Informacije o sigurnosnom ažuriranju 2006-003
U ovom se dokumentu opisuje sigurnosno ažuriranje 2006-003, koje se može preuzeti i instalirati putem postavki značajke Ažuriranje softvera ili putem stranice Apple Downloads.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”
Sigurnosno ažuriranje 2006-003
AppKit
CVE-ID: CVE-2006-1439
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: aplikacije u istoj sesiji prozora mogu čitati znakove unesene u zaštićeno polje za tekst
Opis: u određenim okolnostima pri prebacivanju između polja za unos teksta, polje NSSecureTextField možda neće uspjeti ponovno omogućiti sigurni unos događaja. To može omogućiti drugim aplikacijama u istoj sesiji prozora uvid u unesene znakove i interakcije s tipkovnicom. To ažuriranje rješava problem ispravnim omogućivanjem sigurnog unosa događaja. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
AppKit, ImageIO
CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerno izrađene GIF ili TIFF slike može dovesti do proizvoljnog izvršavanja koda
Opis: rukovanje neispravnom GIF ili TIFF slikom može dovesti do proizvoljnog izvršavanja koda pri raščlanjivanju zlonamjerno izrađene slike. To utječe na aplikacije koje upotrebljavaju ImageIO (Mac OS X v10.4 Tiger) ili AppKit (Mac OS X v10.3 Panther) za čitanje slika. To ažuriranje rješava problem izvođenjem dodatne provjere valjanosti GIF i TIFF slika.
BOM
CVE-ID: CVE-2006-1985
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: proširivanjem arhive može doći do proizvoljnog izvršavanja koda
Opis: pažljivom izradom arhive (Zip arhiva) koja sadržava duge nazive putanja, napadač će možda moći pokrenuti prekoračenje kapaciteta međuspremnika gomile na BOM-u. To može rezultirati proizvoljnim izvršavanjem koda. BOM se upotrebljava za rukovanje arhivama u aplikaciji Finder i drugim aplikacijama. To ažuriranje rješava problem ispravnim rukovanjem uvjetima ograničenja.
BOM
CVE-ID: CVE-2006-1440
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: proširivanjem zlonamjerne arhive može uzrokovati izradu ili prepisivanje proizvoljnih datoteka
Opis: problem s rukovanjem simboličkim vezama za prijelaz direktorija pronađenih u arhivama može uzrokovati da BOM izrađuje ili prepisuje datoteke na proizvoljnim lokacijama dostupnima korisniku koji proširuje arhivu. BOM rukuje arhivama u ime aplikacije Finder i drugih aplikacija. To ažuriranje rješava problem osiguravanjem da se datoteke proširene iz arhive ne stavljaju izvan odredišnog direktorija.
CFNetwork
CVE-ID: CVE-2006-1441
Dostupno: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: posjetom zlonamjernom web-mjestu može doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja pri rukovanju kriptiranjem prijenosa blokova može dovesti do izvršavanja proizvoljnog koda. Safari i druge aplikacije upotrebljavaju CFNetwork. To ažuriranje rješava problem izvođenjem dodatne provjere valjanosti. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Dostupno za: Mac OS X Server v10.4.6
Učinak: obradom zlonamjerno izrađenih e-mail poruka putem softvera ClamAV može dovesti do izvršavanja proizvoljnog koda
Opis: antivirusni softver ClamAV ažuriran je tako da u najnovijem izdanju uključuje sigurnosne popravke. ClamAV prvi je put upotrijebljen u verziji sustava Mac OS X Server v10.4 za skeniranje e-maila. Najozbiljniji takvi problemi mogu dovesti do izvršavanja proizvoljnog koda s ovlastima softvera ClamAV. Dodatne informacije potražite na web-mjestu na adresi http://www.clamav.net.
CoreFoundation
CVE-ID: CVE-2006-1442
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: registracijom nepouzdanog paketa može doći do izvršavanja proizvoljnog koda
Opis: u određenim okolnostima aplikacije ili sustav implicitno registriraju pakete. Značajka API-ja paketa omogućuje dinamičkim bibliotekama da se učitaju i izvršavaju pri registraciji paketa, čak i ako ga klijentska aplikacija nije eksplicitno zatražila. Zbog toga se proizvoljni kod može izvršavati iz nepouzdanog paketa bez eksplicitne korisničke interakcije. To ažuriranje rješava problem samo učitavanjem i izvršavanjem biblioteka iz paketa u odgovarajućem trenutku.
CoreFoundation
CVE-ID: CVE-2006-1443
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: konverzije nizova u prikazu datotečnog sustava mogu dovesti do izvršavanja proizvoljnog koda
Opis: negativna vrijednost cijelih brojeva tijekom obrade uvjeta ograničenja u CFStringGetFileSystemRepresentation može dovesti do izvršavanja proizvoljnog koda. Aplikacije koje upotrebljavaju taj API ili neki od povezanih API-ja kao što je getFileSystemRepresentation:maxLength:withPath: za NSFileManager mogu pokrenuti taj problem i dovesti do izvršavanja proizvoljnog koda. To ažuriranje rješava problem ispravnim rukovanjem uvjetima ograničenja.
CoreGraphics
CVE-ID: CVE-2006-1444
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: aplikacije u istoj sesiji prozora mogu čitati znakove unesene u zaštićeno tekstno polje
Opis: Quartz Event Services pruža aplikacije koje mogu pratiti i mijenjati događaje korisničkog unosa niske razine. Obično aplikacije ne mogu presretati događaje kad je omogućen sigurni unos događaja. No ako je uključena opcija „Omogući pristup pomoćnim uređajima”, Quartz Event Services može se upotrebljavati za presretanje događaja čak i ako je omogućen sigurni unos događaja. To ažuriranje rješava problem filtriranjem događaja kad je omogućen sigurni unos događaja. Taj problem ne utječe na sustave prije Mac OS X v10.5. Zahvaljujemo Damien Bobillotu na prijavi tog problema.
Finder
CVE-ID: CVE-2006-1448
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: pokretanjem stavke internetske lokacije može doći do izvršavanja proizvoljnog koda
Opis: stavke internetske lokacije jednostavni su spremnici za URL koji mogu referencirati http://, ftp:// i file:// URL-ove, kao i neke druge sheme URL-a. Te različite vrste stavki internetske lokacije vizualno se razlikuju i trebale bi biti sigurne za eksplicitno pokretanje. No shema URL-a može se razlikovati od vrste internetske lokacije. Zbog toga napadač može uspjeti uvjeriti korisnika da pokrene navodno dobroćudnu stavku (kao što je internetska lokacija web-mjesta, http://), pri čemu se zapravo upotrebljava neka druga shema URL-a. U određenim okolnostima to može dovesti do izvršavanja proizvoljnog koda. To ažuriranje rješava problem ograničavanjem sheme URL-a na temelju vrste internetske lokacije.
FTPServer
CVE-ID: CVE-2006-1445
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: FTP operacije ovlaštenih korisnika FTP-a mogu dovesti do izvršavanja proizvoljnog koda
Opis: više problema pri rukovanju nazivom putanje FTP poslužitelja može uzrokovati prekoračenje međuspremnika. Zlonamjerni ovlašteni korisnik može pokrenuti to prekoračenje, što može dovesti do izvršavanja proizvoljnog koda s ovlastima FTP poslužitelja. To ažuriranje rješava problem ispravnim rukovanjem uvjetima ograničenja.
Flash Player
CVE-ID: CVE-2005-2628, CVE-2006-0024
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: reproduciranje Flash sadržaja može dovesti do izvršavanja proizvoljnog koda
Opis: Adobe Flash Player sadrži kritične ranjivosti koje mogu dovesti do izvršavanja proizvoljnog koda pri učitavanju posebno učitanih datoteka. Dodatne informacije dostupne su na web-mjestu tvrtke Adobe na adresi http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. To ažuriranje rješava problem ugrađivanjem programa Flash Player 8.0.24.0.
ImageIO
CVE-ID: CVE-2006-1552
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerno izrađene JPEG slike može dovesti do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja pri obradi JPEG metapodataka može rezultirati prekoračenjem kapaciteta međuspremnika gomile. Pažljivom izradom slike s neispravnim JPEG podacima napadač može uzrokovati pokretanje proizvoljnog koda pri prikazu slike. To ažuriranje rješava problem izvođenjem dodatne provjere valjanosti slika. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.4. Zahvaljujemo Brentu Simmonsu iz tvrtke NewsGator Technologies, Inc. na prijavi tog problema.
Keychain
CVE-ID: CVE-2006-1446
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: aplikacija može upotrebljavati stavke privjeska ključeva kad je privjesak ključeva zaključan
Opis: kad je privjesak ključeva zaključan, aplikacije ne mogu pristupiti stavkama privjeska ključeva koje se nalaze na njemu ako prvo ne zatraže otključavanje privjeska ključeva. No aplikacija koja je dohvatila referencu na stavku privjeska ključeva prije zaključavanja privjeska ključeva, može u određenim okolnostima nastaviti upotrebljavati tu stavku privjeska ključeva neovisno o tome je li privjesak ključeva zaključan ili otključan. To ažuriranje rješava problem odbacivanjem zahtjeva za upotrebu stavki privjeska ključeva kad je privjesak ključeva zaključan. Zahvaljujemo Tobiasu Hahnu iz tvrtke HU Berlin na prijavi tog problema.
LaunchServices
CVE-ID: CVE-2006-1447
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjernog web-mjesta može dovesti do izvršavanja proizvoljnog koda
Opis: duge ekstenzije naziva datoteke mogu spriječiti da provjera valjanosti preuzimanja ispravno utvrdi uz pomoć koje se aplikacije može otvoriti neka stavka. Zbog toga napadač može zaobići provjeru valjanosti preuzimanja i uzrokovati da Safari automatski otvori nesigurni sadržaj ako je omogućena opcija „Otvori „sigurne” datoteke nakon preuzimanja“, a određene aplikacije nisu instalirane. To ažuriranje rješava problem poboljšanom provjerom ekstenzije naziva datoteke. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
libcurl
CVE-ID: CVE-2005-4077
Available for: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: rukovanje URL-om u medijateci libcurl može dovesti do izvršavanja proizvoljnog koda
Opis: medijateka libcurl HTTP biblioteke otvorenog koda sadrži prekoračenja spremnika pri rukovanju URL-om. Aplikacije koji upotrebljavaju curl za rukovanje URL-om mogu pokrenuti taj problem i uzrokovati izvršavanje proizvoljnog koda. To ažuriranje rješava problem ugrađivanjem verzije 7.15.1 medijateke libcurl. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
Mail
CVE-ID: CVE-2006-1449
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerne e-mail poruke može dovesti do izvršavanja proizvoljnog koda
Opis: pripremom posebno izrađene e-mail poruke s MacMIME enkapsuliranim privicima, napadač može pokrenuti prekoračenje cijelog broja. To može dovesti do izvršavanja proizvoljnog koda s ovlastima korisnika koji upotrebljava aplikaciju Mail. To ažuriranje rješava problem dodatnom provjerom valjanosti poruka.
Mail
CVE-ID: CVE-2006-1450
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerne e-mail poruke može dovesti do izvršavanja proizvoljnog koda
Opis: rukovanjem nevaljanim informacijama o bojama u obogaćenim e-mail porukama može uzrokovati dodjelu i inicijalizaciju proizvoljnih klasa. To može dovesti do izvršavanja proizvoljnog koda s ovlastima korisnika koji upotrebljava aplikaciju Mail. To ažuriranje rješava problem ispravnim rukovanjem neispravnih obogaćenih tekstnih podataka.
MySQL Manager
CVE-ID: CVE-2006-1451
Dostupno za: Mac OS X Server v10.4.6
Učinak: bazi podataka MySQL može se pristupiti putem prazne lozinke
Opis: tijekom početnog postavljanja poslužitelja baze podataka MySQL putem aplikacije MySQL Manager, može se navesti „Nova korijenska lozinka za MySQL”. No ta se lozinka zapravo ne upotrebljava. Zbog toga će korijenska lozinka za MySQL ostati prazna. Lokalni korisnik može dobiti pristupiti bazi podataka MySQL s potpunim ovlastima. To ažuriranje rješava problem time što omogućuje spremanje unesene lozinke. Taj problem ne utječe na sustave prije sustava Mac OS X Server v10.4. Zahvaljujemo Benu Lowu sa Sveučilišta Novi Južni Wales na prijavi tog problema.
Preview
CVE-ID: CVE-2006-1452
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: kretanje hijerarhijom zlonamjerno izrađenog direktorija može dovesti do izvršavanja proizvoljnog koda
Opis: pri kretanju vrlo dubokim hijerarhijama direktorija u aplikaciji Pregled, može doći do prekoračenja međuspremnika stoga. Pažljivom izradom takve hijerarhije direktorija napadač može uzrokovati izvršavanje proizvoljnog koda pri otvaranju direktorija u aplikaciji Pregled. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
QuickDraw
CVE-ID: CVE-2006-1453, CVE-2006-1454
Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerno izrađene PICT slike može dovesti do izvršavanja proizvoljnog koda
Opis: dva problema utječu na QuickDraw pri obradi PICT slika. Neispravne informacije o fontu mogu uzrokovati prekoračenje međuspremnika stoga, a neispravni slikovni podaci mogu uzrokovati prekoračenje međuspremnika gomile. Pažljivom izradom zlonamjerne PICT slike napadač može uzrokovati pokretanje proizvoljnog koda pri prikazu slike. To ažuriranje rješava problem dodatnom provjerom valjanosti PICT slika. Zahvaljujemo Mikeu Priceu iz tvrtke McAfee AVERT Labs na prijavi tog problema.
QuickTime Streaming Server
CVE-ID: CVE-2006-1455
Dostupno za: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Učinak: neispravni QuickTime film može uzrokovati rušenje poslužitelja QuickTime Streaming Server
Opis: QuickTime film kojem nedostaje zapis može uzrokovati dereferencu pokazivača s vrijednošću null i rušenje tijekom postupka poslužitelja. To uzrokuje prekid aktivnih povezivanja s klijentom. No poslužitelj se automatski ponovno pokreće. To ažuriranje rješava problem prikazom pogreške pri pronalaženju neispravnih filmova.
QuickTime Streaming Server
CVE-ID: CVE-2006-1456
Dostupno za: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6
Učinak: zlonamjerno izrađeni RTSP zahtjevi mogu dovesti do rušenja ili izvršavanja proizvoljnog koda
Opis: pažljivom izradom RTSP zahtjeva napadač može pokrenuti prekoračenje međuspremnika tijekom zapisivanja poruke. To može dovesti do izvršavanja proizvoljnog koda s ovlastima poslužitelja QuickTime Streaming Server. To ažuriranje rješava problem ispravnim rukovanjem uvjetima ograničenja. Zahvaljujemo timu za istraživanje tvrtke Mu Security na prijavi tog problema.
Ruby
CVE-ID: CVE-2005-2337
Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: mogu se zaobići ograničenja sigurne razine za Ruby
Opis: programski jezik Ruby ima mehanizam pod nazivom „sigurne razine” koji se upotrebljava za ograničavanje određenih operacija. Taj se mehanizam obično upotrebljava pri pokretanju ovlaštenih Ruby aplikacija ili Ruby mrežnih aplikacija. U određenim okolnostima napadač može zaobići ograničenja u takvim aplikacijama. To ne utječe na aplikacije koje se ne oslanjaju na sigurne razine. To ažuriranje rješava problem onemogućivanjem zaobilaženja sigurnih razina.
Safari
CVE-ID: CVE-2006-1457
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: otvaranje zlonamjernih web-mjesta može uzrokovati manipulaciju datotekama ili izvršavanje proizvoljnog koda
Opis: kad je omogućena opcija „Otvori „sigurne” datoteke nakon preuzimanja“ za Safari, arhivi se automatski proširuju. Ako arhiv sadržava simboličku vezu, ciljna simbolička veza (symlink) može se premjestiti na korisnikovu radnu površinu i pokrenuti. To ažuriranje rješava problem tako što se preuzete simboličke veze ne razrješavaju. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.