Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2008-008 / Mac OS X v10.5.6

U ovom se dokumentu opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2008-008 / Mac OS X v10.5.6, koje se može preuzeti i instalirati putem postavki softverskih ažuriranja ili Appleovih preuzimanja.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda.”

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o ostalim sigurnosnim ažuriranjima, pogledajte „Appleova sigurnosna ažuriranja.”

Sigurnosno ažuriranje 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Dostupno za: Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: prikaz ili preuzimanje PDF datoteke sa zlonamjernim ugrađenim fontom može dovesti do uskraćivanja usluge

    Opis: način na koji poslužitelj za Apple Type Services rukuje fontovima ugrađenim u PDF datotekama može dovesti do beskonačne petlje. Prikaz ili preuzimanje PDF datoteke koja sadrži zlonamjerni ugrađeni font može dovesti do uskraćivanja usluge. Ovo ažuriranje otklanja taj problem provedbom dodatne potvrde valjanosti ugrađenih fontova. Taj problem ne utječe na sustave prije sustava Mac OS X v10.5. Na prijavi tog problema zahvaljujemo Michaelu Samarinu i Mikki Vihonenu (Futurice Ltd.).

  • BOM

    CVE-ID: CVE-2008-4217

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 through v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: preuzimanje ili prikaz zlonamjerne CPIO arhive može dovesti do izvršavanja proizvoljnog koda ili neočekivanog zatvaranja aplikacije

    Opis: postoji problem s potpisivanjem u načinu na koji BOM rukuje CPIO zaglavljima, što može dovesti do prekoračenja međuspremnika stoga. Preuzimanjem ili prikaz zlonamjerne CPIO arhive može dovesti do izvršavanja proizvoljnog koda ili neočekivanog zatvaranja aplikacije. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti CPIO zaglavlja. Zasluge: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: prikaz zlonamjerne slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika gomile pri rukovanju prostorima boja unutar CoreGraphics. Prikaz zlonamjerno stvorene slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zasluge: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: otvaranje zlonamjernog web-mjesta može dovesti do otkrivanja korisničkih vjerodajnica

    Opis: Safari omogućuje web-mjestima postavljanje kolačića za vršne domene određene zemlje, što može omogućiti udaljenom napadaču da izvrši napad na sesiju i otme korisničke vjerodajnice. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti naziva domena. Na prijavi tog problema zahvaljujemo Alexanderu Claussu iz tvrtke iCab.de.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Dostupno za: Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: pokušaj pokretanja nesigurnog preuzetog sadržaja može dovesti do upozorenja

    Opis: Mac OS X omogućuje provjeru valjanosti preuzimanja radi prepoznavanja potencijalno nesigurnih datoteka. Aplikacije kao što su Safari i ostale upotrebljavaju provjeru valjanosti preuzimanja kako bi se omogućilo upozoravanje korisnika prije pokretanja datoteka označenih kao potencijalno nesigurnih. Ovo ažuriranje nadopunjava popis potencijalno nesigurnih vrsta. Dodaje vrstu sadržaja za datoteke koje imaju izvršna dopuštenja i nisu povezane s određenom aplikacijom. Te su datoteke potencijalno nesigurne jer će se pokrenuti u prozoru Terminal i njihov sadržaj izvršit će se kao naredbe. Iako se te datoteke ne pokreću automatski, pri ručnom otvaranju može doći do izvršavanja proizvoljnog koda. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: u dodatku za Adobe Flash Player postoji više slabih točaka

    Opis: u dodatku za Adobe Flash Player postoji više slabih točaka, a najozbiljnija od njih može dovesti do izvršavanja proizvoljno odabranog koda prilikom prikaza zlonamjerno stvorenog web-mjesta. Ažuriranje dodatka za Flash Player na verziju 9.0.151.0 rješava te problema. Više informacija dostupno je na web-mjestu Adobe na adresi http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Dostupno za: Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: lokalni korisnik može dobiti sistemske ovlasti

    Opis: postoje problemi s prekoračenjem cijelog broja unutar poziva sustava i386_set_ldt and i386_get_ldt, što lokalnom korisniku može omogućiti da izvrši proizvoljni kod sa sistemskim ovlastima. Ovo ažuriranje rješava te probleme poboljšanom provjerom ograničenja. Ti problemi ne utječu na sustave PowerPC. Na prijavi tih problema zahvaljujemo Richardu van Eedenu (OActive, Inc.)

  • Kernel

    CVE-ID: CVE-2008-4219

    Dostupno za: Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: pokretanje izvršne datoteke koja povezuje dinamičke biblioteke na zajedničkom resursu NFS-a može dovesti do neočekivanog zatvaranja sustava

    Opis: može doći do nastanka beskonačne petlje kad program koji se nalazi na zajedničkom resursu NFS-a dobije iznimku. To može dovesti do neočekivanog isključivanja sustava. Ovo ažuriranje rješava problem poboljšavanjem rukovanja iznimkama. Na prijavi tog problema zahvaljujemo Benu Loeru (Sveučilište Princeton).

  • Libsystem

    CVE-ID: CVE-2008-4220

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: aplikacije koje upotrebljavaju API mogu biti podložne izvršavanju proizvoljnog koda ili neočekivanom zatvaranju aplikacije

    Opis: postoji prekoračenje cijelog broja u API-ju inet_net_pton Libsystema, što može dovesti do izvršavanja proizvoljnog koda ili neočekivanog zatvaranja aplikacije koja upotrebljava API. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Taj API se obično ne poziva s nepouzdanim podacima i nisu poznati slučajevi tog problema koji se mogu iskoristiti. Ovo ažuriranje omogućuje ublažavanje potencijalnih napada na bilo koju aplikaciju putem tog API-ja.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: aplikacije koje upotrebljavaju API strptime mogu biti podložne izvršavanju proizvoljnog koda ili neočekivanom zatvaranju aplikacije

    Opis: problem s oštećenjem memorije postoji u API-ju strptime Libsystema. Raščlanjivanje zlonamjernog datumskog niza može dovesti do izvršavanja proizvoljnog koda ili neočekivanog zatvaranja aplikacije. Ovo ažuriranje rješava problem poboljšanom dodjelom memorije. Zasluge: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: aplikacije koje upotrebljavaju API strfmon mogu biti podložne neočekivanom zatvaranju aplikacije ili izvršavanju proizvoljnog koda

    Opis: pri implementaciji API-ja strfmon Libsystema dolazi do prekoračenja više cijelih brojeva. Aplikacija koja poziva strfmon s velikim vrijednostima određenih polja s cijelim brojevima u argumentu s formatiranim nizom može se neočekivano zatvoriti ili dovesti do izvršavanja proizvoljnog koda. Ovo ažuriranje rješava te probleme poboljšanom provjerom ograničenja.

  • Managed Client

    CVE-ID: CVE-2008-4237

    Dostupno za: Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: ne primjenjuju se postavke upravljanog čuvara zaslona

    Opis: način na koji softver na upravljanom klijentskom sustavu instalira informacije o konfiguraciji po hostu ne identificira uvijek točno sustav. Postavke po hostu ne primjenjuju se na pogrešno identificiranom sustavu, što uključuje zaključavanje čuvara zaslona. Ovo ažuriranje rješava taj problem tako što omogućuje upravljanom klijentu da upotrebljava točnu identifikaciju sustava. Taj problem ne utječe na sustave s ugrađenim Ethernetom. Na prijavi tog problema zahvaljujemo Johnu Barnesu (ESRI) i Trevoru Lalishu-Menaghu (Tamman Technologies, Inc.).

  • network_cmds

    CVE-ID: CVE-2008-4222

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: udaljeni napadač može uzrokovati uskraćivanje usluge ako je omogućeno dijeljenje interneta

    Opis: može doći do nastanka beskonačne petlje pri rukovanju TCP paketima u natd-u. Slanjem zlonamjernog TCP paketa udaljeni napadač može uzrokovati uskraćivanje usluge ako je omogućeno dijeljenje interneta. Ovo ažuriranje rješava problem dodatnom provjerom TCP paketa. Na prijavi tog problema zahvaljujemo Alexu Rosenbergu (Ohmantics) i Garyju Teteru (Paizo Publishing).

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Dostupno za: Mac OS X Server v10.5 do v10.5.5

    Učinak: udaljeni napadač možda će moći pristupiti administrativnim funkcijama za Podcast Producer

    Opis: postoji problem sa zaobilaženjem provjere autentičnosti na poslužitelju za Podcast Producer, što neovlaštenom korisniku može omogućiti pristup administrativnim funkcijama na poslužitelju. Ovo ažuriranje rješava taj problem poboljšanim rukovanjem ograničenjima pristupa. Podcast Producer uveden je u verziji sustava Mac OS X Server v10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 do v10.5.5, Mac OS X Server v10.5 do v10.5.5

    Učinak: otvaranje ISO datoteke može dovesti do neočekivanog isključivanja sustava

    Opis: postoji problem s provjerom valjanosti ulaznih podataka pri rukovanju oštećenim UDF jedinicama. Otvaranje zlonamjerne ISO datoteke može dovesti do neočekivanog isključivanja sustava. Ovo ažuriranje rješava taj problem poboljšanom provjerom valjanosti ulaznih podataka. Na prijavi tog problema zahvaljujemo Mauru Notarianniju (PCAX Solutions)

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: