A 2007-009 biztonsági frissítés ismertetése
Ez a dokumentum a 2007-009 biztonsági frissítést ismerteti, amelyet a Szoftverfrissítés segítségével vagy a Apple letöltési webhelyéről.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkből tájékozódhat.
A 2007-009-es biztonsági frissítés
Címtár
CVE-ID: CVE-2007-4708
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egy formázási sztringgel kapcsolatos biztonsági rés található a Címtár URL-kezelőjében. Ha egy távoli támadó ártó szándékkal létrehozott webhely meglátogatására buzdít egy felhasználót, akkor előfordulhat, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerül sor. A frissítés a formázási sztringek hatékonyabb kezelésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
CFNetwork
CVE-ID: CVE-2007-4709
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Egy rosszindulatú webhely meglátogatása lehetővé tette a fájlok automatikus letöltését olyan tetszőleges mappákba, amelyekhez a felhasználó írási jogosultsággal rendelkezik.
Leírás: Egy útvonalátjárással kapcsolatos hiba lépett fel, miközben a CFNetwork kezelte a letöltött fájlokat. Ha egy felhasználót arra buzdít egy felhasználót, hogy rosszindulatú webhelyet látogasson meg, akkor előfordulhat, hogy lehetővé teszi a fájlok automatikus letöltését olyan tetszőleges mappákba, amelyekhez a felhasználó írási jogosultsággal rendelkezik. A frissítés a HTTP-válaszok hatékonyabb feldolgozásával hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket. Köszönjük Sean Hardingnak, hogy bejelentette ezt a problémát.
ColorSync
CVE-ID: CVE-2007-4710
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Egy memóriasérülési probléma áll fenn a ColorSync-profillal rendelkező képek kezelésével kapcsolatban. Ha egy ártó szándékkal létrehozott fénykép megnyitására buzdít egy felhasználót, akkor a támadó váratlan alkalmazásleállást okozhat vagy tetszőleges programkódot hajthat végre. A frissítés a képek további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket. Köszönjük Tom Ferrisnek (Adobe Secure Software Engineering Team, ASSET), hogy bejelentette a problémát.
Core Foundation
CVE-ID: CVE-2007-5847
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: A CFURLWriteDataAndPropertiesToResource API használata bizalmas információk közzétételéhez vezethet.
Leírás: Versenyhelyzeti probléma áll fenn a CFURLWriteDataAndPropertiesToResource API-ban, ami miatt előfordulhat, hogy a fájlok nem biztonságos jogosultságokkal lesznek létrehozva. Ez bizalmas információk közzétételéhez vezethet. A frissítés hatékonyabb fájlkezeléssel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
CUPS
CVE-ID: CVE-2007-5848
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: A helyi rendszergazda felhasználók rendszerszintű jogosultságokat tudtak szerezni.
Leírás: Puffertúlcsordulást okozó probléma áll fenn a CUPS nyomtatómeghajtójában. Ez egy rosszindulatúan létrehozott URI, CUPS-szolgáltatáshoz való továbbításával lehetővé teheti a helyi rendszergazda felhasználók számára, hogy rendszerszintű jogosultságokat szerezzenek. A frissítés úgy szünteti meg a problémát, hogy a célpuffert úgy méretezik, hogy az már tartalmazza az adatokat. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket. Köszönjük Dave Campnek (Critical Path Software), hogy bejelentette a problémát.
CUPS
CVE-ID: CVE-2007-4351
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.
Leírás: Memóriasérülési probléma lépett fel az Internet Printing Protocol (IPP) címkék kezelésekor, amely lehetővé teheti egy távoli támadó számára, hogy váratlan alkalmazásleállást okozzon, vagy tetszőleges programkódot végrehajtson. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát.
CUPS
CVE-ID: CVE-2007-5849
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Ha az SNMP engedélyezve van, lehetővé teheti egy távoli támadó számára, hogy váratlan alkalmazásleállást okozzon, vagy tetszőleges programkódot végrehajtson.
