Tietoja suojauspäivityksestä 2010-001

Tässä asiakirjassa kerrotaan Ohjelmiston päivitys -asetuksista tai Applen lataussivustosta ladattavasta ja asennettavasta suojauspäivityksestä 2010-001.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Suojauspäivitys 2010-001

  • CoreAudio

    CVE-ID: CVE-2008-7259

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Vaikutus: Haitallisen mp4-tiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: mp4-tiedostojen käsittelyssä oli puskurin ylivuoto. Vaikutus: Haitallisen mp4-tiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mielivaltaisen koodin käynnistymiseen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset Tobias Kleinille (www.trapkit.de) tämän ongelman ilmoittamisesta.

  • CUPS

    CVE-ID: CVE-2009-3553

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen (cupsd).

    Kuvaus: cupsdissa oli Use-After-Free-ongelma. Hyökkääjä saattoi aiheuttaa etäpalvelunestohyökkäyksen antamalla haitallisen get-printer-jobs-pyynnön. Tätä vähentää cupsdin automaattinen uudelleenkäynnistys sen sulkemisen jälkeen. Ongelma korjattiin parantamalla yhteyskäyttöseurantaa.

  • Flash Player -liitännäinen

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Vaikutus: Useita haavoittuvuuksia Adobe Flash Player -liitännäisessä.

    Kuvaus: Adobe Flash Player -liitännäisessä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaiseen koodin suorittamiseen haitallista verkkosivustoa tarkasteltaessa. Ongelmat ratkaistiin päivittämällä Flash Player -liitännäinen versioon 10.0.42. Lisätietoja on Adoben verkkosivustolla http://www.adobe.com/support/security/bulletins/apsb09-19.html Kiitokset TippingPoints Zero Day Initiativen parissa työskenteleville nimettömälle tutkijalle ja Damian Putille, Bing Liulle (Fortinet's FortiGuard Global Security Research Team), Will Dormannille (CERT), Manuel Caballerolle ja Microsoft Vulnerability Researchille (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:n TIFF-kuvien käsittelyssä oli puskurin ylivuoto. Haitallisen TIFF-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Mac OS X 10.6 -järjestelmien osalta tämä ongelma on ratkaistu Mac OS X v10.6.2:ssa.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Vaikutus: Haitallisen DNG-kuvan katsominen saattoi johtaa apin odottamattomaan sulkeutumiseen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Haitallisen DNG-kuvan katsomisessa oli puskurin ylivuoto. Haitallisen DNG-kuvan tarkasteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta. Kiitokset Jason Carrille (Carnegie Mellon University Computing Services) tämän ongelman ilmoittamisesta.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Saatavuus: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa tietoja tai muokata operaatioita istunnoissa, jotka oli suojattu SSL:llä.

    Kuvaus: SSL- ja TLS-protokollissa oli välimieshaavoittuvuus. Lisätietoja on osoitteessa http://www.phonefactor.com/sslgap Uudelleenneuvotteluprotokollaan on tulossa muutos IETF:ssä. Tämä päivitys poistaa käytöstä uudelleenneuvottelun OpenSSL:ssä ennaltaehkäisevänä turvatoimena. Tämä ongelma ei vaikuta Secure Transportia käyttäviin palveluihin, koska se ei tue uudelleenneuvottelua. Kiitos Steve Dispensalle ja Marsh Raylle (PhoneFactor, Inc.) tämän ongelman ilmoittamisesta.

Tärkeää: Maininta kolmansien osapuolten verkkosivustoista ja tuotteista on tarkoitettu vain tiedotustarkoituksiin, eikä sitä tule ymmärtää suosituksena. Apple ei ole vastuussa kolmansien osapuolten verkkosivustoilla olevien tietojen tai tuotteiden valinnasta, suorituskyvystä tai käytöstä. Apple tarjoaa tämän käyttäjille vain tiedotustarkoituksiin. Apple ei ole testannut näillä sivustoilla olevia tietoja eikä ole vastuussa niiden tarkkuudesta tai luotettavuudesta. Internetissä olevien tietojen tai tuotteiden käyttöön liittyy riskejä, eikä Apple ole vastuussa niiden käyttöön liittyvistä riskeistä. Huomaa, että kolmannen osapuolen sivusto on riippumaton Applesta eikä Apple voi hallita kyseisen sivuston sisältöä. Lisätietoja saat toimittajalta.

Julkaisupäivämäärä: