O sigurnosnom sadržaju ažuriranja Mac OS X 10.4.8 i sigurnosnom ažuriranju 2006-006

U ovom se dokumentu opisuju sigurnosno ažuriranje 2006-006 i sigurnosni sadržaj ažuriranja Mac OS X 10.4.8, koji se mogu preuzeti i instalirati putem postavki ažuriranja softvera ili putem servisa Apple Downloads.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

Mac OS X v10.4.8 i sigurnosno ažuriranje 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: klijenti za CFNetwork kao što je Safari mogu dopustiti prikaz SSL web-mjesta čija autentičnost nije provjerena kao web-mjesta čija je autentičnost provjerena

    Opis: autentičnost veze stvorenih uz SSL normalno se provjerava i normalno se šifriraju. Kada se šifriranje implementira bez provjere autentičnosti, zlonamjerna web-mjesta mogu izgledati kao pouzdana web-mjesta. U slučaju preglednika Safari to može dovesti do prikaza ikone lokota kada identitet udaljenog web-mjesta nije pouzdan. Ovo ažuriranje rješava problem onemogućivanjem anonimnih SSL veza po zadanom. Na prijavi ovog problema zahvaljujemo Adamu Bryzaku s Tehnološkog sveučilišta u Queenslandu.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: reprodukcija Flash sadržaja može dovesti do izvršavanja proizvoljno odabranog koda

    Opis: Adobe Flash Player sadrži kritične slabe točke koje mogu dovesti do izvršavanja proizvoljno odabranog koda prilikom rukovanja zlonamjerno izrađenim sadržajem. Ovo ažuriranje rješava probleme uvrštavanjem programa Flash Player verzije 9.0.16.0 u Mac OS X v10.3.9 i programa Flash Player verzije 9.0.20.0 u Mac OS X v10.4.

    Dodatne informacije dostupne su putem web-mjesta tvrtke Adobe na adresi http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    CVE-ID: CVE-2006-4391

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: prikaz zlonamjerno izrađene JPEG2000 slike može dovesti do rušenja aplikacije ili izvršavanja proizvoljno odabranog koda

    Opis: pažljivom izradom neispravne JPEG2000 slike napadač može aktivirati prekoračenje međuspremnika koje može dovesti do rušenja aplikacije ili izvršavanja proizvoljno odabranog koda. Ovo ažuriranje rješava problem sa slikama dodatnom provjerom valjanosti JPEG2000 slika. Problem ne utječe na sustave starije od sustava Mac OS X v10.4. Na prijavi ovog problema zahvaljujemo Tomu Saxtonu iz tvrtke Idle Loop Software Design.

  • Kernel

    CVE-ID: CVE-2006-4392

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: lokalni korisnici mogu pokretati proizvoljno odabran kod uz veće ovlasti

    Opis: mehanizam za rukovanje pogrešaka u jezgri poznat kao Mach priključci za iznimke omogućuje upravljanje programima kada se naiđe na određene vrste pogreški. Zlonamjerni lokalni korisnici mogu upotrijebiti taj mehanizam za izvršavanje proizvoljno odabranog koda u programima s ovlastima ako dođe do pogreške. Ovo ažuriranje rješava problem ograničavanjem pristupa Mach priključcima za iznimke za programe s ovlastima. Na prijavi ovog problema zahvaljujemo Dini Daiju iz tvrtke Matasano Security.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: nakon uspješnog pokušaja prijave na mrežni račun potvrde za provjeru autentičnosti putem protokola Kerberos mogu biti nedostupne drugim lokalnim korisnicima

    Opis: zbog neprovjerenog stanja pogreške potvrde za provjeru autentičnosti putem protokola Kerberos možda se neće pravilno uništiti nakon neuspješnog pokušaja prijave na mrežni račun putem servisa LoginWindow. To može rezultirati neovlaštenim pristupom drugih lokalnih korisnika potvrda za provjeru autentičnosti putem protokola Kerberos prethodnog korisnika. Ovo ažuriranje rješava problem čišćenjem predmemorije vjerodajnica nakon neuspjelih prijava. Problem ne utječe na sustava starije od sustava Mac OS X v10.4. Na prijavi ovog problema zahvaljujemo Patricku Gallagheru iz tvrtke Digital Peaks Corporation.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: potvrde za provjeru autentičnosti putem protokola Kerberos mogu biti dostupne drugim lokalnim korisnicima ako je omogućena brza promjena korisnika

    Opis: pogreška u obradi brze promjene korisnika može lokalnom korisniku omogućiti dobivanje pristupa potvrdama za provjeru autentičnosti putem protokola Kerberos drugih lokalnih korisnika. Da bi se spriječila ta situacija, ažurirana je brza promjena korisnika. Problem ne utječe na sustave starije od sustava Mac OS X v10.4. Na prijavi ovog problema zahvaljujemo Ragnaru Sundbladu iz Kraljevskog tehnološkog instituta u Stockholmu u Švedskoj.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: mrežni računi mogu zaobići kontrole pristupa servisa LoginWindow

    Opis: kontrole pristupa servisa mogu se upotrebljavati za ograničavanje popisa korisnika kojima je dopuštena prijava u sustav putem servisa LoginWindow. Logička pogreška u servisu LoginWindow mrežnim računima bez GUID-ova omogućuje zaobilaženje kontrola pristupa servisa. Problem utječe samo na sustave konfigurirane za upotrebu kontrola pristupa servisa za LoginWindow i omogućivanje mrežnim računima provjere autentičnosti korisnika bez GUID-a. Problem je promijenjen pravilnim rukovanjem kontrolama pristupa servisa u servisu LoginWindow. Ovaj problem ne utječe na sustave prije sustava Mac OS X v10.4.

  • Preferences

    CVE-ID: CVE-2006-4387

    Dostupno za: Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: nakon uklanjanja administratorskih ovlasti računa račun može i dalje upravljati aplikacijama koje upotrebljavaju WebObjects

    Opis: poništavanjem okvira "Dozvoli korisniku administriranje ovog računala" u postavkama sustava račun se možda neće ukloniti iz grupe appserveradm ili appserverusr. Te grupe računu omogućuju upravljanje aplikacijama koje upotrebljavaju WebObjects. Ovo ažuriranje rješava problem uklanjanjem računa iz odgovarajućih grupa. Problem ne utječe na sustava starije od sustava Mac OS X v10.4. Na prijavi ovog problema zahvaljujemo Phillipu Tejadi iz tvrtke Fruit Bat Software.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: otvaranje zlonamjerne PICT slike uz pomoć određenih aplikacija može dovesti do rušenja aplikacije ili izvršavanja proizvoljno odabranog koda

    Opis: određene aplikacije pozivaju nepodržanu QuickDraw operaciju radi prikaza PICT slika. Pažljivom izradom neispravne PICT slike napadač može aktivirati oštećenje memorije u tim aplikacijama, koje može dovesti do rušenja aplikacije ili izvršavanja proizvoljno odabranog koda. Ovo ažuriranje rješava problem sprječavanjem nepodržane operacije.

  • SASL

    CVE-ID: CVE-2006-1721

    Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: udaljeni napadači mogu uzrokovati odbijanje usluge IMAP poslužitelja

    Opis: problem u podršci za DIGEST-MD5 pregovaranje u komponenti Cyrus SASL može dovesti do pogreške segmentacije na IMAP poslužitelju sa zlonamjerno izrađenim zaglavljem područja. Ovo ažuriranje rješava problem poboljšanim upravljanjem zaglavljima područja prilikom pokušaja provjere autentičnosti.

  • WebCore

    CVE-ID: CVE-2006-3946

    Dostupno za: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X od v10.4 do v10.4.7, Mac OS X Server od v10.4 do v10.4.7

    Učinak: prikaz zlonamjerno izrađenih web-stranica može dovesti do izvršavanja proizvoljno odabranog koda

    Opis: pogreška upravljanja memorijom u upravljanju komponente WebKit određenim HTML kodom može zlonamjernom web-mjestu dopustiti uzrokovanje rušenja ili potencijalno izvršavanje proizvoljno odabranog koda kao korisnik koji pregledava web-mjesto. Ovo ažuriranje rješava problem sprječavanjem uvjeta koje uzrokuje prekoračenje. Na prijavi ovog problema zahvaljujemo Jensu Kutileku iz tvrtke Netzallee, Lureneu Grenieru – višem inženjeru za istraživanja u tvrtki Sourcefire VRT i Joseu Avili III – sigurnosnom analitičaru u tvrtki ONZRA.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    Dostupno za: Mac OS X Server od v10.4 do v10.4.7

    Učinak: računi u nadređenom elementu komponente NetInfo koji izgledaju kao da upotrebljavaju ShadowHash lozinke mogu i dalje upotrebljavati šifriranje

    Opis: upravitelj radne grupe naizgled omogućuje promjenu vrste autentičnosti iz šifriranja u ShadowHash lozinke u nadređenom elementu komponente NetInfo, a zapravo ne omogućuje. Osvježavanje prikaza računa u nadređenom elementu komponente NetInfo pokazat će da se i dalje upotrebljava šifriranje. Ovo ažuriranje rješava problem onemogućivanjem administratorima odabira ShadowHash lozinki za račune u nadređenom elementu komponente NetInfo. Na prijavi ovog problema zahvaljujemo Chrisu Pepperu sa Sveučilišta Rockefeller University.

Napomena za instalaciju

Ažuriranje softvera prikazat će ažuriranje koje se odnosi na vašu konfiguraciju sustava. Potrebno je samo jedno.

Sigurnosno ažuriranje 2006-006 instalirat će se u sustave Mac OS X v10.3.9 i Mac OS X Server v10.3.9.

Mac OS X v10.4.8 sadrži sigurnosne popravke prisutne u sigurnosnom ažuriranju 2006-006 i instalirat će se u Mac OS X v10.4 ili novije sustave te u Mac OS X Server v10.4 ili novije sustave.

Važno: informacije o proizvodima koje ne proizvodi Apple samo su informativne naravi i ne predstavljaju Appleovo odobravanje ni preporuku. Obratite se dobavljaču za više informacija.

Datum objave: