päivityksen ja suojauspäivitys 2006-006:n turvallisuussisällöstä

Tässä dokumentissa kerrotaan suojauspäivitys 2006-006:n ja Mac OS X 10.4.8 ‑päivityksen turvallisuussisällöstä. Ne voi ladata ja asentaa ohjelmistopäivitysasetusten tai Applen lataussivuston kautta.

Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Mac OS X 10.4.8 ja suojauspäivitys 2006-006

• CFNetwork

  CVE-ID: CVE-2006-4390

  Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: CFNetwork-asiakasohjelmat kuten Safari saattoivat antaa todentamattomien SSL-sivustojen näkyä todennettuina.

  Kuvaus: Tavallisesti SSL:llä muodostettavat yhteydet todennetaan ja salataan. Kun salausta käytettiin ilman todennusta, haittasivustot saattoivat kuitenkin pystyä esiintymään luotettuina sivustoina. Safarin tapauksessa tämä saattoi johtaa lukkokuvakkeen näkymiseen myös silloin, kun etäsivuston identiteettiin ei voitu luottaa. Tämä päivitys korjaa ongelman kieltämällä tunnistamattomat SSL-yhteydet oletusarvoisesti. Kiitämme Adam Bryzakia (Queensland University of Technology) tämän ongelman ilmoittamisesta.

• Flash Player

  CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

  Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: Flash-sisällön toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

  Kuvaus: Adobe Flash Playerissä on kriittisiä haavoittuvuuksia, jotka saattoivat aiheuttaa mielivaltaisen koodin suorittamisen haittasisältöä käsitellessä. Tämä päivitys korjaa ongelman lisäämällä Mac OS X 10.3.9 ‑järjestelmiin Flash Playerin version 9.0.16.0 ja Mac OS X 10.4 ‑järjestelmiin Flash Playerin version 9.0.20.0.

  Lisätietoja on Adoben verkkosivustolla osoitteessa http://www.adobe.com/support/security/bulletins/apsb06-11.html.

• ImageIO

  CVE-ID: CVE-2006-4391

  Saatavuus: Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: haitallisen JPEG2000-kuvan katselu saattoi aiheuttaa apin kaatumisen tai mielivaltaisen koodin suorittamisen.

  Kuvaus: Luomalla tarkoin suunnitellun viallisen JPEG2000-kuvan hyökkääjä pystyi aiheuttamaan puskurin ylivuodon, joka saattoi aiheuttaa apin kaatumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla JPEG2000-kuvien lisävahvistuksen. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitämme Tom Saxtonia (Idle Loop Software Design) tämän ongelman ilmoittamisesta.

• Kernel

  CVE-ID: CVE-2006-4392

  Saatavuus Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server v10.4.7

  Vaikutus: paikalliset käyttäjät saattoivat pystyä suorittamaan mielivaltaisen koodin korotetuilla etuoikeuksilla.

  Kuvaus: Machin poikkeusportteina (exception ports) tunnettu kernel-virheenkäsittelymekanismi mahdollistaa ohjelmien hallinnan, kun tietynlaisia virheitä esiintyy. Paikalliset haittakäyttäjät pystyivät käyttämään tätä mekanismia mielivaltaisen koodin suorittamiseen etuoikeutetuissa ohjelmissa silloin, kun virhe esiintyi. Tämä päivitys korjaa ongelman rajoittamalla etuoikeutettujen ohjelmien pääsyä Machin poikkeusportteihin. Kiitämme Dino Dai Zovia (Matasano Security) tämän ongelman ilmoittamisesta.

• LoginWindow

  CVE-ID: CVE-2006-4397

  Saatavuus: Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: verkkotilin epäonnistuneen sisäänkirjautumisyrityksen jälkeen Kerberos-liput saattoivat tulla muiden paikallisten käyttäjien saataville.

  Kuvaus: Tarkistamattomasta virhetilasta johtuen Kerberos-liput eivät välttämättä tuhoutuneet täysin sen jälkeen, kun verkkotilille kirjautuminen loginwindow’n kautta epäonnistui. Tämä saattoi johtaa siihen, että muut paikalliset käyttäjät pääsivät luvatta edellisen käyttäjän Kerberos-lippuihin. Tämä päivitys korjaa ongelman tyhjentämällä kirjautumistietojen välimuistin epäonnistuneiden kirjautumisyritysten jälkeen. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitämme Patrick Gallagheria (Digital Peaks Corporation) tämän ongelman ilmoittamisesta.

• LoginWindow

  CVE-ID: CVE-2006-4393

  Saatavuus: Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: Kerberos-liput saattoivat tulla muiden paikallisten käyttäjien saataville, jos nopea käyttäjän vaihto oli käytössä.

  Kuvaus: Nopean käyttäjän vaihdon käsittelyssä ollut ongelma saattoi mahdollistaa paikallisen käyttäjän pääsyn muiden paikallisten käyttäjien Kerberos-lippuihin. Nopea käyttäjän vaihto on päivitetty tämän tilanteen estämiseksi. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitämme Ragnar Sundbladia (Royal Institute of Technology, Tukholma, Ruotsi) tämän ongelman ilmoittamisesta.