Leírás: A CUPS háttérrendszer SNMP programja SNMP-kéréseket küld a hálózati nyomtatószerverek felfedezéséhez. Verempuffer-túlcsordulást okozhat, ha az SNMP-válaszok kezelésekor kevés az egészszám. Ha az SNMP engedélyezve van, akkor egy távoli támadó úgy használhatja ki ezt a problémát, hogy rosszindulatúan létrehozott SNMP-választ küld, amellyel alkalmazásleállást okozhat, vagy tetszőleges programkódot hajthat végre. A frissítés az SNMP-válaszok további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket. Köszönjük Wei Wangnak (McAfee Avert Labs), hogy bejelentette ezt a problémát.
Asztali szolgáltatások
CVE-ID: CVE-2007-5850
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Az ártó szándékkal létrehozott .DS_Store fájlt tartalmazó könyvtár megnyitása tetszőleges programkód végrehajtásához vezethet.
Leírás: Halompuffer-túlcsordulás lépett fel az Asztali szolgáltatásokban. Ha egy ártó szándékkal létrehozott .DS_Store fájl megnyitására buzdít egy felhasználót, akkor előfordulhat, hogy a támadó tetszőleges programkódot fog végrehajtani. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
Flash Player bővítmény
CVE-ID: CVE-2007-5476
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Több biztonsági rés áll fenn az Adobe Flash Player bővítményben
Leírás: Többszörös beviteli ellenőrzéssel kapcsolatos problémák lépnek fel az Adobe Flash Player bővítményben, ami tetszőleges programkód végrehajtásához vezethet. Ez a frissítés az Adobe Flash Player 9.0.115.0 verzióra való frissítéssel hárítja el a problémát. További információk az Adobe webhelyén találhatók: http://www.adobe.com/support/security/bulletins/apsb07-20.html. Köszönet az Opera Software-nek, hogy bejelentették a problémát.
GNU Tar
CVE-ID: CVE-2007-4131
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Az ártó szándékkal létrehozott tar-archívumok kibontása felülírhat tetszőleges fájlokat.
Leírás: Könyvtárátjárással kapcsolatos probléma áll fenn a GNU Tar szolgáltatásban. Ha egy helyi felhasználót egy ártó szándékkal létrehozott tar-archívum kibontására buzdít, akkor a támadó tetszőleges fájlokat írhat felül. A tar-fájlok további ellenőrzésével hárították el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
iChat
CVE-ID: CVE-2007-5851
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: A helyi hálózaton tartózkodó személy a felhasználó jóváhagyása nélkül kezdeményezhet videókapcsolatot.
Leírás: A helyi hálózaton lévő támadók videókonferenciát kezdeményezhetnek egy felhasználóval a felhasználó jóváhagyása nélkül. Ez a frissítés azzal küszöböli ki a problémát, hogy felhasználói beavatkozást kér a videókonferencia kezdeményezéséhez. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
IO Családi tárhely
CVE-ID: CVE-2007-5853
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Az ártó szándékkal létrehozott lemezképek megtekintése során váratlan rendszerleállásra vagy tetszőleges programkód végrehajtására kerülhet sor.
Leírás: Egy memóriasérülési probléma áll fenn a GUID partíciós térképek lemezképen történő kezelésekor. Ha egy ártó szándékkal létrehozott lemezképek megnyitására buzdít egy felhasználót, akkor előfordulhat, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerül sor. A frissítés a GUID partíciós térképek további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
Szolgáltatások elindítása
CVE-ID: CVE-2007-5854
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Egy ártó szándékkal létrehozott HTML-fájl megnyitása információk közzétételéhez vagy webhelyek közötti szkripteléshez vezethet.
