Ovaj je članak arhiviran i Apple ga više ne ažurira.

O sigurnosnom ažuriranju 2010-001

U ovom se dokumentu opisuje sigurnosno ažuriranje 2010-001, koje se može preuzeti i instalirati putem postavki za ažuriranje softvera ili putem servisa Apple Downloads.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Sigurnosno ažuriranje 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Učinak: reproduciranje zlonamjerne mp4 audiodatoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika pri rukovanju mp4 audiodatotekama. Reproduciranje zlonamjerne mp4 audiodatoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Na prijavi tog problema zahvaljujemo Tobiasu Kleinu (trapkit.de).

  • CUPS

    CVE-ID: CVE-2009-3553

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije za cupsd

    Opis: postoji problem s korištenjem memorijom nakon njezina oslobađanja u cupsd-u. Slanjem zlonamjernog zahtjeva za dohvaćanje zadataka ispisa napadač može uzrokovati daljinsko ukraćivanje usluge. To je riješeno automatskim ponovnim pokretanjem cuspd-a nakon njegova zatvaranja. Taj je problem riješen poboljšanim praćenjem upotrebe veze.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Učinak: više slabih točaka u dodatku za Adobe Flash Player

    Opis: postoji više problema u dodatku za Adobe Flash Player, a najozbiljniji od njih mogu dovesti do izvršavanja proizvoljnog koda pri prikazu zlonamjernog web-mjesta. Ti su problemi riješeni ažuriranjem dodatka za Flash Player na verziju 10.0.42. Više informacija dostupno je putem web-mjesta Adobe na adresi http://www.adobe.com/support/security/bulletins/apsb09-19.html Zahvaljujemo anonimnom istraživaču i Damianu Putu (TippingPoints Zero Day Initiative, Bing Liu (Fortinet's FortiGuard Global Security Research Team), Will Dormann (CERT), Manuel Caballero i Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: prikaz zlonamjerne TIFF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji podcjenjivanje u načinu na koji ImageIO rukuje TIFF slikama. Prikaz zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Za sustave Mac OS X v10.6 taj je problem riješen u verziji Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Učinak: prikaz zlonamjerne DNG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika u načinu na koji Image RAW rukuje DNG slikama. Prikaz zlonamjerne DNG datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Na prijavi tog problema zahvaljujemo Jasonu Carru (Carnegie Mellon University Computing Services).

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Učinak: napadač s mrežnim ovlastima može snimiti podatke ili promijeniti operacije koje se izvode u sesijama zaštićenim SSL-om

    Opis: postoji MiTM slaba točka u protokolima SSL i TLS. Više informacija dostupno je na stranici http://www.phonefactor.com/sslgap Unutar IETF-a u tijeku je uvođenje promjene u protokol za ponovno pregovaranje. To ažuriranje onemogućuje ponovno pregovaranje u protokolu OpenSSL kao preventivnu sigurnosnu mjeru. Taj problem ne utječe na usluge koje upotrebljavaju značajku sigurnog prijevoza jer ne podržava ponovno pregovaranje. Na prijavi tog problema zahvaljujemo Steveu Dispensi i Marshu Rayu (PhoneFactor, Inc.).

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: