Informacije o sigurnosnom ažuriranju 2010-005

Ovaj dokument opisuje sigurnosno ažuriranje 2010-005.

Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.

Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."

Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.

Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja".

Sigurnosno ažuriranje 2010-005

• ATS

  CVE-ID: CVE-2010-1808

  Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: prikaz ili preuzimanje dokumenta sa zlonamjerno izrađenim ugrađenim fontom može uzrokovati izvršavanje proizvoljnog koda

  Opis: postoji problem prekoračenja međuspremnika stoga u načinu na koji Apple Type Services obrađuje ugrađene fontove. Pregled ili preuzimanje dokumenta koji sadrži zlonamjerno izrađen ugrađeni font može uzrokovati izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja.

• CFNetwork

  CVE-ID: CVE-2010-1800

  Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice i druge povjerljive podatke

  Opis: CFNetwork dopušta anonimne TLS/SSL veze. Na taj način "napadač posrednik" može preusmjeriti veze i presresti korisničke vjerodajnice ili druge povjerljive podatke. Taj problem ne utječe na aplikaciju Mail. Problem je riješen onemogućivanjem anonimnih TLS/SSL veza. Problem ne utječe na sustave starije od sustava Mac OS X v10.6.3. Zahvaljujemo Aaronu Sigelu iz tvrtke vtty.com, Jean-Lucu Giraudu iz tvrtke Citrix, Tomasu Bjurmanu iz tvrtke Sirius IT i Wan-Tehu Changu iz tvrtke Google, Inc. na prijavi tog problema.

• ClamAV

  CVE-ID: CVE-2010-0098, CVE-2010-1311

  Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

  Učinak: više ranjivosti u alatu ClamAV

  Opis: više ranjivosti postoji u alatu ClamAV, a najozbiljnija od njih može dovesti do izvršavanja proizvoljnog koda. Ovo ažuriranje rješava te probleme ažuriranjem alata ClamAV na verziju 0.96.1. ClamAV distribuira se samo sa sustavima Mac OS X Server. Dodatne informacije dostupne su na web-mjestu tvrtke ClamAV http://www.clamav.net/

• CoreGraphics

  CVE-ID: CVE-2010-1801

  Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: otvaranje zlonamjerno stvorene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji prekoračenje međuspremnika skupa u načinu na koji CoreGraphics obrađuje PDF datoteke. Otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo Rodrigu Rubiri Brancu iz tima Check Point Vulnerability Discovery Team (VDT) na prijavi tog problema.

• libsecurity

  CVE-ID: CVE-2010-1802

  Dostupo za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: napadač s ovlaštenim položajem u mreži koji može pribaviti naziv domene koji se samo po posljednjim znakovima razlikuje od naziva legitimne domene mogao bi oponašati glavna računala u toj domeni

  Opis: postoji problem s obradom naziva glavnih računala certifikata. Za nazive glavnih računala koji imaju tri ili više komponenti posljednji se znakovi ne uspoređuju pravilno. U slučaju naziva koji sadrži točno tri komponente, ne provjerava se samo posljednji znak. Na primjer, ako napadač u povlaštenom položaju u mreži može pribaviti certifikat za www.primjer.con, napadač može oponašati www.primjer.com. Problem se rješava poboljšanom obradom naziva glavnih računala certifikata. Zahvaljujemo Peteru Specku na prijavi problema.

• PHP

  CVE-ID: CVE-2010-1205

  Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: učitavanje zlonamjerno stvorene PNG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

  Opis: postoji prekoračenje međuspremnika u biblioteci libpng PHP-a. Učitavanje zlonamjerne PNG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Problem je riješen ažuriranjem biblioteke libpng unutar PHP-a na verziju 1.4.3. Problem ne utječe na sustave starije od sustava Mac OS X v10.6.

• PHP

  CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

  Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: više ranjivosti u PHP-u 5.3.1

  Opis: PHP je ažuriran na verziju 5.3.2 radi rješavanja više ranjivosti. Najozbiljnija od tih ranjivosti može dovesti do izvršavanja proizvoljnog koda. Dodatne informacije dostupne su na web-mjestu tvrtke PHP na adresi http://www.php.net/

• Samba

  CVE-ID: CVE-2010-2063

  Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

  Učinak: udaljeni napadač neprovjerene autentičnosti mogao bi uzrokovati uskraćivanje usluge ili izvršavanje proizvoljnog koda

  Opis: postoji prekoračenje međuspremnika u Sambi. Udaljeni napadač neprovjerene autentičnosti mogao bi uzrokovati uskraćivanje usluge ili izvršavanje proizvoljnog koda slanjem zlonamjerno stvorenog paketa. Taj je problem riješen provedbom dodatne provjere valjanosti paketa u Sambi.