Informacije o sigurnosnom sadržaju sigurnosnog ažuriranja 2010-002 / Mac OS X v10.6.3

Ovaj dokument opisuje sigurnosni sadržaj sigurnosnog ažuriranja 2010-002 / Mac OS X v10.6.3.

Radi zaštite svojih klijenata tvrtka Apple ne otkriva sigurnosne probleme, ne razgovara o njima niti ih potvrđuje do provođenja cjelovite istrage te dok potrebne zakrpe i izdanja ne postanu dostupni. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja."

Sigurnosno ažuriranje 2010-002 / Mac OS X v10.6.3

  • AppKit

    CVE-ID: CVE-2010-0056

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: provjera pravopisa zlonamjerno stvorenog dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u značajci provjere pravopisa koju upotrebljavaju aplikacije Cocoa postoji prekoračenje međuspremnika. Provjera pravopisa zlonamjerno stvorenog dokumenta može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.

  • Vatrozid za aplikacije

    CVE-ID: CVE-2009-2801

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: određena pravila u vatrozidu za aplikacije mogu postati neaktivna nakon ponovnog pokretanja

    Opis: problem s određivanjem vremena u vatrozidu za aplikacije može uzrokovati neaktivnost određenih pravila nakon ponovnog pokretanja. Problem se rješava poboljšanom obradom pravila vatrozida. Problem ne utječe na sustave Mac OS X v10.6. Na prijavi problema zahvaljujemo Michaelu Kisoru iz tvrtke OrganicOrb.com.

  • AFP poslužitelj

    CVE-ID: CVE-2010-0057

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: kada je onemogućen pristup gosta, udaljeni korisnik može postaviti dijeljenja AFP-a kao gost

    Opis: problem s kontrolom pristupa u AFP poslužitelju udaljenom korisniku može omogućiti postavljanje dijeljenja AFP-a kao gost, čak i ako je pristup gostima onemogućen. Taj je problem riješen poboljšanim provjerama kontrole pristupa. Zasluge: Apple.

  • AFP poslužitelj

    CVE-ID: CVE-2010-0533

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni korisnik s pristupom gosta dijeljenju AFP-a može pristupiti sadržaju datoteka koje svi mogu čitati izvan javnog dijeljenja

    Opis: problem s zaobilaženjem direktorija postoji u validaciji putanje za dijeljenja AFP-a. Udaljeni korisnik može enumerirati nadređeni direktorij korijena diljeljenja te čitati ili zapisivati datoteke unutar tog direktorija kojem može pristupiti korisnik "nitko". Problem je riješen poboljšanom obradom putanja datoteka. Na prijavi problema zahvaljujemo Patriku Karlssonu iz tvrtke cqure.net.

  • Apache

    CVE-ID: CVE-2009-3095

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može zaobići ograničenja kontrole pristupa

    Opis: problem s validacijom unosa postoji u obradi FTP zahtjeva poslanih putem FTP-a na platformi Apache. Udaljeni napadač s mogućnošću slanja zahtjeva putem proxyja može zaobići ograničenja kontrole pristupa postavljena u konfiguraciji platforme Apache. Problem je riješen ažuriranjem platforme Apache na verziju 2.2.14.

  • ClamAV

    CVE-ID: CVE-2010-0058

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: definicije virusa ClamAV možda ne dobivaju ažuriranja

    Opis: problem s konfiguracijom predstavljen u sigurnosnom ažuriranju 2009-005 sprječava pokretanje freshclama. To može spriječiti ažuriranje definicija virusa. Problem je riješen ažuriranjem ključnih vrijednosti launchd plist ProgramArguments za freshclam. Problem ne utječe na sustave Mac OS X v10.6. Na prijavi problema zahvaljujemo Bayardu Bellu, Wilu Shipleyu iz tvrtke Delicious Monster i Davidu Ferreru iz tvrtke Zion Software, LLC.

  • CoreAudio

    CVE-ID: CVE-2010-0059

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: reprodukcija zlonamjerno stvorenog zvučnog sadržaja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi QDM2 kodiranog zvučnog sadržaja postoji problem s oštećenjem memorije. Reprodukcija zlonamjerno izrađenog audiosadržaja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • CoreAudio

    CVE-ID: CVE-2010-0060

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: reprodukcija zlonamjerno stvorenog zvučnog sadržaja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: u obradi QDMC kodiranog zvučnog sadržaja postoji problem s oštećenjem memorije. Reprodukcija zlonamjerno izrađenog audiosadržaja može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • CoreMedia

    CVE-ID: CVE-2010-0062

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Description: u obradi H.263 kodiranih filmskih datoteka platforme CoreMedia postoji prekoračenje međuspremnika skupa. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti H.263 šifriranih filmskih datoteka. Zahvaljujemo Damianu Putu i anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • CoreTypes

    CVE-ID: CVE-2010-0063

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: korisnici ne dobivaju upozorenje prije otvaranja određenih potencijalno nesigurnih vrsta sadržaja

    Opis: ovim se ažuriranjem dodaju .ibplugin i .url na sistemski popis vrsta sadržaja koji će se označavati kao potencijalno nesigurni u određenim okolnostima, poput preuzimanja s web-stranice. Iako se te vrste sadržaja ne pokreću automatski, ako se ručno otvore, to može dovesti do izvršavanja zlonamjernog JavaScript sadržaja ili izvršavanja proizvoljnog koda. Ovim se ažuriranjem poboljšava sposobnost sustava da obavijesti korisnike prije nego što počne rukovati vrstama sadržaja koje upotrebljava Safari. Zahvaljujemo Clintu Ruohou iz tvrtke Laconic Security na prijavi ovog problema.

  • CUPS

    CVE-ID: CVE-2010-0393

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: lokalni korisnik može dobiti sistemske ovlasti

    Opis: u uslužnom programu lppasswd CUPS postoji problem s nizom oblikovanja. To može omogućiti lokalnom korisniku da dobije sistemske ovlasti. Na sustave Mac OS X v10.6 to utječe samo ako je bit setuid postavljen binarno. Problem je riješen upotrebom zadanih direktorija pri pokretanju u obliku setuid procesa. Zahvaljujemo Ronaldu Volgersu na prijavi problema.

  • curl

    CVE-ID: CVE-2009-2417

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: presretač može oponašati pouzdani poslužitelj

    Opis: u obradi NULL znakova komponente curl u polju Common Name (CN) subjekta certifikata X.509 postoji problem s kanonizacijom. To može dovesti do napada presretača na korisnike alata naredbenog retka curl ili aplikacija koje koriste libcurl. Problem je riješen poboljšanom obradom NULL znakova.

  • curl

    CVE-ID: CVE-2009-0037

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: upotreba komponente curl s -L udaljenom napadaču može omogućiti čitanje ili zapisivanje lokalnih datoteka

    Opis: curl će pratiti HTTP i HTTPS preusmjerenja pri upotrebi s mogućnošću -L. Kada curl prati preusmjerenje, omogućuje URL-ove file://. To udaljenom napadaču može omogućiti pristup lokalnim datotekama. Problem je riješen poboljšanom validacijom preusmjerenja. Problem ne utječe na sustave Mac OS X v10.6. Zahvaljujemo Danielu Stenbergu iz tvrtke Haxx AB na prijavi problema.

  • Cyrus IMAP

    CVE-ID: CVE-2009-2632

    Dostupno za: Mac OS X Server v10.5.8

    Učinak: lokalni korisnik može dobiti ovlasti korisnika platforme Cyrus

    Opis: u obradi sieve skripti postoji prekoračenje međuspremnika. Pokretanjem zlonamjerno stvorene sieve skripte lokalni korisnik može dobiti ovlasti korisnika platforme Cyrus. Taj je problem riješen poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6.

  • Cyrus SASL

    CVE-ID: CVE-2009-0688

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: neovlašteni udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u modulu za provjeru autentičnosti Cyrus SASL postoji prekoračenje međuspremnika. Upotreba provjere autentičnosti Cyrus SASL može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6.

  • DesktopServices

    CVE-ID: CVE-2010-0064

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: stavke kopirane u aplikaciji Finder mogu se dodijeliti neočekivanom vlasniku datoteke

    Opis: pri izvođenju ovlaštenog kopiranja u aplikaciji Finder vlasništvo nad izvornom datotekom može se neočekivano kopirati. Ovo ažuriranje rješava problem tako da provjerava jesu li kopirane datoteke u vlasništvu korisnika koji izvodi kopiranje. Ovaj problem ne utječe na sustave starije od Mac OS X v10.6. Na prijavi problema zahvaljujemo Gerritu DeWittu sa sveučilišta Auburn University (Auburn, AL).

  • DesktopServices

    CVE-ID: CVE-2010-0537

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može ostvariti pristup korisničkim podacima putem napada u više faza

    Opis: problem s rješavanjem putanje na platformi DesktopServices osjetljiv je na napad u više faza. Udaljeni napadač prvo mora uvjeriti korisnika da postavi dijeljenje proizvoljnog naziva, što se može obaviti putem URL sheme. Prilikom spremanja datoteke s pomoću zadane ploče spremanja u bilo kojoj aplikaciji i upotrebe mogućnosti "Idi na mapu" ili povlačenja mapa na ploču spremanja podaci se neočekivano mogu spremiti u zlonamjerno dijeljenje. Problem je riješen poboljšanim rješavanjem putanje. Ovaj problem ne utječe na sustave starije od Mac OS X v10.6. Zahvaljujemo Sidneyju San Martinu iz tvrtke DeepTech, Inc. na prijavi problema.

  • Disk Images

    CVE-ID: CVE-2010-0065

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: postavljanje zlonamjerno stvorene slike diska može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u rukovanju bzip2 komprimiranim slikama diska postoji problem s oštećenjem memorije. Postavljanje zlonamjerno stvorene slike diska može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zasluge: Apple.

  • Disk Images

    CVE-ID: CVE-2010-0497

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: postavljanje zlonamjerno stvorene slike diska može uzrokovati izvršavanje proizvoljnog koda

    Opis: u rukovanju slikama diska omogućenih za internet postoji problem s dizajnom. Postavljanje slike diska omogućene za internet koja sadrži vrstu datoteke paketa otvorit će je, a ne otkriti u aplikaciji Finder. Značajka karantene datoteka rješava taj problem prikazom dijaloškog okvira s upozorenjem za nesigurne vrste datoteka. Problem je riješen poboljšanim rukovanjem vrsta datoteka paketa na slikama diska omogućenim za internet. Zahvaljujemo Brianu Mastenbrooku koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • Directory Services

    CVE-ID: CVE-2010-0498

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: lokalni korisnik može dobiti sistemske ovlasti

    Opis: problem s autorizacijom u načinu na koji Directory Services obrađuje nazive zapisa lokalnom korisniku može omogućiti dobivanje sistemskih ovlasti. Problem je riješen poboljšanim provjerama autorizacije. Zasluge: Apple.

  • Dovecot

    CVE-ID: CVE-2010-0535

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: korisnik čija je autentičnost provjerena može slati i primati poštu čak i ako korisnik nije u SACL-u korisnika kojima je to dopušteno

    Opis: na platformi Dovecot postoji problem s kontrolom pristupa kada je provjera autentičnosti Kerberos omogućena. To korisniku čija je autentičnost provjerena može omogućiti slanje i primanje pošte čak i ako korisnik nije na popisu kontrole pristupa usluzi (SACL-u) korisnika kojima je to dopušteno. Taj je problem riješen poboljšanim provjerama kontrole pristupa. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.6.

  • Event Monitor

    CVE-ID: CVE-2010-0500

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može uzrokovati dodavanje proizvoljnih sustava na popis zabranjenih sustava vatrozida

    Opis: obrnuto dohvaćanje DNS-a izvodi se na udaljenim ssh klijentima koji ne prođu provjeru autentičnosti. U rukovanju razriješenim DNS nazivima postoji problem s injekcijom plist. To udaljenom napadaču može omogućiti dodavanje proizvoljnih sustava na popis zabranjenih sustava vatrozida. Problem je riješen pravilnim dodavanjem razriješenih DNS naziva. Zasluge: Apple.

  • FreeRADIUS

    CVE-ID: CVE-2010-0524

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može dobiti pristup mreži putem provjere autentičnosti RADIUS

    Opis: problem s provjerom autentičnosti certifikata postoji u zadanoj konfiguraciji poslužitelja FreeRADIUS u sustavu Mac OS X. Udaljeni napadač može upotrijebiti EAP-TLS s proizvoljnim valjanim certifikatom za autentifikaciju i povezivanje s mrežom konfiguriranom tako da upotrebljava FreeRADIUS za provjeru autentičnosti. Problem je riješen onemogućivanjem podrške za EAP-TLS u konfiguraciji. RADIUS klijenti moraju umjesto toga koristiti EAP-TTLS. Ovaj problem utječe samo na sustave Mac OS X Server. Na prijavi problema zahvaljujemo Chrisu Linstruthu iz tvrtke Qnet.

  • FTP Server

    CVE-ID: CVE-2010-0501

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: korisnici mogu dohvaćati datoteke izvan korijenskog direktorija za FTP

    Opis: na FTP poslužitelju postoji problem sa zaobilaženjem direktorija. To korisniku može omogućiti dohvaćanje datoteka izvan korijenskog direktorija FTP-a. Problem je riješen poboljšanom obradom naziva datoteka. Ovaj problem utječe samo na sustave Mac OS X Server. Zasluge: Apple.

  • iChat Server

    CVE-ID: CVE-2006-1329

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može uzrokovati uskraćivanje usluge

    Opis: u načinu na koji jabberd obrađuje SASL pregovor postoji problem s implementacijom. Udaljeni napadač može prekinuti radnju jabberda. Taj je problem riješen poboljšanom obradom SASL pregovora. Ovaj problem utječe samo na sustave Mac OS X Server.

  • iChat Server

    CVE-ID: CVE-2010-0502

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: poruke čavrljanja mogu se ne zapisivati

    Opis: u načinu na koji iChat Server podržava konfigurabilno zapisivanje grupnih čavrljanja postoji problem s dizajnom. iChat Server zapisuje samo poruke s određenim vrstama poruke. To udaljenom korisniku može omogućiti slanje poruke putem poslužitelja bez njezina zapisivanja. Problem je riješen uklanjanjem mogućnosti onemogućivanja zapisnika grupnih čavrljanja te zapisivanjem svih poruka poslanih putem poslužitelja. Ovaj problem utječe samo na sustave Mac OS X Server. Zasluge: Apple.

  • iChat Server

    CVE-ID: CVE-2010-0503

    Dostupno za: Mac OS X Server v10.5.8

    Učinak: korisnik čija je autentičnost provjerena može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u komponenti iChat Server postoji problem s upotrebom nakon oslobađanja. Korisnik čija je autentičnost provjerena može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim praćenjem reference memorije. Ovaj problem utječe samo na sustave Mac OS X Server i ne utječe na verzije 10.6 ili novije.

  • iChat Server

    CVE-ID: CVE-2010-0504

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: korisnik čija je autentičnost provjerena može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u komponenti iChat Server postoje problemi s višestrukim prekoračenjima međuspremnika stoga. Korisnik čija je autentičnost provjerena može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Ti su problemi riješeni poboljšanim upravljanjem memorijom. Ti se problemi odnose samo na sustave Mac OS X Server. Zasluge: Apple.

  • ImageIO

    CVE-ID: CVE-2010-0505

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene JP2 slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa pri rukovanju JP2 slikama. Prikaz zlonamjerne JP2 slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Na prijavi problema zahvaljujemo Chrisu Riesu (Carnegie Mellon University Computing Service) i istraživaču "85319bb6e6ab398b334509c50afce5259d42756e" koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu.

    Opis: u načinu obrade BMP slika u aplikaciji ImageIO otkriven je problem s pristupom neinicijaliziranoj memoriji. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanjem inicijalizacije memorije i dodatnom provjerom valjanosti BMP slika. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu.

    Opis: u načinu obrade TIFF slika u aplikaciji ImageIO otkriven je problem s pristupom neinicijaliziranoj memoriji. Posjet zlonamjernom web-mjestu može rezultirati slanjem podataka iz memorije preglednika Safari web-mjestu. Problem je riješen poboljšanjem inicijalizacije memorije i dodatnom provjerom valjanosti TIFF slika. Na prijavi tog problema zahvaljujemo Matthewu 'j00ru' Jurczyku iz tvrtke Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: obrada zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda.

    Opis: prilikom rukovanja TIFF datotekama pojavio se problem s oštećenjem memorije. Obrada zlonamjerne TIFF slike može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen poboljšanim rukovanjem memorijom. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.6. Zahvaljujemo Gusu Muelleru iz tvrtke Flying Meat na prijavi problema.

  • Image RAW

    CVE-ID: CVE-2010-0506

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: prikaz zlonamjerne NEF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika u načinu na koji Image RAW rukuje NEF slikama. Prikaz zlonamjerno izrađene NEF slikovne datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.

  • Image RAW

    CVE-ID: CVE-2010-0507

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerne PEF slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika u načinu na koji Image RAW rukuje PEF slikama. Prikaz zlonamjerno izrađene PEF slikovne datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo Chrisu Riesu (Carnegie Mellon University Computing Services) na prijavi ovog problema.

  • Libsystem

    CVE-ID: CVE-2009-0689

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: aplikacije koje pretvaraju nepouzdane podatke između binarne vrijednosti s pomičnim zarezom i teksta mogu biti osjetljive na neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

    Opis: u pretvaranju binarnog pomičnog zareza u tekst u komponenti Libsystem postoji prekoračenje međuspremnika. Napadač koji može prouzročiti da aplikacija pretvara vrijednosti s pomičnim zarezom u dugačak niz ili da raščlani zlonamjerno stvoren niz kao vrijednost s pomičnim zarezom mogao bi biti u mogućnosti uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Na prijavi tog problema zahvaljujemo Maksymilianu Arciemowiczu iz tvrtke SecurityReason.com.

  • Mail

    CVE-ID: CVE-2010-0508

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: pravila povezana s izbrisanim računom za poštu ostaju na snazi

    Opis: kada se račun za poštu izbriše, korisnički definirana pravila filtra povezana s tim računom ostaju aktivna. To može dovesti do neočekivanih radnji. Problem je riješen onemogućivanjem povezanih pravila kada se račun za poštu izbriše.

  • Mail

    CVE-ID: CVE-2010-0525

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: Mail može koristiti slabiji ključ šifriranja za izlaznu e-poštu

    Opis: u načinu na koji Mail rukuje certifikatima šifriranja postoji logički problem. Kada u privjesku za ključeve postoji više certifikata za primatelja, Mail može odabrati ključ za šifriranje koji nije namijenjen šifriranju. To može dovesti do sigurnosnog problema ako je odabrani ključ slabiji od očekivanog. Problem je riješen tako da se proširenje upotrebe ključa unutar certifikata svaki puta procjenjuje prilikom odabira ključa za šifriranje pošte. Na prijavi problema zahvaljujemo Paul Suhu iz tvrtke ps Enable, Inc.

  • Mailman

    CVE-ID: CVE-2008-0564

    Dostupno za: Mac OS X Server v10.5.8

    Učinak: više slabih točaka u komponenti Mailman 2.1.9

    Opis: u komponenti Mailman 2.1.9 postoji više problema s unakrsnim skriptiranjem. Ti su problemi riješeni ažuriranjem aplikacije Mailman na verziju 2.1.13. Dodatne informacije dostupne su na web-mjestu aplikacije Mailman: http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Ovi problemi utječu samo na sustave Mac OS X Server i ne utječu na verzije 10.6 ili novije.

  • MySQL

    CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Dostupno za: Mac OS X Server od v10.6 do v10.6.2

    Učinak: više slabih točaka u komponenti MySQL 5.0.82

    Opis: MySQL je ažuriran na verziju 5.0.88 radi rješavanja većeg broja slabih točaka od kojih najozbiljnija može prouzročiti izvršavanje proizvoljnog koda. Ti se problemi odnose samo na sustave Mac OS X Server. Dodatne informacije dostupne su putem web-mjesta MySQL na http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html

  • OS Services

    CVE-ID: CVE-2010-0509

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: lokalni korisnik može dobiti veće ovlasti

    Opis: u komponenti SFLServer postoji problem s eskalacijom ovlasti jer se pokreće kao grupni "kotač" i pristupa datotekama u početnim direktorijima korisnika. Taj je problem riješen poboljšanim rukovanjem ovlastima. Zahvaljujemo Kevinu Finisterreu iz tvrtke DigitalMunition na prijavi ovog problema.

  • Password Server

    CVE-ID: CVE-2010-0510

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može se prijaviti sa zastarjelom lozinkom

    Opis: u načinu na koji Password Server obrađuje replikaciju postoji problem s implementacijom koji može uzrokovati pogrešku pri replikaciji lozinki. Udaljeni napadač može se prijaviti u sustav s pomoću zastarjele lozinke. Problem se rješava poboljšanom obradom replikacije lozinki. Ovaj problem utječe samo na sustave Mac OS X Server. Zahvaljujemo Jacku Johnsonu iz školskog okruga Anchorage na prijavi ovog problema.

  • perl

    CVE-ID: CVE-2008-5302, CVE-2008-5303

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: lokalni korisnik može uzrokovati brisanje proizvoljnih datoteka

    Opis: u funkciji rmtree modula perl File::Path postoji više problema sa stanjem nadmetanja. Lokalni korisnik s pristupom pisanja u direktorij koji se briše može uzrokovati uklanjanje proizvoljnih datoteka uz ovlasti procesa perl. Taj je problem riješen poboljšanim rukovanjem simboličnim vezama. Problem ne utječe na sustave Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: veći broj ranjivosti u programskom jeziku PHP 5.3.0

    Opis: PHP je ažuriran na verziju 5.3.1 radi rješavanja većeg broja ranjivosti od kojih najozbiljnija može prouzročiti izvršavanje proizvoljnog koda. Dodatne informacije dostupne su na web-mjestu tvrtke PHP na adresi http://www.php.net/

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: više slabih točaka u komponenti PHP 5.2.11

    Opis: PHP je ažuriran na verziju 5.2.12 radi rješavanja više slabih točaka. Najozbiljnija od tih slabih točaka može dovesti do izvršavanja proizvoljnog koda. Dodatne informacije dostupne su na web-mjestu tvrtke PHP na adresi http://www.php.net/

  • Podcast Producer

    CVE-ID: CVE-2010-0511

    Dostupno za: Mac OS X Server od v10.6 do v10.6.2

    Učinak: neovlašteni korisnik može pristupiti tijeku rada komponente Podcast Composer

    Opis: kada se tijek rada komponente Podcast Composer prebriše, uklanjanju se ograničenja pristupa. To neovlaštenom korisniku može omogućiti pristup tijeku rada komponente Podcast Composer. Ovaj je problem riješen poboljšanim rukovanjem ograničenjima pristupa tijeku rada. Podcast Composer predstavljen je u verziji Mac OS X Server v10.6.

  • Preferences

    CVE-ID: CVE-2010-0512

    Dostupno za: Mac OS X v10.6 through v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: mrežni korisnik može zaobići ograničenja prijave u sustav

    Opis: An u rukovanju ograničenjima prijave u sustav za mrežne račune postoji problem s implementacijom. Ako su mrežni računi kojima je dopuštena prijava u sustav u prozor za prijavu identificirani samo prema članstvu u grupi, ograničenje se neće primijeniti te će se svim mrežnim korisnicima dopustiti prijava u sustav. Problem je riješen poboljšanim upravljanjem ograničenja za grupe u oknu s postavkama Računi. Ovaj problem utječe samo na sustave konfigurirane tako da koriste poslužitelj za mrežne račune te ne utječe na sustave starije od Mac OS X v10.6. Zahvaljujemo Christopheru D. Griebu sa sveučilišta Michigan MSIS na prijavi problema.

  • PS Normalizer

    CVE-ID: CVE-2010-0513

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: pregled zlonamjerno stvorene PostScript datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika stoga u obradi PostScript datoteka. Prikaz zlonamjerno stvorene PostScript datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Problem je riješen izvođenjem dodatne validacije PostScript datoteka. U sustavima Mac OS X v10.6 problem je riješen zastavicom kompilatora -fstack-protector. Zasluge: Apple.

  • QuickTime

    CVE-ID: CVE-2010-0062

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu na koji QuickTime rukuje H.263 kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti H.263 šifriranih filmskih datoteka. Zahvaljujemo Damianu Putu i anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0514

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja H.261 kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti H.261 šifriranih filmskih datoteka. Zahvaljujemo Willu Dormannu (CERT/CC) na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0515

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: problem s oštećenjem memorije u rukovanju H.264 kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti H.264 šifriranih filmskih datoteka. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0516

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja RLE kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti RLE šifriranih filmskih datoteka. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0517

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja M-JPEG kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti M-JPEG šifriranih filmskih datoteka. Zahvaljujemo Damianu Putu i anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0518

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji problem s oštećenjem memorije u načinu rukovanja Sorenson kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti Sorenson šifriranih filmskih datoteka. Zahvaljujemo Willu Dormannu (CERT/CC) na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0519

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje cijelog broja u načinu rukovanja FlashPix kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • QuickTime

    CVE-ID: CVE-2010-0520

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene filmske datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja FLC kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti FLC šifriranih filmskih datoteka. Zahvaljujemo Moritzu Jodeitu iz tvrtke n.runs AG koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint i Nicolasu Jolyju iz tvrtke VUPEN Security na prijavi problema.

  • QuickTime

    CVE-ID: CVE-2010-0526

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorene MPEG datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

    Opis: postoji prekoračenje međuspremnika skupa u načinu rukovanja MPEG kodiranim filmskim datotekama. Gledanje zlonamjerne filmske datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Problem je riješen provođenjem dodatne provjere valjanosti MPEG šifriranih filmskih datoteka. Zahvaljujemo anonimnom istraživaču koji radi na inicijativi Zero Day Initiative tvrtke TippingPoint na prijavi ovog problema.

  • Ruby

    CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: više problema u komponenti Ruby on Rails

    Description: u komponenti Ruby on Rails postoji više slabih točaka, a najozbiljnija može dovesti do unakrsnog skriptiranja. U sustavima Mac OS X v10.6 ti su problemi riješeni ažuriranjem komponente Ruby on Rails na verziju 2.3.5. Na sustave Mac OS X v10.5 utječe samo CVE-2009-4214, a taj je problem riješen poboljšanom validacijom argumenata na strip_tags.

  • Ruby

    CVE-ID: CVE-2009-1904

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: pokretanje Ruby skripte koja upotrebljava nepouzdani ulaz za inicijalizaciju BigDecimal objekta može dovesti do neočekivanog zatvaranja aplikacije

    Opis: u načinu na koji Ruby rukuje BigDecimal objektima s vrlo visokim vrijednostima postoji problem s iscrpljenjem stoga. Pokretanje Ruby skripte koja upotrebljava nepouzdani ulaz za inicijalizaciju BigDecimal objekta može dovesti do neočekivanog zatvaranja aplikacije. U sustavima Mac OS X v10.6 taj je problem riješen ažuriranjem komponente Ruby na verziju 1.8.7-p173. U sustavima Mac OS v10.5 taj je problem riješen ažuriranjem komponente Ruby na verziju 1.8.6-p369.

  • Server Admin

    CVE-ID: CVE-2010-0521

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može izvući podatke iz direktorija Open Directory

    Opis: u rukovanju autentificiranim povezivanjem direktorija postoji problem s dizajnom. Udaljeni napadač može anonimno izvući podatke iz direktorija Open Directory čak i ako je omogućena opcija "Require authenticated binding between directory and clients" (Zahtijevaj autentificirano povezivanje između direktorija i klijenata). Problem je riješen uklanjanjem te opcije konfiguracije. Ovaj problem utječe samo na sustave Mac OS X Server. Zahvaljujemo Scottu Grubyju iz tvrtke Gruby Solutions i Mathiasu Haacku iz tvrtke GRAVIS Computervertriebsgesellschaft mbH na prijavi problema.

  • Server Admin

    CVE-ID: CVE-2010-0522

    Dostupno za: Mac OS X Server v10.5.8

    Učinak: bivši administrator može imati neovlašteni pristup dijeljenju zaslona

    Opis: korisnik koji je uklonjen iz grupe administratora i dalje se može povezati s poslužiteljem s pomoću dijeljenja zaslona. Problem je riješen poboljšanim rukovanjem administratorskim ovlastima. Ovaj problem utječe samo na sustave Mac OS X Server i ne utječe na verziju 10.6 ili novije. Zasluge: Apple.

  • SMB

    CVE-ID: CVE-2009-2906

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: udaljeni napadač može uzrokovati uskraćivanje usluge

    Opis: u načinu na koji Samba rukuje obavijestima o pauzi "oplock" SMB-a postoji problem s beskonačnom petljom. Udaljeni napadač može pokrenuti beskonačnu petlju u smbd-u i uzrokovati prekomjerno trošenje resursa procesora. Problem je riješen poboljšanim rukovanjem obavijesti o pauzi "oplock".

  • Tomcat

    CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server od v10.6 do v10.6.2

    Učinak: više slabih točaka u komponenti Tomcat 6.0.18

    Opis: Tomcat je ažuriran na verziju 6.0.24 radi otklanjanja većeg broja slabih točaka, od kojih najozbiljnija može dovesti do napada unakrsnim skriptiranjem. Tomcat je dostupan samo u sustavima Mac OS X Server. Dodatne informacije dostupne su na web-mjestu tvrtke Tomcat na adresi http://tomcat.apache.org/

  • unzip

    CVE-ID: CVE-2008-0888

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: izdvajanje zlonamjerno stvorenih zip datoteka s pomoću naredbenog alata unzip može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja koda

    Opis: u rukovanju zip datotekama postoji problem s neinicijaliziranim pokazivačem. Izdvajanje zlonamjerno stvorenih zip datoteka s pomoću naredbenog alata unzip može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Problem je riješen izvođenjem dodatne validacije zip datoteka. Problem ne utječe na sustave Mac OS X v10.6.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: više slabih točaka u komponenti vim 7.0

    Opis: više slabih točaka postoji u komponenti vim 7.0, a najozbiljnija može dovesti do izvršavanja proizvoljnog koda pri radu sa zlonamjerno stvorenim datotekama. Ti su problemi riješeni ažuriranjem na vim 7.2.102. te ne utječu na sustave Mac OS X v10.6. Dodatne informacije dostupne su na web-mjestu vim na adresi http://www.vim.org/

  • Wiki Server

    CVE-ID: CVE-2010-0523

    Dostupno za: Mac OS X Server v10.5.8

    Učinak: prijenos zlonamjerno stvorenog apleta može dovesti do otkrivanja povjerljivih podataka

    Opis: Wiki Server korisnicima omogućuje prijenos aktivnog sadržaja kao što su Java apleti. Udaljeni napadač može dobiti povjerljive podatke prijenosom zlonamjerno stvorenog apleta i usmjeravanje korisnika komponente Wiki Server da ga pregleda. Problem je riješen upotrebom posebno jednokratnog kolačića za provjeru autentičnosti koji se koristiti može samo za preuzimanje određenog privitka. Ovaj problem utječe samo na sustave Mac OS X Server i ne utječe na verzije 10.6 ili novije.

  • Wiki Server

    CVE-ID: CVE-2010-0534

    Dostupno za: Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: korisnik čija je autentičnost provjerena može zaobići ograničenja stvaranja webloga

    Opis: Wiki Server podržava popise kontrola za pristup uslugama (SACL-ove), što administratoru omogućuje kontrolu nad objavom sadržaja. Wiki Server ne uspijeva se konzultirati s SACL-om webloga tijekom stvaranja webloga korisnika. To korisniku čija je autentičnost provjerena može omogućiti objavu sadržaja na Wiki Server unatoč tome što bi objava trebala biti omogućena putem ACL-a za usluge. Taj problem ne utječe na sustave starije od sustava Mac OS X v10.6.

  • X11

    CVE-ID: CVE-2009-2042

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: pregled zlonamjerno stvorene slike može dovesti do otkrivanja povjerljivih podataka

    Opis: libpng je ažuriran na verziju 1.2.37 da bi se riješio problem koji može uzrokovati otkrivanje povjerljivih podataka. Dodatne informacije dostupne su na web-mjestu libpng na adresi http://www.libpng.org/pub/png/libpng.html

  • X11

    CVE-ID: CVE-2003-0063

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X od v10.6 do v10.6.2, Mac OS X Server od v10.6 do v10.6.2

    Učinak: prikaz zlonamjerno stvorenih podataka u terminalu xterm može dovesti do izvršavanja proizvoljnog koda

    Opis: program xterm podržava naredbeni niz za promjenu naziva prozora i ispis naziva prozora na terminal. Vraćene informacije šalju se terminalu kao da ih je korisnik unio putem tipkovnice. Unutar xterm terminala prikaz zlonamjernih podataka koji sadrže takve nizove može omogućiti umetanje naredbi. Problem je riješen onemogućivanjem tog naredbenog niza.

  • xar

    CVE-ID: CVE-2010-0055

    Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Učinak: izmijenjeni paket može izgledati kao da je valjano potpisan

    Opis: prilikom validacije potpisa paketa u xaru postoji problem s dizajnom. Zbog tog problema izmijenjeni paket može izgledati kao da je valjano potpisan. Problem je riješen poboljšanom validacijom potpisa paketa. Problem ne utječe na sustave Mac OS X v10.6. Zasluge: Apple.

Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.

Datum objave: