Keynote 2.0.2: tietoturvaparannukset

Tässä dokumentissa kerrotaan Keynote 2.0.2 -päivitykseen sisältyvistä tietoturvaparannuksista. Päivityksen voi ladata ja asentaa ohjelmistopäivitysten kautta tai Applen lataussivustosta.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan haavoittuvuuksien lisätietoihin.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Keynote 2.0.2

CVE-tunnus: CAN-2005-1408

Saatavuus: Keynote 2, Keynote 2.0.1

Vaikutus: haitallisia muokkauksia sisältävä Keynote-esitys voitiin luoda hakemaan tiedostoja paikallisesta järjestelmästä.

Kuvaus: Erityisesti luodulla Keynote-esityksellä ja ”keynote:” -URI-käsittelijän käytöllä oli mahdollista, että paikallisia tiedostoja pystyttiin lukemaan ja sitten lähettämään mielivaltaiseen verkkosijaintiin. Ongelma on korjattu kahdella tavalla: viittauksia ulkoisiin resursseihin on rajoitettu ja ”keynote:” -URI-käsittelijän rekisteröinti on poistettu. Ongelma ei vaikuta Keynoten versioihin ennen Keynote 2:ta. Kiitos David Remahlille (www.remahl.se/david) ongelmasta ilmoittamisesta.