Leírás: A Szolgáltatások elindítása a HTML-fájlokat nem kezeli potenciálisan nem biztonságos tartalmakként. Ha egy felhasználót ártó szándékkal létrehozott HTML-fájl megnyitására buzdítja, az információk közzétételéhez vagy webhelyek közötti szkripteléshez vezethet. Ez a frissítés úgy küszöböli ki a problémát, hogy a HTML-fájlokat potenciálisan nem biztonságos tartalmakként kezeli. Köszönjük Michal Zalewskinak (Google Inc.), hogy bejelentette a problémát.
Szolgáltatások elindítása
CVE-ID: CVE-2007-6165
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A végrehajtható e-mail-mellékletek megnyitása figyelmeztetés nélküli, tetszőleges kódfuttatáshoz vezethet.
Leírás: A Launch Services alkalmazással kapcsolatban egy implementációs probléma lépett fel, amely lehetővé teheti a végrehajtható e-mail-mellékletek figyelmeztetés nélküli futtatását, ha egy felhasználó megnyit egy e-mail-mellékletet. Ez a frissítés azzal küszöböli ki a problémát, hogy figyelmezteti a felhasználót a végrehajtható e-mail-mellékletek indítása előtt. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket. Köszönjük Xeno Kovahnak, hogy bejelentette a problémát.
CVE-ID: CVE-2007-5855
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: A Fiókasszisztensen keresztül beállított SMTP-fiókok akkor is használhatnak egyszerű szöveges hitelesítést, ha rendelkezésre áll az MD5 kihívási válasz hitelesítés.
Leírás: Ha az SMTP-fiókot a Fiókasszisztens segítségével állítja be, és az SMTP-hitelesítés be van jelölve, és ha a kiszolgáló csak az MD5 kihívási válasz hitelesítést és az egyszerű szöveges hitelesítést támogatja, akkor a Mail alapértelmezés szerint az egyszerű szöveges hitelesítést használja. Ez a frissítés a lehető legbiztonságosabb mechanizmus használatával hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
perl
CVE-ID: CVE-2007-5116
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A reguláris kifejezések elemzése tetszőleges programkód végrehajtásához vezethet.
Leírás: Hosszúságkiszámítási probléma lépett fel a Perl reguláriskifejezés-fordító polimorf opcode-támogatásában. Ezáltal a támadók memóriasérülést okozhatnak, ami tetszőleges kódvégrehajtást eredményez azáltal, hogy a bájtról az Unicode (UTF) karakterekre váltanak egy reguláris kifejezésben. A frissítés úgy küszöböli ki a problémát, hogy újból kiszámolja a hosszt, ha a karakterkódolás megváltozik. Köszönjük Tavis Ormandy-nak és Will Drewry-nak (Google Security Team), hogy bejelentették a problémát.
python
CVE-ID: CVE-2007-4965
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A képtartalmak imageop modullal végzett feldolgozása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást eredményezhet.
Leírás: Több egészszám-túlcsordulás is található a python imageop moduljában. Ezek puffertúlcsordulást okozhatnak azokban az alkalmazásokban, amelyek a modult az ártó szándékkal létrehozott képtartalmak feldolgozására használják. Ez váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. A frissítés a képtartalom további ellenőrzésével hárítja el a problémát.
Gyorsnézet
CVE-ID: CVE-2007-5856
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A QuickLook használatával engedélyezett fájlok előnézete bizalmas információk közzétételéhez vezethet.
Leírás: A HTML-fájlok előnézetének megtekintésekor a bővítményeknek nincs letiltva, hogy hálózati kérelmeket hozzanak létre. Ez bizalmas információk közzétételéhez vezethet. A frissítés a bővítmények letiltásával hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket.
Gyorsnézet
CVE-ID: CVE-2007-5857
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A filmfájl előnézetével hozzáférhet a filmben található URL-címekhez.
Leírás: Ha létrehoz egy ikont egy filmfájlhoz, vagy ha megtekinti a fájl előnézetét a QuickLook segítségével, hozzáférhet a filmben található URL-címekhez. A frissítés úgy hárítja el a problémát, hogy a filmfájlok böngészése közben letiltja a HREFTracket. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket, illetve azokat a rendszereket, amelyeken telepítve van a QuickTime 7.3. Köszönjük Lukhnos D. Liunak (Lithoglyph Inc.), hogy bejelentette a problémát.
ruby
CVE-ID: CVE-2007-5770
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Több SSL-tanúsítványhitelesítési probléma áll fenn a ruby-könyvtárakban.
Leírás: Több ruby-könyvtárat is érintenek az SSL-tanúsítványok ellenőrzési hibái. Ez közbeékelődő támadásokhoz vezethet olyan alkalmazások ellen, amelyek az érintett könyvtárat használják. Ez a frissítés a ruby-javítás alkalmazásával hárítja el a problémákat.
ruby
CVE-ID: CVE-2007-5379, CVE-2007-5380, CVE-2007-6077
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Több biztonsági rés is található a Rails 1.2.3-as verziójában
Leírás: Több biztonsági rés is található a Rails 1.2.3-as verziójában, ami bizalmas információk közzétételéhez vezethet. Ez a frissítés azáltal hárítja el a problémát, hogy frissíti a Railst az 1.2.6-os verzióra. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket.
Safari
CVE-ID: CVE-2007-5858
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor bizalmas adatok szivároghatnak ki.
Leírás: A WebKit lehetővé teszi, hogy az oldal navigálja bármelyik másik oldal alkereteit. Az ártó szándékkal létrehozott weboldal meglátogatása webhelyek közötti, szkriptelő támadást indíthat el, ami bizalmas adatok kiszivárgásához vezethet. Ez a frissítés szigorúbb keretnavigációs irányelv alkalmazásával hárítja el a problémát.
Safari RSS
CVE-ID: CVE-2007-5859
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Az ártó szándékkal létrehozott hírcsatornához való hozzáférés esetén az URL-cím alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.
Leírás: Egy memóriasérülési probléma áll fenn a Safari hírcsatornakezelése során: URL-címek. Ha egy ártó szándékkal létrehozott URL-cím elérésére buzdítja a felhasználót, akkor előfordulhat, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerül sor. A frissítés a hírcsatorna: URL-címek további hitelesítésével hárítja el a hibát, és érvénytelen URL-cím esetén hibaüzenetet küld. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
Samba
CVE-ID: CVE-2007-4572, CVE-2007-5398
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Több biztonsági rés áll fenn a Sambában
Leírás: Több biztonsági rés áll fenn a Sambában, amelyek közül a legsúlyosabb a távoli kódvégrehajtás. Ez a frissítés a Samba-projekt javításainak alkalmazásával hárítja el a problémákat. További információkat a Samba webhelyén, találhat: http://www.samba.org/samba/history/security.html A CVE-2007-4138 nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket. Köszönjük Alin Rad Popnak (Secunia Research), hogy bejelentette a problémát.
Shockwave bővítmény
CVE-ID: CVE-2006-0024
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Az ártó szándékkal létrehozott Shockwave-tartalmak megnyitása tetszőleges programkód végrehajtásához vezethet.
Leírás: Több biztonsági rés is található a Shockwave Player alkalmazásban. Ha ártó szándékkal létrehozott Shockwave-tartalmak megnyitására buzdít egy felhasználót, tetszőleges programkód végrehajtására kerülhet sor. Ez a frissítés a Shockwave Player 10.1.1.016 verzióra való frissítéssel szünteti meg a problémát. Köszönjük Jan Hackernek (ETH Zurich), hogy bejelentette a problémát a Shockwave-ben.
SMB
CVE-ID: CVE-2007-3876
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.