• LoginWindow

  CVE-ID: CVE-2006-4394

  Saatavuus: Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: verkkotilit saattoivat pystyä ohittamaan loginwindow’n palvelun pääsynhallinnan.

  Kuvaus: Palvelun pääsynhallinnalla voidaan rajoittaa, mitkä käyttäjät saavat kirjautua sisään loginwindow’n kautta. Loginwindow’ssa ollut logiikkaongelma antoi kaikkien GUID-tunnuksettomien verkkotilien ohittaa palvelun pääsynhallinnan. Tämä ongelma vaikuttaa vain järjestelmiin, joissa loginwindow’hun on määritetty palvelun pääsynhallinta ja joissa verkkotilien sallitaan todentaa käyttäjiä ilman GUID-tunnusta. Ongelma on ratkaistu parantamalla palvelun pääsynhallinnan käsittelyä loginwindow’ssa. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin.

• Preferences

  CVE-ID: CVE-2006-4387

  Saatavuus: Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: tili saattoi pystyä hallitsemaan WebObjects-appeja, vaikka siltä oli poistettu ylläpitäjän oikeudet.

  Kuvaus: Vaikka Salli tämän käyttäjän hallinnoida tietokonetta ‑ruudun valinta poistettiin Järjestelmäasetuksissa, tili ei välttämättä poistunut appserveradm- ja appserverusr-ryhmistä. Nämä ryhmät antavat tilille oikeuden hallita WebObjects-appeja. Tämä päivitys korjaa ongelman varmistamalla, että tili poistetaan tarvittavista ryhmistä. Tämä ongelma ei vaikuta Mac OS X 10.4:ää edeltäviin järjestelmiin. Kiitämme Phillip Tejadaa (Fruit Bat Software) tämän ongelman ilmoittamisesta.

• QuickDraw Manager

  CVE-ID: CVE-2006-4395

  Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: haitallisen PICT-kuvan avaaminen tietyissä apeissa saattoi aiheuttaa apin kaatumisen tai mielivaltaisen koodin suorittamisen.

  Kuvaus: tietyt apit avaavat PICT-kuvat hyödyntämällä QuickDraw-toimintoa, jota ei tueta. Luomalla tarkoin suunnitellun viallisen PICT-kuvan hyökkääjä pystyi aiheuttamaan muistin vioittumisen näissä apeissa, mikä saattoi aiheuttaa apin kaatumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman estämällä kyseisen ei-tuetun toiminnon.

• SASL

  CVE-ID: CVE-2006-1721

  Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: etähyökkääjät saattoivat pystyä aiheuttamaan IMAP-palvelimen palveluneston.

  Kuvaus: DIGEST-MD5-neuvottelutuen ongelma Cyrus SASL:ssä saattoi johtaa segmentaatiovikaan IMAP-palvelimessa käytettäessä haitallista alueotsaketta. Tämä päivitys korjaa ongelman parantamalla alueotsakkeiden käsittelyä todennusyrityksissä.

• WebCore

  CVE-ID: CVE-2006-3946

  Saatavuus: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4 – Mac OS X 10.4.7, Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: haitallisen verkkosivuston katselu saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

  Kuvaus: WebKitin tietyn HTML-sisällön käsittelyä koskenut muistinhallintaongelma saattoi antaa haittasivuston aiheuttaa kaatumisen tai mahdollisesti mielivaltaisen koodin suorittamisen, kun käyttäjä katseli sivustoa. Tämä päivitys korjaa ongelman estämällä ylivuodon aiheuttaneen tilanteen. Kiitämme Jens Kutilekia (Netzallee), Lurene Grenieriä (Senior Research Engineer, Sourcefire VRT) ja Jose Avila III:ta (Security Analyst, ONZRA) tämän ongelman ilmoittamisesta.

• Workgroup Manager

  CVE-ID: CVE-2006-4399

  Saatavuus: Mac OS X Server 10.4 – Mac OS X Server 10.4.7

  Vaikutus: NetInfo-ylätason tilit, jotka vaikuttivat käyttävän ShadowHash-salasanoja, saattoivat silti käyttää cryptiä.

  Kuvaus: Workgroup Manager näyttää sallivan todennustavan vaihtamisen cryptistä ShadowHash-salasanoihin NetInfo-ylätasolla, vaikka vaihtoa ei oikeasti tehdä. Tilin näkymän päivittäminen NetInfo-ylätasolla osoittaa, että crypt on yhä käytössä. Tämä päivitys korjaa ohjelman estämällä ylläpitäjiä valitsemasta ShadowHash-salasanoja tileille NetInfo-ylätasolla. Kiitämme Chris Pepperiä (The Rockefeller University) tämän ongelman ilmoittamisesta.

Asennusilmoitus

Ohjelmistopäivitys tekee päivityksen, joka koskee omaa järjestelmääsi. Vain yksi päivitys tarvitaan.

Suojauspäivitys 2006-006 asentuu Mac OS X 10.3.9- ja Mac OS X Server 10.3.9 ‑järjestelmiin.

Mac OS X 10.4.8 sisältää suojauspäivityksen 2006-006 korjaukset ja asentuu Mac OS X 10.4:ään ja uudempiin sekä Mac OS X Server 10.4:ään ja uudempiin.