מידע על עדכון האבטחה 2010-005

מסמך זה מתאר את עדכון האבטחה 2010-005.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד לביצוע חקירה מלאה בנושא ולהפצת מהדורות או רכיבי Patch חיוניים. למידע נוסף בנושא אבטחת מוצר של Apple, עיינו באתר האינטרנט אבטחת מוצר של Apple.

למידע על מפתח PGP לאבטחת מוצר של Apple, עיינו בנושא "כיצד להשתמש במפתח PGP לאבטחת מוצר של Apple".

היכן שניתן, מזהי CVE משמשים כסימוכין לפגיעויות לצורך קבלת מידע נוסף.

כדי ללמוד על עדכוני אבטחה נוספים, עיינו בנושא "עדכוני אבטחה של Apple".

עדכון אבטחה 2010-005

  • ATS

    ‏CVE-ID: CVE-2010-1808

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: הצגה או הורדה של מסמך המכיל גופן מוטבע בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת אחסון זמני בערימה בטיפול של Apple Type Services בגופנים מוטבעים. השפעה: הצגה או הורדה של מסמך המכיל גופן מוטבע בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת.

  • CFNetwork

    ‏CVE-ID: CVE-2010-1800

    זמין עבור: Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: תוקף עם מיקום מורשה ברשת עלול ליירט הרשאות התחברות של משתמש או מידע רגיש אחר

    תיאור: CFNetwork מאפשר חיבורי TLS/SSL אנונימיים. דבר זה עלול לאפשר לתוקף המהווה אדם בתווך לנתב מחדש חיבורים וליירט אישורי משתמשים או מידע רגיש אחר. בעיה זו אינה משפיעה על יישום הדואר. בעיה זו מטופלת על-ידי השבתת חיבורי TLS/SSL אנונימיים. בעיה זו אינה משפיעה על מערכות קודמות ל-Mac OS X v10.6.3. תודה ל-Aaron Sigel מ-vtty.com, ל-Jean-Luc Giraud מ-Citrix, ל-Tomas Bjurman מ-Sirius IT, ול-Wan-Teh Chang מ-Google, Inc.‎ על הדיווח על בעיה זו.

  • ClamAV

    ‏CVE-ID‏: CVE-2010-0098‏, CVE-2010-1311

    זמין עבור: Mac OS X Server v10.5.8‏, Mac OS X Server v10.6.4

    השפעה: מספר פגיעויות ב-ClamAV

    תיאור: מספר פגיעויות קיימות ב-ClamAV, שהחמורה מביניהן עלולה לגרום להפעלת קוד שרירותי. עדכון זה פותר את הבעיות על ידי עדכון של ClamAV לגרסה 0.96.1. תוכנת ClamAV מופצת רק עם מערכות Mac OS X Server. מידע נוסף זמין באתר ClamAV בכתובת http://www.clamav.net/‎

  • CoreGraphics‏

    CVE-ID‏: CVE-2010-1801

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.4,‏ Mac OS X Server v10.6.4

    השפעה: פתיחת קובץ PDF בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת אחסון זמני בערימה בטיפול של CoreGraphics בקובצי PDF. פתיחת קובץ PDF בעל מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי. בעיה זו מטופלת באמצעות בדיקת טווחים משופרת. תודה ל-Rodrigo Rubira Branco מ-Check Point Vulnerability Discovery Team (VDT)‎ על הדיווח על בעיה זו.

  • libsecurity

    ‏CVE-ID‏: CVE-2010-1802

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: תוקף עם מיקום מורשה ברשת, שיכול להשיג שם דומיין ששונה משם דומיין לגיטימי רק בתווים האחרונים שלו, עלול להתחזות למארחים בדומיין זה

    תיאור: קיימת בעיה בטיפול בשמות מארחי אישורים. עבור שמות מארחים שמכילים שלושה רכיבים או יותר, התווים האחרונים אינם מושווים כהלכה. במקרה של שם המכיל בדיוק שלושה רכיבים, רק התו האחרון לא נבדק. לדוגמה, אם תוקף במיקום מורשה ברשת הצליח להשיג אישור עבור www.example.con, התוקף יוכל להתחזות לאתר www.example.com. בעיה זו מטופלת על-ידי טיפול משופר בשמות מארחי אישורים. תודה ל-Peter Speck על הדיווח על בעיה זו.

  • PHP‏

    CVE-ID‏: CVE-2010-1205

    זמין עבור: Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: טעינה של תמונת PNG בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת אחסון זמני בספריית libpng של PHP. טעינה של תמונה מסוג PNG בעלת מבנה זדוני עלולה להוביל לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי. בעיה זו מטופלת על-ידי עדכון של libpng ב-PHP לגרסה 1.4.3. בעיה זו אינה משפיעה על מערכות מוקדמות מ-Mac OS X v10.6.

  • PHP

    CVE-ID‏: CVE-2010-1129‏, CVE-2010-0397‏, CVE-2010-2225‏, CVE-2010-2484

    זמין עבור: Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: מספר פגיעויות ב-PHP 5.3.1

    תיאור: PHP מעודכן לגרסה 5.3.2 לטיפול במספר פגיעויות, שהחמורות מביניהן עלולות לגרום להפעלת קוד שרירותי. מידע נוסף זמין באתר האינטרנט של PHP בכתובת http://www.php.net/

  • Samba‏

    CVE-ID‏: CVE-2010-2063

    זמין עבור: Mac OS X v10.5.8‏, Mac OS X Server v10.5.8‏, Mac OS X v10.6.4‏, Mac OS X Server v10.6.4

    השפעה: תוקף מרוחק שאינו מאומת עלול לגרום למניעת שירות או להפעלת קוד שרירותי

    תיאור: קיימת בעיה של גלישת זיכרון אחסון זמני ב-Samba. תוקף מרוחק שאינו מאומת עלול לגרום למניעת שירות או להפעלת קוד שרירותי על-ידי שליחת מנה בעלת מבנה זדוני. בעיה זו מטופלת על-ידי ביצוע אימות נוסף של מנות ב-Samba.

חשוב: אזכור של אתרים ומוצרים של צד שלישי מיועד למטרות מידע בלבד ואינו מהווה המלצה או תמיכה. Apple אינה נוטלת על עצמה כל אחריות בנוגע לבחירה, לביצועים או לשימוש במידע או במוצרים שנמצאים באתרי צד שלישי. Apple מספקת זאת רק לנוחות המשתמשים שלנו. Apple לא בדקה את המידע שנמצא באתרים אלה ולא הציגה שום מצג לגבי הדיוק או האמינות שלו. קיימים סיכונים הטמונים בשימוש במידע או במוצרים הנמצאים באינטרנט, ו-Apple אינה נוטלת על עצמה כל אחריות בנושא זה. עליכם להבין שאתר של צד שלישי אינו תלוי ב-Apple ושל-Apple אין שליטה על התוכן באתר זה. יש ליצור קשר עם הספק לקבלת מידע נוסף.

Published Date: