This article has been archived and is no longer updated by Apple.

אודות עדכון אבטחה 2009-005

מסמך זה מתאר את עדכון אבטחה 2009-005

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple."

עדכון אבטחה 2009-005

  • Alias Manager

    CVE-ID‏: CVE-2009-2800

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: פתיחה של קובץ כינויים בעל מבנה זדוני עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: גלישת מאגר בטיפול בקובצי כינויים. פתיחת קובץ כינויים בעל מבנה זדוני עלולה להוביל לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. קרדיט: Apple.

  • CarbonCore

    CVE-ID‏: CVE-2009-2803

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: פתיחת קובץ עם הסתעפות משאבים בעלת מבנה זדוני עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: בעיה של השחתת זיכרון בטיפול בהסתעפויות משאבים במנהל המשאבים. פתיחת קובץ בעל מבנה זדוני של מזלג משאבים עלולה להוביל לסגירה של יישום או להפעלת קוד שרירותי באופן בלתי צפוי. עדכון זה מספק מענה לבעיה זו באמצעות אימות משופר של מזלגי משאבים. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. קרדיט: Apple.

  • ClamAV

    CVE-ID‏: CVE-2009-1241‏, CVE-2009-1270‏, CVE-2008-6680‏, CVE-2009-1371‏, CVE-2009-1372

    זמין עבור: Mac OS X Server v10.5.8

    השפעה: נמצאו מספר פגיעויות ב-ClamAV 0.94.2

    תיאור: נמצאו מספר פגיעויות ב-ClamAV 0.94.2; החמורות מביניהן עלולות לגרום להפעלת קוד שרירותי. עדכון זה פותר את הבעיות על ידי עדכון של ClamAV לגרסה 0.95.2. תוכנת ClamAV מופצת רק עם מערכות Mac OS X Server. לרשותכם מידע נוסף באתר האינטרנט של ClamAV, בדף http://www.clamav.net/ בעיות אלה לא משפיעות על מערכות Mac OS X v10.6.

  • ColorSync

    CVE-ID‏: CVE-2009-2804

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: הצגה של תמונה בעלת מבנה זדוני עם פרופיל ColorSync מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: קיימת גלישת מספרים שלמים בטיפול בתמונות בעלות פרופיל ColorSync מוטבע, שעלולה לגרום לגלישת מאגר של ערימה. הצגת תמונה בעלת מבנה זדוני עם פרופיל ColorSync מוטבע עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. העדכון מטפל בבעיה על ידי ביצוע אימות נוסף של פרופילי ColorSync. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. קרדיט: Apple.

  • CoreGraphics

    CVE-ID‏: CVE-2009-2805

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: פתיחת קובץ PDF בל מבנה זדוני עלולה לגרום לסגירה לא צפויי של היישום או להפעלת קוד שרירותי

    תיאור: גלישת מספרים שלמים בטיפול בקובצי PDF ב-CoreGraphics עלולה לגרום לגלישת מאגר של ערימה. פתיחת קובץ PDF המכיל זרם JBIG2 בעל מבנה זדוני עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. תודות ל-Will Dormann מ-CERT/CC, שדיווח על הבעיה. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6.

  • CoreGraphics

    CVE-ID‏: CVE-2009-2468

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: ביקור באתר אינטרנט בעל מבנה זדוני עלול לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: בעיה של גלישת מאגר בציור של מחרוזות טקסט ארוכות. גישה לאתר אינטרנט בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. תודות ל-Will Drewry מ-Google Inc, שדיווח על הבעיה.

  • CUPS

    CVE-ID‏: CVE-2009-0949

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: תוקף מרוחק עלול להצליח למנוע גישה לשירות 'שיתוף מדפסת'

    תיאור: בעיית ביטול הפניה של מצביע null ב-CUPS. תוקף מרוחק שישלח בקשות מתזמן חוזרות בעלות מבנה זדוני עלול להצליח למנוע גישה לשירות 'שיתוף מדפסת'. עדכון זה מטפל בבעיה באמצעות אימות משופר של בקשות מתזמן. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. תודות ל-Anibal Sacco מ-CORE IMPACT Exploit Writing Team (EWT) ב-Core Security Technologies, שדיווח על הבעיה.

  • CUPS

    CVE-ID‏: CVE-2009-2807

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: משתמש מקומי נטול הרשאות עלול להשיג הרשאות מערכת

    תיאור: גלישת מאגר ערימה ב-USB העורפי של CUPS. בעיה זו עשויה לאפשר למשתמש מקומי להשיג הרשאות מערכת. עדכון זה מטפל בבעיה באמצעות בדיקת טווח משופרת. הבעיה לא משפיעה על מערכות מוקדמות מ-Mac OS X v10.5, או על מערכות Mac OS X v10.6.

  • Flash Player plug-in

    CVE-ID‏: CVE-2009-1862, CVE-2009-1863‏, CVE-2009-1864‏, CVE-2009-1865‏, CVE-2009-1866‏, CVE-2009-1867‏, CVE-2009-1868‏, CVE-2009-1869‏, CVE-2009-1870

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: נמצאו מספר פגיעויות בתוסף Adobe Flash Player

    תיאור: נמצאו מספר בעיות בתוסף Adobe Flash Player; החמורות מביניהן עלולות לגרום להפעלת קוד שרירותי בעת צפייה באתר אינטרנט בעל מבנה זדוני. לפתרון הבעיות יש לעדכן את תוסף Flash Player במערכות on Mac OS v10.5.8 לגרסה 10.0.32.18, ולגרסה 9.0.246.0 במערכות Mac OS X v10.4.11. הבעיות במערכות Mac OS X v10.6 נפתרו בגרסה Mac OS X v10.6.1. לרשותכם מידע נוסף באתר Adobe, בדף http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID‏: CVE-2009-2809

    זמין עבור: Mac OS X v10.4.11‏, Mac OS X Server v10.4.11‏, Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: הצגה של תמונת TIFF בעלת מבנה זדוני וקידוד PixarFilm עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי

    תיאור: התגלו מספר בעיות של השחתת זיכרון בטיפול בתמונות TIFF בקידוד PixarFilm ב-ImageIO. הצגה של תמונת TIFF בעלת מבנה זדוני וקידוד PixarFilm עלולה לגרום לסגירה לא צפויה של היישום או להפעלת קוד שרירותי. עדכון זה מטפל בבעיה באמצעות אימות נוסף של תמונות TIFF בקידוד PixarFilm. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. קרדיט: Apple.

  • Launch Services

    CVE-ID‏: CVE-2009-2811

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: ייתכן שלא תוצג אזהרה בעת ניסיון לפתוח תוכן הורדה לא בטוח

    תיאור: עדכון זה מוסיף '‎.fileloc' לרשימת המערכת של סוגי תוכן שיסומנו כבלתי בטוחים בנסיבות מסוימות, לדוגמה – אם הורדו מתוך הודעת דוא"ל. אמנם לא מתבצעת פתיחה אוטומטית של תוכן מסוגים אלה, אך פתיחה ידנית עלולה לגרום להפעלת התכולה הזדונית. העדכון משפר את יכולת המערכת ליידע משתמשים לפני טיפול בקובצי '‎.fileloc'. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. קרדיט: Apple.

  • Launch Services

    CVE-ID‏: CVE-2009-2812

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: ביקור באתר אינטרנט זדוני עלול לגרום להפעלת קוד שרירותי

    תיאור: בעת הורדה של יישום, Launch Services מנתח את סוגי המסמכים המיוצאים שלו. בעיית תכנון בטיפול בסוגי מסמכים ליצוא עלולה לגרום ל-Launch Services לשייך סיומת קובץ בטוחה למזהה UTI לא בטוח. ביקור באתר אינטרנט זדוני עלול לגרום לפתיחה אוטומטית של קובץ מסוג לא בטוח. עדכון זה מטפל בבעיה באמצעות טיפול משופר בסוגי מסמכים ליצוא מיישומים לא מהימנים. הבעיה לא משפיעה על מערכות מוקדמות מ-Mac OS X v10.5, או על מערכות Mac OS X v10.6. קרדיט: Apple.

  • MySQL

    CVE-ID‏: CVE-2008-2079

    זמין עבור: Mac OS X Server v10.5.8

    השפעה: עדכון של MySQL לגרסה 5.0.82

    תיאור: MySQL מתעדכן לגרסה 5.0.82 כדי לטפל בבעיית הטמעה המאשרת למשתמש מקומי לקבל הרשאות מוגברות. בעיה זו משפיעה רק על מערכות Mac OS X Server. בעיה זו אינה משפיעה על מערכות Mac OS X v10.6. לרשותכם מידע נוסף באתר האינטרנט של MySQL, בדף http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID‏: CVE-2009-1271‏, CVE-2009-1272‏, CVE-2008-5498

    זמין עבור: Mac OS X v10.5‏, Mac OS X Server v10.5.8

    השפעה: יש מספר פגיעויות ב-PHP 5.2.8

    תיאור: PHP מתעדכן לגרסה 5.2.10 כדי לטפל במספר פגיעויות, שהחמורות מביניהן עלולות לגרום להפעלת קוד שרירותי. לרשותכם מידע נוסף דרך אתר האינטרנט של PHP, בדף http://www.php.net/ בעיה זו לא משפיעה על מערכות Mac OS X v10.6.

  • SMB

    CVE-ID‏: CVE-2009-2813

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8

    השפעה: הפעלת 'שיתוף קבצים' של Windows עלולה לגרום לשיתוף לא צפוי של תיקיות

    תיאור: מצב של שגיאה ללא בדיקה ב-Samba. משתמש ללא ספריית בית שתצורתה הוגדרה אשר יתחבר אל השירות 'שיתוף קבצים' של Windows, יוכל לקבל גישה לתכולת מערכת הקבצים, בכפוף להרשאות של מערכת הקבצים המקומית. העדכון מטפל בבעיה על ידי שיפור הטיפול בשגיאות של עיבוד נתיב. הבעיה לא משפיעה על מערכות מוקדמות מ-Mac OS X v10.5, או על מערכות Mac OS X v10.6. תודות ל-J. David Hester מ-LCG Systems National Institutes of Health, שדיווח על הבעיה.

  • Wiki Server

    CVE-ID‏: CVE-2009-2814

    זמין עבור: Mac OS X Server v10.5.8

    השפעה: תוקף מרוחק עלול לקבל גישה לחשבונות משתמשים ב-Wiki Server

    תיאור: נמצאה בעיית סקריפטינג בין אתרים בטיפול בבקשות חיפוש המכילות נתונים בקידוד שאינו UTF-8 ב-Wiki Server. דבר זה עלול לאפשר לתוקף מרחוק לקבל גישה אל Wiki Server באמצעות אישורי הכניסה של המשתמש שביצע את החיפוש. העדכון מטפל בבעיה על ידי הגדרת UTF-8 כברירת המחדל של ערכת תווים בתגובות HTTP. הבעיה לא משפיעה על מערכות מוקדמות מ-Mac OS X v10.5, או על מערכות Mac OS X v10.6. קרדיט: Apple.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: