Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2009-003 / Mac OS X v10.5.8

U ovom se dokumentu opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2009-003 / Mac OS X v10.5.8, koje se može preuzeti i instalirati putem postavki softverskih ažuriranja ili Appleovih preuzimanja.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Sigurnosno ažuriranje 2009-003 / Mac OS X v10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: dekomprimiranje zlonamjernih podataka moglo bi uzrokovati neočekivano zatvaranje aplikacije

    Opis: u programu bzip2 postoji problem s pristupom memoriji izvan dopuštenog opsega. Otvaranje zlonamjerne komprimirane datoteke može uzrokovati neočekivano zatvaranje aplikacije. Ovo ažuriranje rješava taj problem ažuriranjem programa bzip2 na verziju 1.0.5. Dodatne informacije dostupne su putem web-mjesta programa bzip2 na adresi http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: zlonamjerno web-mjesto moglo bi kontrolirati prikazani URL web-mjesta u upozorenju povezanim s certifikatom

    Opis: kada Safari dođe do web-mjesta putem 302 preusmjeravanja te se prikaže upozorenje povezano s certifikatom, upozorenje će sadržavati URL izvornog web-mjesta umjesto URL-a trenutačnog web-mjesta. To bi zlonamjernom web-mjestu posjećenom putem otvorenog preusmjerivača na web-mjestu kojem korisnik vjeruje moglo omogućiti kontroliranje prikazanog URL-a web-mjesta u upozorenju povezanim s certifikatom. Problem je riješen vraćanjem ispravnog URL-a u pozadinski sloj modula CFNetwork. Problem ne utječe na sustave starije od sustava Mac OS X v10.5. Na prijavi problema zahvaljujemo Kevinu Dayu iz tvrtke Your.Org i Jasonu Muelleru sa sveučilišta Indiana University.

  • ColorSync

    CVE-ID: CVE-2009-1726

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne slike s ugrađenim ColorSync profilom može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: prilikom obrade slika s ugrađenim ColorSync profilom postoji prekoračenje međuspremnika stoga. Otvaranje zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti ColorSync profila. Na prijavi problema zahvaljujemo Chrisu Evansu iz Googleova sigurnosnog tima.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: korisnici ne dobivaju upozorenje prije otvaranja određenih potencijalno nesigurnih vrsta sadržaja

    Opis: ovim se ažuriranjem proširuje sistemski popis vrsta sadržaja koji će se označavati kao potencijalno nesigurni u određenim okolnostima, poput preuzimanja s web-stranice. Iako se te vrste sadržaja ne pokreću automatski, ako se ručno otvore, to može dovesti do izvršavanja zlonamjernog JavaScript sadržaja. Ovim se ažuriranjem poboljšava sposobnost sustava da obavijesti korisnike prije nego što počne rukovati vrstama sadržaja koje upotrebljava Safari. Na prijavi problema zahvaljujemo Brianu Mastenbrooku i Clintu Ruohu iz tvrtke Laconic Security.

  • Dock

    CVE-ID: CVE-2009-0151

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: osoba koja ima fizički pristup zaključanom sustavu može upotrebljavati Multi-Touch geste s četiri prsta

    Opis: zaštita zaslona ne blokira Multi-Touch geste s četiri prsta, što osobama koje imaju fizički pristup zaključanom sustavu može omogućiti upravljanje aplikacijama ili upotrebu značajke izlaganja. Ovo ažuriranje rješava taj problem pravilnim blokiranjem Multi-Touch gesti dok je pokrenuta zaštita zaslona. Problem utječe samo na sustave s Multi-Touch Trackpadom.

  • Image RAW

    CVE-ID: CVE-2009-1728

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne Canon RAW slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade Canon RAW slika postoji prekoračenje međuspremnika stoga. Prikaz zlonamjerne Canon RAW slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Za sustave Mac OS X v10.4 taj je problem već riješen ažuriranjem za kompatibilnost s RAW formatima digitalnih fotoaparata 2.6. Na prijavi problema zahvaljujemo Chrisu Riesu iz računalnog odjela sveučilišta Carnegie Mellon University.

  • ImageIO

    CVE-ID: CVE-2009-1722

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade OpenEXR slika uz ImageIO postoji prekoračenje međuspremnika stoga. Prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem ažuriranjem formata OpenEXR na verziju 1.6.1. Na prijavi ovog problema zahvaljujemo Lurene Grenier iz tvrtke Sourcefire VRT i Chrisu Riesu iz računalnog odjela sveučilišta Carnegie Mellon University.

