Informacije o sigurnosnom ažuriranju 2010-005
Ovaj dokument opisuje sigurnosno ažuriranje 2010-005.
Da bi zaštitio korisnike, Apple ne otkriva, ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i javno ne ponudi zakrpe ili nova izdanja. Da biste saznali više o sigurnosti Appleovih proizvoda, posjetite web-mjesto Sigurnost Appleovih proizvoda.
Informacije o PGP ključu za sigurnost Appleovih proizvoda potražite na web-mjestu „Upotreba PGP ključa za sigurnost Appleovih proizvoda."
Kada je to moguće, CVE ID-jevi služe kao referenca za dodatne informacije o slabim točkama.
Da biste saznali više o sigurnosnim ažuriranjima, posjetite web-mjesto „Appleova sigurnosna ažuriranja".
Sigurnosno ažuriranje 2010-005
ATS
CVE-ID: CVE-2010-1808
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: prikaz ili preuzimanje dokumenta sa zlonamjerno izrađenim ugrađenim fontom može uzrokovati izvršavanje proizvoljnog koda
Opis: postoji problem prekoračenja međuspremnika stoga u načinu na koji Apple Type Services obrađuje ugrađene fontove. Pregled ili preuzimanje dokumenta koji sadrži zlonamjerno izrađen ugrađeni font može uzrokovati izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja.
CFNetwork
CVE-ID: CVE-2010-1800
Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: napadač s povlaštenim položajem u mreži može presresti korisničke vjerodajnice i druge povjerljive podatke
Opis: CFNetwork dopušta anonimne TLS/SSL veze. Na taj način "napadač posrednik" može preusmjeriti veze i presresti korisničke vjerodajnice ili druge povjerljive podatke. Taj problem ne utječe na aplikaciju Mail. Problem je riješen onemogućivanjem anonimnih TLS/SSL veza. Problem ne utječe na sustave starije od sustava Mac OS X v10.6.3. Zahvaljujemo Aaronu Sigelu iz tvrtke vtty.com, Jean-Lucu Giraudu iz tvrtke Citrix, Tomasu Bjurmanu iz tvrtke Sirius IT i Wan-Tehu Changu iz tvrtke Google, Inc. na prijavi tog problema.
ClamAV
CVE-ID: CVE-2010-0098, CVE-2010-1311
Dostupno za: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4
Učinak: više ranjivosti u alatu ClamAV
Opis: više ranjivosti postoji u alatu ClamAV, a najozbiljnija od njih može dovesti do izvršavanja proizvoljnog koda. Ovo ažuriranje rješava te probleme ažuriranjem alata ClamAV na verziju 0.96.1. ClamAV distribuira se samo sa sustavima Mac OS X Server. Dodatne informacije dostupne su na web-mjestu tvrtke ClamAV http://www.clamav.net/
CoreGraphics
CVE-ID: CVE-2010-1801
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: postoji prekoračenje međuspremnika skupa u načinu na koji CoreGraphics obrađuje PDF datoteke. Otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda. Taj je problem riješen poboljšanom provjerom ograničenja. Zahvaljujemo Rodrigu Rubiri Brancu iz tima Check Point Vulnerability Discovery Team (VDT) na prijavi tog problema.
libsecurity
CVE-ID: CVE-2010-1802
Dostupo za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: napadač s ovlaštenim položajem u mreži koji može pribaviti naziv domene koji se samo po posljednjim znakovima razlikuje od naziva legitimne domene mogao bi oponašati glavna računala u toj domeni
Opis: postoji problem s obradom naziva glavnih računala certifikata. Za nazive glavnih računala koji imaju tri ili više komponenti posljednji se znakovi ne uspoređuju pravilno. U slučaju naziva koji sadrži točno tri komponente, ne provjerava se samo posljednji znak. Na primjer, ako napadač u povlaštenom položaju u mreži može pribaviti certifikat za www.primjer.con, napadač može oponašati www.primjer.com. Problem se rješava poboljšanom obradom naziva glavnih računala certifikata. Zahvaljujemo Peteru Specku na prijavi problema.
PHP
CVE-ID: CVE-2010-1205
Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: učitavanje zlonamjerno stvorene PNG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis: postoji prekoračenje međuspremnika u biblioteci libpng PHP-a. Učitavanje zlonamjerne PNG slike može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda. Problem je riješen ažuriranjem biblioteke libpng unutar PHP-a na verziju 1.4.3. Problem ne utječe na sustave starije od sustava Mac OS X v10.6.
PHP
CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484
Dostupno za: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: više ranjivosti u PHP-u 5.3.1
Opis: PHP je ažuriran na verziju 5.3.2 radi rješavanja više ranjivosti. Najozbiljnija od tih ranjivosti može dovesti do izvršavanja proizvoljnog koda. Dodatne informacije dostupne su na web-mjestu tvrtke PHP na adresi http://www.php.net/
Samba
CVE-ID: CVE-2010-2063
Dostupno za: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Učinak: udaljeni napadač neprovjerene autentičnosti mogao bi uzrokovati uskraćivanje usluge ili izvršavanje proizvoljnog koda
Opis: postoji prekoračenje međuspremnika u Sambi. Udaljeni napadač neprovjerene autentičnosti mogao bi uzrokovati uskraćivanje usluge ili izvršavanje proizvoljnog koda slanjem zlonamjerno stvorenog paketa. Taj je problem riješen provedbom dodatne provjere valjanosti paketa u Sambi.
Važno: navođenje web-mjesta i proizvoda trećih strana samo je informativne naravi i ne predstavlja njihovo odobravanje ni preporuku. Apple ne preuzima odgovornost za izbor, performanse ili upotrebu informacija ili proizvoda koji se mogu pronaći na web-mjestima trećih strana. Apple navedeno pruža samo radi boljeg korisničkog iskustva naših korisnika. Apple nije ispitao informacije pronađene na ovim web-mjestima i ne iznosi nikakve tvrdnje vezane za njihovu točnost ili pouzdanost. Upotreba informacija ili proizvoda s interneta može predstavljati određene rizike, a Apple ne preuzima odgovornost po tom pitanju. Imajte na umu da je web-mjesto treće strane neovisno u odnosu na Apple te da Apple ne upravlja sadržajem tih web-mjesta. Obratite se dobavljaču za više informacija.