Informacije o sigurnosnom sadržaju ažuriranja Mac OS X 10.4.7
U ovom se dokumentu opisuje sigurnosni sadržaj preglednika za Mac OS X 10.4.7, koji se može preuzeti i instalirati putem značajke Ažuriranje softvera ili putem stranice Apple Downloads.
Apple radi zaštite svojih klijenata ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do dovršetka cjelovite istrage te objavljivanja potrebnih zakrpa i izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”
Ažuriranje za Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: nazivi datoteka i mapa mogu se otkriti neovlaštenim korisnicima
Opis: problem na AFP poslužitelju omogućuje da rezultati pretraživanja uključe nazive datoteka i mapa kojima korisnik koji izvodi pretraživanje nema pristup. To bi moglo rezultirati otkrivanjem informacija ako su sami nazivi osjetljive informacije. To ažuriranje rješava problem osiguravanjem da rezultati pretraživanja uključuju samo stavke za koje je korisnik ovlašten. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1989
Dostupno za: Mac OS X Server v10.4.6
Učinak: kada je antivirusni pregled konfiguriran na automatsko ažuriranje, zrcaljenje zlonamjerne baze podataka može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s automatskim ažuriranjem baze podataka virusa antivirusnog softvera ClamAV može rezultirati prekoračenjem međuspremnika temeljenog na stogu. Zlonamjerno ili lažirano zrcaljenje baze podataka antivirusnog softvera ClamAV može uzrokovati izvršavanje proizvoljnog koda s ovlastima za ClamAV. Usluga Mail, antivirusni pregled i automatska ažuriranja baze podataka virusa isključeni su prema zadanim postavkama. To ažuriranje rješava problem ugradnjom antivirusnog softvera ClamAV 0.88.2. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4
ImageIO
CVE-ID: CVE-2006-1469
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: prikaz zlonamjerno izrađene TIFF Slike može rezultirati rušenjem aplikacije ili izvršavanjem proizvoljnog koda
Opis: pažljivom izradom oštećene TIFF slike napadač može pokrenuti prekoračenje međuspremnika temeljenog na stogu, što može rezultirati rušenjem aplikacije ili izvršavanja proizvoljnog koda. To ažuriranje rješava problem dodatnom provjerom valjanosti TIFF slika. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4.
launchd
CVE-ID: CVE-2006-1471
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: lokalni korisnici mogu dobiti veće ovlasti
Opisi: ranjivost formatiranog niza u setuid programu launchd može dopustiti neovlaštenom lokalnom korisniku da izvrši proizvoljni kod sa sistemskim ovlastima. Taj je problem prisutan u sustavu za zapisivanje za launchd. To ažuriranje rješava problem izvršavanjem dodatne provjere valjanosti pri zapisivanju poruka. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4. Zahvaljujemo Kevinu Finisterreu (DigitalMunition) na prijavi ovog problema.
OpenLDAP
CVE-ID: CVE-2006-1470
Dostupno za: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Učinak: udaljeni napadači mogu uzrokovati rušenje poslužitelja Open Directory
Opis: pažljivom izradom nevaljanog LDAP zahtjeva, udaljeni napadač može pokrenuti dokazivanje na poslužitelju OpenLDAP, što rezultira odbijanjem usluge. To ažuriranje rješava problem odbacivanjem nevaljanog zahtjeva. Taj problem ne utječe na sustave prije sustava Mac OS X v10.4. Zahvaljujemo timu za istraživanje tvrtke Mu Security na prijavi tog problema.