  • ImageIO

    CVE-ID: CVE-2009-1721

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade OpenEXR slika uz ImageIO postoji problem s pristupom neinicijaliziranoj memoriji. Prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem pravilnom inicijalizacijom memorije i dodatnom provjerom valjanosti OpenEXR slika. Zasluge: Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade OpenEXR slika uz ImageIO postoji veći broj izračuna prevelike cjelobrojne vrijednosti. Prikaz zlonamjerne OpenEXR slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava te probleme poboljšanom provjerom ograničenja. Zasluge: Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: prikaz zlonamjerne slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade EXIF metapodataka postoji prekoračenje međuspremnika. Prikaz zlonamjerno stvorene slikovne datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: obrada zlonamjerne PNG slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: prilikom obrade PNG slika postoji problem s neinicijaliziranim pokazivačem. Obrada zlonamjerne PNG slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ažuriranje rješava problem dodatnom provjerom valjanosti PNG slika. Na prijavi problema zahvaljujemo Tavisu Ormandyju iz Googleova tima za sigurnost.

  • Kernel

    CVE-ID: CVE-2009-1235

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: lokalni korisnik može dobiti sistemske ovlasti

    Opis: postoji problem s implementacijom u obradi sistemskih poziva komponente fcntl. Lokalni korisnik može prebrisati memoriju jezgre i izvršiti proizvoljni kod uz sistemske ovlasti. Ovo ažuriranje rješava taj problem poboljšanom, obradom sistemskih poziva komponente fcntl. Na prijavi problema zahvaljujemo Razvanu Musaloiu-E. sa sveučilišta Johns Hopkins University, HiNRG.

  • launchd

    CVE-ID: CVE-2009-2190

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: otvaranje većeg broja veza prema servisu launchd utemeljenom na komponenti inetd može uzrokovati uskraćivanje usluge

    Opis: otvaranje većeg broja veza prema servisu launchd utemeljenom na komponenti inetd može uzrokovati prekid servisiranja dolaznih veza prema tom servisu do sljedećeg ponovnog pokretanja sustava. Ovo ažuriranje rješava taj problem poboljšanim upravljanjem pogreškama.

  • Login Window

    CVE-ID: CVE-2009-2191

    Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: problem s nizom za oblikovanje u prozoru za prijavu može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: problem s nizom za oblikovanje prilikom obrade naziva aplikacija u prozoru za prijavu može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom obradom naziva aplikacija. Na prijavi problema zahvaljujemo Alfredu Pesoliju iz tvrtke 0xcafebabe.it.

  • MobileMe

    CVE-ID: CVE-2009-2192

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: odjava sa servisa MobileMe ne uklanja sve vjerodajnice

    Opis: u oknu s postavkama servisa MobileMe postoji problem s logikom. Odjava iz okna s postavkama ne briše sve vjerodajnice. Osoba s pristupom lokalnom računu može nastaviti pristupati bilo kojem drugom sustavu povezanom s računom za MobileMe na koji je prethodno bila prijavljena za taj lokalni račun. Ovo ažuriranje rješava taj problem brisanjem svih vjerodajnica prilikom odjave.

  • Networking

    CVE-ID: CVE-2009-2193

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: primanje zlonamjernog paketa odgovora servisa AppleTalk može uzrokovati izvršavanje proizvoljnog koda uz sistemske ovlasti ili neočekivano isključivanje sustava

    Opis: prilikom obrade paketa odgovora servisa AppleTalk uz jezgru postoji prekoračenje međuspremnika. Primanje zlonamjernog paketa odgovora servisa AppleTalk može uzrokovati izvršavanje proizvoljnog koda uz sistemske ovlasti ili neočekivano isključivanje sustava. Ovo ažuriranje rješava taj problem poboljšanom provjerom valjanosti paketa odgovora servisa AppleTalk. Na prijavi problema zahvaljujemo Ilji van Sprundelu iz tvrtke IOActive.

  • Networking

    CVE-ID: CVE-2009-2194

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: lokalni korisnik može uzrokovati neočekivano isključivanje sustava

    Opis: prilikom obrade dijeljenja deskriptora datoteka putem lokalnih utičnica postoji problem sa sinkronizacijom. Slanjem poruka koje sadrže deskriptore datoteka na utičnicu bez prijamnika lokalni korisnik može uzrokovati neočekivano isključivanje sustava. Ovo ažuriranje rješava taj problem poboljšanom obradom dijeljenja deskriptora datoteka. Na prijavi problema zahvaljujemo Bennetu Yeeu iz tvrtke Google Inc.

  • XQuery

    CVE-ID: CVE-2008-0674

    Dostupno za: Mac OS X od v10.5 do v10.5.7, Mac OS X Server od v10.5 do v10.5.7

    Učinak: obrada zlonamjernog XML sadržaja može uzrokovati izvršavanje proizvoljnog koda

    Opis: prilikom obrade klasa znakova u regularnim izrazima u PCRE (Perl Compatible Regular Expressions) biblioteci koju upotrebljava XQuery postoji prekoračenje međuspremnika. To udaljenom napadaču može omogućiti izvršavanje proizvoljnog koda putem regularnog izraza koji sadrži klasu znakova s velikom brojem znakova s Unicode kodnim točkama većim od 255. Ovo ažuriranje rješava problem ažuriranjem PCRE-a na verziju 7.6.

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: