Informacije o sigurnosnom ažuriranju 2008-005

U ovom se dokumentu opisuje sigurnosno ažuriranje 2008-005, koje se može preuzeti i instalirati putem postavki značajke Ažuriranje softvera ili putem stranice Apple Downloads.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

Sigurnosno ažuriranje 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: lokalni korisnik može izvršavati naredbe s većim ovlastima

    Opis: postoji problem s dizajnom u bibliotekama platforme Open Scripting Architecture pri određivanju je li potrebno učitati dodatke za dodavanje skripti u aplikacije koje se upotrebljavaju s većim ovlastima. Slanje naredbi za dodavanje skripti u aplikaciju s ovlastima može omogućiti izvršavanje proizvoljnog koda s tim ovlastima. To ažuriranje rješava problem time što ne učitava dodatke za dodavanje skripti u aplikacije koje se upotrebljavaju sa sistemskim ovlastima. To ažuriranje rješava nedavno prijavljene probleme s aplikacijom ARDAgent i SecurityAgent. Zahvaljujemo Charlesu Srstku na prijavi tog problema.

  • BIND

    CVE-ID: CVE-2008-1447

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: BIND je osjetljiv na trovanje DNS predmemorije i može vratiti krivotvorene informacije

    Opis: poslužitelj Berkeley Internet Name Domain (BIND) distribuira se uz Mac OS X i nije omogućen prema zadanim postavkama. Kad je omogućen, BIND poslužitelj omogućuje prevođenje između naziva hosta i IP adresa. Slabost u DNS protokolu može omogućiti udaljenim napadačima da izvedu napade trovanjem DNS predmemorije. Zbog toga sustavi koji se oslanjaju na BIND poslužitelj za DNS mogu primiti krivotvorene informacije. To ažuriranje rješava problem implementiranjem randomizacije izvorišnog priključka kako bi se stvorila otpornost na napade trovanjem predmemorije. Za sustave Mac OS X v10.4.11 BIND je ažuriran na verziju 9.3.5-P1. Za sustave Mac OS X v10.5.4 BIND je ažuriran na verziju 9.4.2-P1. Zahvaljujemo Danu Kaminskyju (IOActive) na prijavi tog problema.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: obrada dugih naziva datoteka može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: do prekoračenja međuspremnika stoga dolazi pri rukovanju dugim nazivima datoteka. Obrada dugih naziva datoteka može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Thomas Raffetsederu (International Secure Systems Lab) i Sergiju 'shadown' Alvarezu (n.runs AG) na prijavi tog problema.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: za CoreGraphics postoje problemi s oštećenjem memorije pri obradi argumenata. Prosljeđivanjem nepouzdanog unosa u CoreGraphics putem aplikacije kao što je web-preglednik može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Zahvaljujemo Michalu Zalewskom (Google) na prijavi tog problema.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: prikaz zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: prekoračenje cijelog broja pri rukovanju PDF datotekama može rezultirati prekoračenjem međuspremnika gomile. Prikaz zlonamjerno stvorene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. To ažuriranje rješava problem putem dodatne provjere valjanosti PDF datoteka. Zahvaljujemo Parienteu Kobiju (iDefense VCP) na prijavi tog problema.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Dostupno za: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: prikaz zlonamjerno izrađenih poruka s detektorima podataka mogu dovesti do neočekivanog zatvaranja aplikacije

    Opis: detektori podataka upotrebljavaju se za izdvajanje referentnih informacija iz tekstnog sadržaja ili arhiva. Problem s potrošnjom resursa postoji pri upotrebi detektora podataka za rukovanje tekstnim sadržajem. Prikaz zlonamjerno izrađenog sadržaja u aplikaciji koja upotrebljava detektore podataka mogu dovesti do odbijanja usluge, ali ne i izvršavanja proizvoljnog koda. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Učinak: lokalni korisnik može dobiti sistemske ovlasti

    Opis: alat „Dopuštenja za popravak” u Uslužnom programu diska izvršava /usr/bin/emacs setuid. Nakon pokretanja alata Dopuštenja za popravak lokalni korisnik može upotrijebiti emacs za pokretanje naredbi sa sistemskim ovlastima. To ažuriranje rješava problem ispravljanjem dopuštenja primijenjenih na emacs u alatu Dopuštenja za popravak. Taj problem ne utječe na sustave s operacijskim sustavom Mac OS X v10.5 ili novijim. Zahvaljujemo Antonu Rangu i Brianu Timaresu na prijavi tog problema.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije

    Opis: postoji problem s ASN.1 BER dekodiranjem u programu OpenLDAP. Obrada zlonamjerno izrađene LDAP poruke može pokrenuti dokazivanje i dovesti do neočekivanog zatvaranja aplikacije za OpenLDAP demon, slapd. To ažuriranje rješava problem dodatnom provjerom valjanosti LDAP poruka.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: postoji niz problema pri provjeri u uslužnoj funkciji SSL_get_shared_ciphers() unutar biblioteke OpenSSL. U aplikaciji koja upotrebljava tu funkciju obrada zlonamjerno izrađenih paketa može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Dostupno za: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: više ranjivosti u PHP 5.2.5

    Opis: PHP je ažuriran na verziju 5.2.6 radi rješavanja više ranjivosti. Najozbiljnija od tih ranjivosti može dovesti do izvršavanja proizvoljnog koda. Dodatne informacije dostupne su putem PHP web-mjesta na adresi http://www.php.net/ PHP verzija 5.2.x pruža se samo unutar sustava Mac OS X v10.5.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: preuzimanje zlonamjerno izrađene datoteke sustava Microsoft Office može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u postoji više problema s oštećenjem memorije dok QuickLook rukuje datotekama sustava Microsoft Office. Preuzimanje zlonamjerne datoteke sustava Microsoft Office može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. To ažuriranje rješava problem poboljšanom provjerom ograničenja. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Učinak: datotekama izvan korijena modula može se pristupiti ili ih se može prepisati na daljinu

    Opis: postoje problemi s provjerom valjanosti kad rsync rukuje simboličkim vezama, a pokrenut je u načinu rada demona. Stavljanje simboličkih veza u modul rsync može omogućiti pristup datotekama izvan korijena modula ili njihovo prepisivanje. To ažuriranje rješava problem putem poboljšanog rukovanja simboličkih veza. Dodatne informacije na primijenjenim zakrpama dostupne su putem rsync web-mjesta na adresi http://rsync.samba.org/

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: