Tietoja suojauspäivitys 2009-001:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan Ohjelmiston päivitys -asetuksista tai Applen lataussivustosta ladattavasta ja asennettavasta suojauspäivityksestä 2009-001.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Suojauspäivitys 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Käyttäjä, joka pystyi muodostamaan yhteyden AFP Serveriin, saattoi aiheuttaa palveluneston.
Kuvaus: Kilpailutilanne AFP Serverissä saattoi johtaa päättymättömään silmukkaan. Tiedostojen numeroiminen AFP Serverillä saattoi johtaa palvelunestoon. Päivitys korjaa ongelman parantamalla tiedostojen numeroimisen logiikkaa. Tämä ongelma vaikuttaa vain järjestelmiin, joissa on Mac OS X v10.5.6.
Apple Pixlet Video
CVE-ID: CVE-2009-0145
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v – v10.5.6, Mac OS X Server v – v10.5.6
Vaikutus: Haitallisen elokuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: Pixlet-koodekkia käyttävien elokuvatiedostojen käsittelyssä oli muistinvioittumisongelma. Haitallisen elokuvatiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset: Apple.
CarbonCore
CVE-ID: CVE-2009-0160
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v – v10.5.6, Mac OS X Server v – v10.5.6
Vaikutus: Haitallisen resurssihaaran sisältävän tiedoston asentaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: Resurssienhallinnan tavassa käsitellä resurssihaaroja oli muistinvioittumisongelma. Haitallisen resurssihaaran sisältävän tiedoston asentaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla resurssihaarojen validointia. Kiitokset: Apple.
CFNetwork
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Palauttaa normaalin toiminnan evästeille, joiden vanhenemisaika on nolla.
Kuvaus: Tämä päivitys korjaa tietoturvaongelman, joka ilmeni Mac OS X 10.5.6.:ssa. Evästeitä ei voitu asettaa oikein, jos sivusto yritti asettaa istuntoevästeen tarjoamalla "vanhenee"-kentän arvoksi nolla kentän poistamisen sijaan. Tämä päivitys korjaa ongelman jättämällä huomiotta "vanhenee"-kentän, jos sen arvo on nolla.
CFNetwork
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Palauttaa istuntoevästeiden normaalin toiminnan apeissa.
Kuvaus: Tämä päivitys korjaa tietoturvaongelman, joka ilmeni Mac OS X 10.5.6.:ssa. CFNetwork ei välttämättä tallentanut evästeitä levylle, jos useampi avoinna oleva appi yritti asettaa istuntoevästeitä. Tämä päivitys korjaa ongelman varmistamalla, että kukin appi tallentaa istuntoevästeensä erikseen.
Certificate Assistant
CVE-ID: CVE-2009-0011
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Paikallinen käyttäjä saattoi käsitellä tiedostoja toisen Certificate Assistantia käyttävän käyttäjän käyttöoikeuksilla.
Kuvaus: Certificate Assistantin tilapäisten tiedostojen käsittelyssä oli suojaamaton tiedostotoiminto. Tämä saattoi mahdollistaa sen, että paikallinen käyttäjä pystyi korvaamaan tiedostoja toisen Certificate Assistantia käyttävän käyttäjän oikeuksilla. Tämä päivitys korjaa ongelman parantamalla väliaikaisten tiedostojen käsittelyä. Tämä ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä. Kiitokset: Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Saatavuus: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Vaikutus: Useita haavoittuvuuksia ClamAV:n versiossa 0.94.
Kuvaus:ClamAV:n versiossa 0.94 oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen. Tämä päivitys korjaa ongelmat päivittämällä ClamAV:n versioon 0.94.2. ClamAV jaellaan vain Mac OS X Server -järjestelmien mukana. Lisätietoja on saatavilla ClamAV:n verkkosivustolla osoitteessa http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Haitallisen Unicode-sisällön tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Unicode-merkkijonojen käsittelyssä CoreTextissä saattoi ilmetä kekopuskurin ylivuoto. CoreTextin käyttäminen haitallisten Unicode-merkkijonojen käsittelyyn, esimerkiksi tarkasteltaessa haitallista sivustoa, saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin. Kiitokset Rosynalle (Unsanity) tämän ongelman ilmoittamisesta.
CUPS
CVE-ID: CVE-2008-5183
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Vaikutus: haitallisella verkkosivustolla käynti saattoi johtaa apin odottamattomaan sulkeutumiseen.
Kuvaus: RSS-tilauksien maksimimäärän ylittäminen johti nollaosoittimen epäviittaukseen CUPS-verkkokäyttöliittymässä. Tämä saattoi johtaa apin odottamattomaan sulkeutumiseen haitallisella verkkosivustolla käynnin yhteydessä. Tämän ongelman ilmenemiseksi käyttäjän voimassa olevien kirjautumistietojen täytyi olla joko hyökkääjän tiedossa tai käyttäjän selaimen välimuistissa. CUPS käynnistyi automaattisesti uudelleen tämän ongelman ilmenemisen jälkeen. Tämä päivitys korjaa ongelman käsittelemällä RSS-tilausten määrän oikein. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin.
DS Tools
CVE-ID: CVE-2009-0013
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: dscl-työkalulle toimitetut salasanat saattoivat paljastua muille paikallisille käyttäjille.
Kuvaus: dscl-komentorivityökalu edellytti, että salasanat toimitetaan sille osana argumentteja, mikä on saattanut paljastaa salasanoja muille paikallisille käyttäjille. Paljastuneisiin salasanoihin kuului sekä käyttäjien että ylläpitäjien salasanoja. Tämän päivityksen myötä salasanaparametrista tulee valinnainen, ja dscl pyytää salasanaa vain tarvittaessa. Kiitokset: Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Useita haavoittuvuuksia fetchmail 6.3.8:ssa.
Kuvaus: fetchmail 6.3.8:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Päivitys korjaa ongelman päivittämällä versioon 6.3.9. Lisätietoja on saatavissa fetchmailin verkkosivustosta osoitteesta http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Muut paikalliset käyttäjät saattoivat saada pääsyn Lataukset-kansioon.
Kuvaus: Folder Managerissa oli oletuskäyttöoikeuksien ongelma. Kun käyttäjä poisti Lataukset-kansionsa ja Folder Manager loi sen uudelleen, kansio luotiin lukuoikeuksilla kaikille. Tämä päivitys korjaa ongelman rajaamalla Folder Managerin käyttöoikeuksia siten, että kansio on käytettävissä vain kyseiselle käyttäjälle. Tämä ongelma vaikuttaa vain Folder Manageria käyttäviin appeihin. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin. Kiitokset Graham Perrinille (ENTRIM, University of Brighton) tämän ongelman ilmoittamisesta.
FSEvents
CVE-ID: CVE-2009-0015
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: FSEvents-kehystä käytettäessä paikallinen käyttäjä saattoi nähdä tiedostojärjestelmän toimintaa, joka ei muutoin olisi ollut saatavilla.
Kuvaus: fseventsdissä oli kirjautumistietojen hallinnan ongelma. FSEvents-kehystä käytettäessä paikallinen käyttäjä saattoi nähdä tiedostojärjestelmän toimintaa, joka ei muutoin olisi ollut saatavilla. Tähän sisältyi hakemiston nimi, jota käyttäjä ei muuten olisi voinut nähdä, ja tämän hakemiston toiminnan näkeminen kyseisellä hetkellä. Tämä päivitys korjaa ongelman parantamalla kirjautumistietojen validointia fseventsdissä. Tämä ongelma ei vaikuta Mac OS X 10.5:tä edeltäviin järjestelmiin. Kiitos Mark Dalrymplelle ongelman ilmoittamisesta.
Network Time
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Network Time -palvelumääritys on päivitetty.
Kuvaus: Ennaltaehkäisevänä suojatoimena tämä päivitys muuttaa Network Time -palvelun oletusmääritystä. Järjestelmän aika- ja versiotiedot eivät enää ole saatavilla ntpd-oletusmäärityksessä. Mac OS X v10.4.11 -järjestelmissä uusi määritys tulee voimaan järjestelmän uudelleenkäynnistyksen jälkeen, kun Network Time -palvelu on käytössä.
perl
CVE-ID: CVE-2008-1927
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: UTF-8-merkkejä sisältävien vakiolausekkeiden käyttäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Tiettyjen UTF-8-merkkien käsittelyssä vakiolausekkeissa oli muistinvioittumisongelma. Haitallisten vakiolausekkeiden jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelman suorittamalla lisää vakiolausekkeiden validointia.
Tulostus
CVE-ID: CVE-2009-0017
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Paikallinen käyttäjä saattoi saada järjestelmän oikeudet.
Kuvaus: csregprinterissä oli virheenkäsittelyongelma, joka saattoi johtaa kekopuskurin ylivuotoon. Tämä saattoi mahdollistaa sen, että paikallinen käyttäjä sai järjestelmän oikeudet. Tämä päivitys korjaa ongelman parantamalla virheiden käsittelyä. Kiitokset Lars Haulinille tämän ongelman ilmoittamisesta.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: useita haavoittuvuuksia pythonissa
Kuvaus: pythonissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen. Päivitys korjaa ongelmat ottamalla käyttöön python-projektin korjauspäivityksiä.
Remote Apple Events
CVE-ID: CVE-2009-0018
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Remote Apple Events -tapahtumien lähettäminen saattoi johtaa arkaluontoisten tietojen paljastumiseen.
Kuvaus: Remote Apple Events -palvelimella oli alustamattoman puskurin ongelma, mikä saattoi johtaa muistin sisällön paljastumiseen verkkoasiakkaille. Tämä päivitys korjaa ongelman kunnollisen muistin alustamisen kautta. Kiitokset: Apple.
Remote Apple Events
CVE-ID: CVE-2009-0019
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Remote Apple Eventsin käyttöönotto saattoi johtaa apin odottamattomaan sulkeutumiseen tai arkaluontoisten tietojen paljastumiseen.
Kuvaus: Remote Apple Eventsissä oli rajojen ulkopuolisen muistin käyttöongelma. Remote Apple Eventsin käyttöönotto saattoi johtaa apin odottamattomaan sulkeutumiseen tai arkaluontoisten tietojen paljastumiseen verkkoasiakkaille. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Kiitokset: Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Haitallisen feed: URL -osoitteen avaaminen saattoi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.
Kuvaus: Safarin tavassa käsitellä URL-osoitteita, joiden tyyppi on feed:, oli useita validointiongelmia. Ongelmat mahdollistivat mielivaltaisen JavaScriptin suorittamisen paikallisella suojausvyöhykkeellä. Tämä päivitys korjaa ongelmat parantamalla upotetun JavaScriptin käsittelyä feed: URL:issä. Kiitokset Clint Ruoholle (Laconic Security), Billy Riosille (Microsoft) ja Brian Mastenbrookille näiden ongelmien ilmoittamisesta.
servermgrd
CVE-ID: CVE-2009-0138
Available for: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: Remote attackers may be able to access Server Manager without valid credentials
Description: An issue in Server Manager's validation of authentication credentials could allow a remote attacker to alter the system configuration. Tämä päivitys ratkaisee ongelman lisäämällä todennustiedoille ylimääräisen tarkastuksen. Tämä ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä. Kiitokset: Apple.
SMB
CVE-ID: CVE-2009-0139
Saatavuus: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Haitalliseen SMB-tiedostojärjestelmään yhdistäminen saattoi aiheuttaa odottamattoman järjestelmän sammumisen tai mielivaltaisen koodin suorittamisen järjestelmän oikeuksilla.
Kuvaus: Kokonaisluvun ylivuoto SMB-tiedostojärjestelmässä saattoi johtaa kekopuskurin ylivuotoon. Haitalliseen SMB-tiedostojärjestelmään yhdistäminen saattoi aiheuttaa odottamattoman järjestelmän sammumisen tai mielivaltaisen koodin suorittamisen järjestelmän oikeuksilla. Tämä päivitys korjaa ongelman parantamalla rajojen tarkistusta. Tämä ongelma ei koske Mac OS X 10.5 -käyttöjärjestelmää vanhempia järjestelmiä. Kiitokset: Apple.
SMB
CVE-ID: CVE-2009-0140
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Haitalliseen SMB-tiedostojärjestelmään yhdistäminen saattoi aiheuttaa odottamattoman järjestelmän sammumisen.
Kuvaus: SMB-tiedostojärjestelmän tavassa käsitellä tiedostojärjestelmän nimiä oli muistin riittävyyteen liittyvä ongelma. Haitalliseen SMB-tiedostojärjestelmään yhdistäminen saattoi aiheuttaa odottamattoman järjestelmän sammumisen. Tämä päivitys korjaa ongelman rajoittamalla asiakkaalle tiedostojärjestelmän nimiä varten kohdistetun muistin määrää. Kiitokset: Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Saatavuus: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Vaikutus: Useita haavoittuvuuksia SquirrelMailissa.
Kuvaus: SquirrelMail on päivitetty versioon 1.4.17. Päivitys korjaa useita haavoittuvuuksia, joista vakavin oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Lisätietoja on saatavilla SquirrelMailin verkkosivustolla osoitteessa http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Useita haavoittuvuuksia X11-palvelimella.
Vaikutus: X11-palvelimella oli useita haavoittuvuuksia. Vakavin niistä saattoi johtaa mielivaltaisen koodin suorittamiseen X11-palvelinta käyttävän käyttäjän oikeuksilla, jos hyökkääjä pystyi tunnistautumaan X11-palvelimeen. Tämä päivitys korjaa ongelmat ottamalla käyttöön päivitetyt X.Org-korjaustiedostot. Lisätietoja on saatavilla X.Orgin sivustolla osoitteessa http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Vaikutus: Useita haavoittuvuuksia FreeType v2.1.4:ssä
Kuvaus: FreeType v2.1.4:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen haitallista fonttia käsiteltäessä. Tämä päivitys ratkaisee ongelman hyödyntämällä FreeType 2.3.6 -version turvallisuuskorjauksia. Lisätietoja on saatavilla FreeTypen sivustolla osoitteessa http://www.freetype.org/ Ongelmat on jo korjattu järjestelmissä, joissa on Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Vaikutus: Useita haavoittuvuuksia LibX11:ssä
Kuvaus: LibX11:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen haitallista fonttia käsiteltäessä. Tämä päivitys korjaa ongelmat ottamalla käyttöön päivitetyt X.Org-korjaustiedostot. Lisätietoja on saatavilla X.Orgin sivustolla osoitteessa http://www.x.org/wiki/Development/Security Nämä ongelmat eivät vaikuta järjestelmiin, joissa on Mac OS X v10.5 tai uudempi.
XTerm
CVE-ID: CVE-2009-0141
Saatavuus: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Vaikutus: Paikallinen käyttäjä pystyi lähettämään tietoja suoraan toisen käyttäjän Xtermiin.
Kuvaus: Xtermissä oli käyttöoikeuksiin liittyvä ongelma. Yhdessä luitin kanssa käytettäessä Xterm luo tty-laitteita, joihin kaikilla on pääsy. Tämä päivitys korjaa ongelman pakottamalla Xtermin rajoittamaan käyttöoikeuksia siten, että tty-laitetta voi käyttää vain sen käyttäjä.
Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.