Leírás: Verempuffer-túlcsordulással kapcsolatos probléma áll fenn a mount_smbfs és a smbutil alkalmazások által, parancssori argumentumok elemzésére használt kódban, ami lehetővé teheti a helyi felhasználóknak a tetszőleges kódvégrehajtást a rendszerjogosultságokkal. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket. Köszönjük Sean Larssonnak (VeriSign iDefense Labs), hogy bejelentette a problémát.
Software Update
CVE-ID: CVE-2007-5863
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: Egy közbeékelődő támadás során a szoftverfrissítés tetszőleges parancsokat hajthat végre.
Leírás: Amikor a szoftverfrissítés ellenőrzi az új frissítéseket, akkor feldolgozza a frissítési kiszolgáló által küldött terjesztési definíciós fájlt. A frissítési kiszolgálóhoz intézett kérések elfogásával a támadók ártó szándékkal létrehozott terjesztési definíciós fájlokat biztosíthatnak az „allow-external-scripts” opcióval, ami tetszőleges parancsfuttatást okozhat, amikor a rendszer ellenőrzi az új frissítéseket. Ez a frissítés azzal hárítja el a problémát, hogy letiltja a szoftverfrissítés „allow-external-scripts” beállítását. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket. Köszönjük Moritz Jodeitnak, hogy bejelentette a problémát.
Spin Tracer
CVE-ID: CVE-2007-5860
A következőkhöz érhető el: Mac OS X v10.5.1, Mac OS X Server v10.5.1
Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.
Leírás: A SpinTracer nem biztonságos fájlművelettel rendelkezik a kimeneti fájlok kezelésekor, ami lehetővé teheti egy helyi felhasználó számára, hogy tetszőleges kódot futtasson rendszerjogosultságokkal. A frissítés a kimeneti fájlok hatékonyabb kezelésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös verziójánál korábbi rendszereket. Köszönjük Kevin Finisterre-nek (DigitalMunition), hogy bejelentette a problémát.
Spotlight
CVE-ID: CVE-2007-5861
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Ártó szándékkal létrehozott .xls fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Memóriasérülési hiba lépett fel a Microsoft Office Spotlight Importerrel. Ha egy ártó szándékkal létrehozott .xls fájl letöltésére buzdítja a felhasználót, az váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását okozhat. A frissítés az .xls fájlok további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
tcpdump
CVE-ID: CVE-2007-1218, CVE-2007-3798
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Több biztonsági rés a tcpdumpban
Leírás: Több biztonsági rés áll fenn a tcpdump esetén, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Ez a frissítés a tcpdump 3.9.7-es verziójára való frissítéssel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket.
XQuery
CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Érintett terület: Többszörös biztonsági rés áll fenn a reguláris kifejezések kezelésében.
Leírás: Több biztonsági rés is található az XQuery által használt Perl reguláriskifejezés-fordító (PCRE) könyvtárban, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Ez a frissítés a PCRE 7.3-as verzióra való frissítéssel hárítja el a problémát. További információkat a PCRE weboldalán találhat: http://www.pcre.org/. A probléma nem érinti a Mac OS X 10.5-ös vagy újabb rendszereket. Köszönjük Tavis Ormandy-nak és Will Drewry-nak (Google Security Team), hogy bejelentették a problémát.
Fontos: A harmadik féltől származó webhelyek és termékek csak tájékoztató jellegűek, és nem jelentenek sem jóváhagyást, sem ajánlást. Az Apple nem vállal felelősséget a harmadik felek webhelyein található, harmadik fél termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple ezt csak a felhasználóink kényelme érdekében biztosítja. Az Apple nem tesztelte az ezeken a webhelyeken található információkat, és nem nyilatkozik azok pontosságáról vagy megbízhatóságáról. Az interneten található információk és termékek használata kockázattal jár, és az Apple nem vállal felelősséget ebben a tekintetben. Felhívjuk figyelmét, hogy egy harmadik féltől származó webhely független az Apple-től, és hogy az Apple-nek nincs ráhatása az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.