Tietoja suojauspäivityksestä 2010-001
Tässä asiakirjassa kerrotaan Ohjelmiston päivitys -asetuksista tai Applen lataussivustosta ladattavasta ja asennettavasta suojauspäivityksestä 2010-001.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Suojauspäivitys 2010-001
CoreAudio
CVE-ID: CVE-2008-7259
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Vaikutus: Haitallisen mp4-tiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: mp4-tiedostojen käsittelyssä oli puskurin ylivuoto. Vaikutus: Haitallisen mp4-tiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin käynnistymiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset Tobias Kleinille (www.trapkit.de) tämän ongelman ilmoittamisesta.
CUPS
CVE-ID: CVE-2009-3553
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen (cupsd).
Kuvaus: cupsdissa oli Use-After-Free-ongelma. Hyökkääjä saattoi aiheuttaa etäpalvelunestohyökkäyksen antamalla haitallisen get-printer-jobs-pyynnön. Tätä vähentää cupsdin automaattinen uudelleenkäynnistys sen sulkemisen jälkeen. Ongelma korjattiin parantamalla yhteyskäyttöseurantaa.
Flash Player -liitännäinen
CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Vaikutus: Useita haavoittuvuuksia Adobe Flash Player -liitännäisessä.
Kuvaus: Adobe Flash Player -liitännäisessä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen haitallista verkkosivustoa tarkasteltaessa. Ongelmat ratkaistiin päivittämällä Flash Player -liitännäinen versioon 10.0.42. Lisätietoja on Adoben verkkosivustolla http://www.adobe.com/support/security/bulletins/apsb09-19.html Kiitokset TippingPoints Zero Day Initiativen parissa työskenteleville nimettömälle tutkijalle ja Damian Putille, Bing Liulle (Fortinet's FortiGuard Global Security Research Team), Will Dormannille (CERT), Manuel Caballerolle ja Microsoft Vulnerability Researchille (MSVR).
ImageIO
CVE-ID: CVE-2009-2285
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:n TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Mac OS X 10.6 -järjestelmien osalta tämä ongelma on ratkaistu Mac OS X v10.6.2:ssa.
CarbonCore
CVE-ID: CVE-2008-7259
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Vaikutus: Haitallisen DNG-kuvan katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: Haitallisen DNG-kuvan katsomisessa oli puskurin ylivuoto. Haitallisen DNG-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset Jason Carrille (Carnegie Mellon University Computing Services) tämän ongelman ilmoittamisesta.
OpenSSL
CVE-ID: CVE-2009-3555
Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa tietoja tai muokata operaatioita istunnoissa, jotka oli suojattu SSL:llä.
Kuvaus: SSL- ja TLS-protokollissa oli välimieshaavoittuvuus. Lisätietoja on osoitteessa http://www.phonefactor.com/sslgap Uudelleenneuvotteluprotokollaan on tulossa muutos IETF:ssä. Tämä päivitys poistaa käytöstä uudelleenneuvottelun OpenSSL:ssä ennaltaehkäisevänä turvatoimena. Tämä ongelma ei vaikuta Secure Transportia käyttäviin palveluihin, koska se ei tue uudelleenneuvottelua. Kiitos Steve Dispensalle ja Marsh Raylle (PhoneFactor, Inc.) tämän ongelman ilmoittamisesta.
Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.