Informacije o sigurnosnom ažuriranju 2009-005
Ovaj dokument opisuje sigurnosno ažuriranje 2009-005.
Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."
Sigurnosno ažuriranje 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: otvaranje zlonamjerno stvorene datoteke pseudonima može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: do prekoračenja međuspremnika dolazi pri rukovanju datotekama pseudonima. Otvaranje zlonamjerno stvorene datoteke pseudonima može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: otvaranje datoteke sa zlonamjernom izrađenom kopijom sadržaja resursa može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: postoji problem s oštećenjem memorije pri rukovanju kopijama sadržaja resursa Resource Managera. Učinak: otvaranje datoteke sa zlonamjernom kopijom sadržaja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom potvrdom valjanosti kopija resursa sadržaja. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Dostupno za: Mac OS X Server v10.5.8
Učinak: više slabih točaka u alatu ClamAV 0.94.2
Opis: više slabih točaka postoji u alatu ClamAV 0.94.2, a najozbiljnija od njih može dovesti do izvršavanja proizvoljno odabranog koda. Ovo ažuriranje rješava probleme ažuriranjem alata ClamAV na verziju 0.95.2. ClamAV distribuira se samo sa sustavima Mac OS X Server. Dodatne informacije dostupne su putem web-mjesta ClamAV na http://www.clamav.net/ Ovi problemi ne utječu na Mac OS X v10.6 sustave.
ColorSync
CVE-ID: CVE-2009-2804
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: prikaz zlonamjerno stvorene slike s ugrađenim ColorSync profilom može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: pri rukovanju slikama s ugrađenim ColorSync profilom postoji prekoračenje cijelih brojeva, što može dovesti do prekoračenja međuspremnika skupa. Otvaranje zlonamjerne slike s ugrađenim ColorSync profilom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava problem dodatnom provjerom valjanosti ColorSync profila. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: otvaranje zlonamjerno izrađene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja pri rukovanju PDF datotekama u CoreGraphicu može rezultirati prekoračenjem međuspremnika gomile. Otvaranje PDF datoteke koja sadrži zlonamjerno izrađen JBIG2 može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Zahvaljujemo Willu Dormannu (CERT/CC) na prijavi ovog problema. Problem ne utječe na sustave Mac OS X v10.6.
CoreGraphics
CVE-ID: CVE-2009-2468
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: otvaranje zlonamjerno izrađenog web-mjesta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: u crtežu dugačkih nizova teksta postoji prekoračenje međuspremnika skupa. Pristup zlonamjernom web-mjestu mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6. Zahvaljujemo Willu Drewryju (Google Inc.) na prijavi ovog problema.
CUPS
CVE-ID: CVE-2009-0949
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: udaljeni napadač može odbiti pristup usluzi dijeljenja pisača
Opis: u CUPS-u postoji dereferenca pokazivača s vrijednošću null. Opetovanim slanjem zlonamjerno izrađenih zahtjeva za planer, udaljeni napadač može odbiti pristup usluzi dijeljenja pisača. Ovo ažuriranje rješava taj problem poboljšanom potvrdom valjanosti zahtjeva za planer. Problem ne utječe na sustave Mac OS X v10.6. Zahvaljujemo Anibalu Saccou iz tima CORE IMPACT Exploit Writing Team (EWT) tvrtke Core Security Technologies za prijavu ovog problema.
CUPS
CVE-ID: CVE-2009-2807
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: neprivilegirani lokalni korisnik može dobiti pristup privilegijama sustava
Opis: u pozadinskom USB-u sustava CUPS postoji prekoračenje međuspremnika skupa. To može omogućiti lokalnom korisniku da dobije sistemske ovlasti. Ovo ažuriranje rješava taj problem poboljšanom provjerom ograničenja. Ovaj problem ne utječe na sustave starije od sustava Mac OS X v10.5 ili Mac OS X v10.6.
Dodatak za Flash Player
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: u dodatku za Adobe Flash Player postoji više slabih točaka
Opis: u dodatku za Adobe Flash Player postoji više slabih točaka, a najozbiljnija od njih može dovesti do izvršavanja proizvoljno odabranog koda prilikom prikaza zlonamjerno stvorenog web-mjesta. Problemi su riješeni ažuriranjem dodatka za Flash Player u sustavu Mac OS v10.5.8 na verziju 10.0.32.18 te na verziju 9.0.246.0 u sustavima Mac OS X v10.4.11. Za Mac OS X v10.6 sustave ti su problemi riješeni u verziji Mac OS X v10.6.1. Dodatne informacije dostupne su putem web-mjesta tvrtke Adobe na http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
Dostupno za: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: prikaz zlonamjerno stvorene TIFF slike šifrirane PixarFilmom može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: u rukovanju TIFF slikama šifriranima PixarFilmom u programu ImagelO postoji više problema s oštećenjem memorije. Otvaranje zlonamjerno stvorene TIFF slike šifrirane PixarFilmom može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ovo ažuriranje rješava taj problem putem dodatne potvrde valjanosti TIFF slika šifriranih PixarFilmom. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.
Launch Services
CVE-ID: CVE-2009-2811
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: pokušaj otvaranja nesigurnog preuzetog sadržaja može dovesti do upozorenja
Opis: ovo ažuriranje dodaje '.fileloc' na popis vrsta sadržaja u sustavu koji će se označiti kao potencijalno nesiguran u određenim uvjetima, primjerice, kad se preuzima iz e-pošte. Iako se te vrste sadržaja ne otvaraju automatski, ako se ručno otvore, to može dovesti do izvršavanja zlonamjernog sadržaja. Ovo ažuriranje poboljšava mogućnost sustava da obavještava korisnike prije rukovanja .fileloc datotekama. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.
Launch Services
CVE-ID: CVE-2009-2812
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: otvaranje zlonamjernog web-mjesta može dovesti do proizvoljnog izvršavanja koda
Opis: kad se preuzme neka aplikacija, Launch Services analizira izvezene vrste dokumenata. Problem dizajna u rukovanju izvezenim vrstama dokumenata može dovesti do toga da Launch Services poveže sigurnu ekstenziju datoteke s nesigurnom jedinstvenom identifikacijskom oznakom vrste (eng. Uniform Type Identifier, UTI). Otvaranje zlonamjernog web-mjesta može dovesti do automatskog otvaranja nesigurne vrste datoteke. Ovo ažuriranje rješava problem putem poboljšanog rukovanja izvezenih vrsta dokumenata iz nepouzdanih aplikacija. Ovaj problem ne utječe na sustave starije od sustava Mac OS X v10.5 ili Mac OS X v10.6. Zasluge: Apple.
MySQL
CVE-ID: CVE-2008-2079
Dostupno za: Mac OS X Server v10.5.8
Učinak: MySQL je ažuriran na verziju 5.0.82
Opis: MySQL je ažuriran na verziju 5.0.82 radi rješavanja problema s implementacijom koji omogućuje da lokalni korisnik dobije veće ovlasti. Ovaj problem utječe samo na sustave Mac OS X Server. Problem ne utječe na sustave Mac OS X v10.6. Dodatne informacije dostupne su putem web-mjesta MySQL na http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Dostupno za: Mac OS X v10.5, Mac OS X Server v10.5.8
Učinak: više ranjivosti u PHP 5.2.8
Opis: PHP je ažuriran na verziju 5.2.10 radi rješavanja više ranjivosti. Najozbiljnija od tih ranjivosti može dovesti do izvršavanja proizvoljnog koda. Dodatne informacije dostupne su putem PHP web-mjesta na http://www.php.net/ Ovi problemi ne utječu na Mac OS X v10.6 sustave.
SMB
CVE-ID: CVE-2009-2813
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Učinak: omogućivanje značajke Windows File Sharing može dovesti do neočekivanog dijeljenja mapa
Opis: u Sambi postoji neprovjereno stanje pogreške. Korisnik koji nema konfiguriran početni direktorij, a poveže se s uslugom Windows File Sharing, moći će pristupiti sadržaju datotečnog sustava koji podliježe sistemskim dozvolama za datoteke. Ovo ažuriranje rješava problem poboljšanjem rukovanja pogreškama Ovaj problem ne utječe na sustave starije od sustava Mac OS X v10.5 ili Mac OS X v10.6. Zahvaljujemo J. David Hester iz tvrtke LCG Systems National Institutes of Health za prijavu ovog problema.
Wiki Server
CVE-ID: CVE-2009-2814
Dostupno za: Mac OS X Server v10.5.8
Učinak: udaljeni napadač može dobiti pristup korisničkim računima usluge Wiki Server
Opis: pri rukovanju zahtjevima za pretraživanje koji sadrže podatke koji nisu šifrirani u UTF-8 u Wiki Serveru postoji problem sa skriptiranjem na više web-mjesta. Ovo može omogućiti udaljenom napadaču pristup Wiki Serveru s pomoću vjerodajnica korisnika usluge Wiki Server koji obavlja pretraživanje. Ovo ažuriranje rješava problem postavljanjem UTF-8 kao zadanog rasporeda znakova u HTTP odgovorima. Ovaj problem ne utječe na sustave starije od sustava Mac OS X v10.5 ili Mac OS X v10.6. Zasluge: Apple.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.