A 2006-003 biztonsági frissítés ismertetése
Ez a dokumentum a 2006-003 biztonsági frissítést ismerteti, amelyet a Szoftverfrissítés segítségével vagy a Apple letöltési webhelyéről tölthet le és telepíthet.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.
2006-003 biztonsági frissítés
AppKit
CVE-azonosító: CVE-2006-1439
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A biztonságos szövegmezőkbe beírt karaktereket más alkalmazások is láthatják ugyanabban az ablakban
Leírás: Bizonyos körülmények között, ha szövegbeviteli mezők között navigál, az NSSecureTextField lehet, hogy nem tudja újból engedélyezni a biztonságos eseménybevitelt. Ennek eredményeképp előfordulhat, hogy az ugyanabban az ablakban megnyitott más alkalmazások is le tudták olvasni a bevitt karaktereket és billentyűleütéseket. Ez a frissítés a biztonságos eseménybevitellel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
AppKit, ImageIO
CVE-azonosító: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott GIF- vagy TIFF-képek megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A hibásan formázott GIF- vagy TIFF-képek kezelése tetszőleges kódvégrehajtáshoz vezethet az ártó szándékkal létrehozott kép elemzésekor. Ez azokat az alkalmazásokat befolyásolja, amelyek ImageIO (Mac OS X 10.4 Tiger) vagy AppKit (Mac OS X 10.3 Panther) keretrendszert használnak a képek beolvasásához. A frissítés a TIFF-képek további hitelesítésével hárítja el a problémát.
BOM
CVE-azonosító: CVE-2006-1985
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az archívum kibővítése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A hosszú útvonalneveket tartalmazó archívum figyelmes létrehozásával egy támadó elindíthat egy puffertúlcsordulási problémát a BOM-ban. Emiatt tetszőleges kódvégrehajtására kerülhet sor. A BOM kezeli az archívumokat a Finderben és más alkalmazásokban. Ez a frissítés a határfeltételek megfelelő kezelésével hárítja el a problémát.
BOM
CVE-azonosító: CVE-2006-1440
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott archívum bővítése miatt tetszőleges fájlokat tudtak létrehozni vagy felülírni
Leírás: A könyvtárátjárási szimbolikus hivatkozások kezelésével kapcsolatos hiba lépett fel az archívumokban, és emiatt a BOM a tetszőleges helyeken létrehozhat vagy felülírhat fájlokat, amelyek elérhetővé válnak az archívumot bővítő felhasználó számára. A BOM a Finder és más alkalmazások nevében kezeli az archívumokat. Ez a frissítés úgy hárítja el a problémát, hogy biztosítja, hogy az archívumból bővített fájlokat ne lehessen a célkönyvtáron kívül helyezni.
CFNetwork
CVE-azonosító: CVE-2006-1441
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Ártó szándékú webhelyek meglátogatása tetszőleges kódvégrehajtáshoz vezethet
Leírás: A tömbösített átvitelkódolás kezelésekor fellépő egészszám-túlcsordulás tetszőleges kódvégrehajtáshoz vezethet. A CFNetworköt a Safari és más alkalmazások használják. A frissítés további ellenőrzéssel hárítja el a problémát. Ez nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
ClamAV
CVE-azonosító: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
A következőhöz érhető el: Mac OS X Server 10.4.6
Érintett terület: A ClamAV-val rendelkező, ártó szándékkal létrehozott e-mail-üzenetek feldolgozása tetszőleges kódvégrehajtáshoz vezethet
Leírás: A ClamAV vírusellenőrző szoftver frissítve lett, és a legutóbbi kiadásban biztonsági javításokat tartalmaz. A ClamAV-t a Mac OS X Server v10.4-ben mutatták be az e-mailek ellenőrzéséhez. A legsúlyosabb problémák ClamAV-jogosultságokkal rendelkező tetszőleges kódvégrehajtáshoz vezethetnek. További információkért tekintse meg a http://www.clamav.net weboldalt.
CoreFoundation
CVE-azonosító: CVE-2006-1442
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A nem megbízható köteg regisztrálása tetszőleges kódvégrehajtáshoz vezethet
Leírás: Bizonyos körülmények között a kötegeket közvetetten regisztrálják az alkalmazások vagy a rendszer. A köteg API funkciója lehetővé teszi, hogy betöltődjenek és végre legyenek hajtva a dinamikus könyvtárak a köteg regisztrálásakor, még akkor is, ha közvetetten nem is kéri ezt az ügyfélalkalmazás. Ennek eredményeképpen a tetszőleges kódot végre lehet hajtani egy nem megbízható kötegből közvetett felhasználói interakció nélkül. Ez a frissítés úgy hárítja el a problémát, hogy a kötegből megfelelő időben tölti be és hajtja végre a könyvtárakat.
CoreFoundation
CVE-azonosító: CVE-2006-1443
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A fájlrendszer karakterláncátváltásai tetszőleges kódvégrehajtáshoz vezethetnek
Leírás: A CFStringGetFileSystemRepresentation lehetőség határfeltétel feldolgozása során történő egésszám-túlcsordulás tetszőleges kódvégrehajtáshoz vezethet. Azok az alkalmazások, amelyek ezt az API-t vagy az egyik kapcsolódó API-t használják, például a NSFileManager getFileSystemRepresentation:maxLength:withPath: API-ját, azzal problémát válthatnak ki, és tetszőleges kódvégrehajtáshoz vezethetnek. Ez a frissítés a határfeltételek megfelelő kezelésével hárítja el a problémát.
CoreGraphics
CVE-azonosító: CVE-2006-1444
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A biztonságos szövegmezőkbe beírt karaktereket más alkalmazások is láthatják ugyanabban az ablakban
Leírás: A Quartz Event Services olyan alkalmazásokat biztosít, amelyek megfigyelik az alacsony szintű felhasználói bemeneti eseményeket. Általában az alkalmazások nem tudják befolyásolni az eseményeket, ha engedélyezve van a biztonságos eseménybevitel. Azonban ha be van kapcsolva a „Hozzáférés engedélyezése a kisegítő eszközök számára” lehetőség, akkor a Quartz Event Services használható az események befolyásolására, ha engedélyezve van a biztonságos eseménybevitel. Ez a frissítés úgy hárítja el a problémát, hogy szűri az eseményeket, amikor engedélyezve van a biztonságos eseménybevitel. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket. Köszönjük Damien Bobillot-nak, hogy jelentette a problémát.
Finder
CVE-azonosító: CVE-2006-1448
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Egy Internet Location tétel indítása tetszőleges kódvégrehajtáshoz vezethet
Leírás: Az Internet Location tételek egyszerű URL-tárolók, amelyek http://, ftp://, és file:// URL-címekre, illetve más URL-sémákra hivatkozhatnak. Ezek a különféle típusú Internet Location tételek láthatóan különböznek, és biztonságosak a kifejezett indításhoz. Azonban az URL-cím sémája eltérő lehet az Internet Location típusától. Ennek eredményeképpen egy támadó meggyőzheti a felhasználót, hogy elindítson egy látszólag ártalmatlan tételt (például egy Web Internet Locationt, http://), pedig valójában más URL-sémákat használnak. Bizonyos körülmények között ez tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés úgy hárítja el a problémát, hogy az Internet Location típusa alapján korlátozza az URL-sémát.
FTPServer
CVE-azonosító: CVE-2006-1445
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A hitelesített FTP-felhasználók FTP-műveletei tetszőleges kódvégrehajtáshoz vezethetnek
Leírás: Ha több probléma lépett fel az FTP-kiszolgáló útvonalnevének kezelésében, az puffertúlcsordulási problémát okozhat. Egy ártó szándékú, hitelesített felhasználó elindíthatja ezt a túlcsordulást, amely az FTP-kiszolgáló jogosultságaival tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés a határfeltételek megfelelő kezelésével hárítja el a problémát.
Flash Player
CVE-azonosító: CVE-2005-2628, CVE-2006-0024
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A Flash-tartalmak lejátszása tetszőleges kódvégrehajtáshoz vezethet
Leírás: Az Adobe Flash Player kritikus biztonsági réseket tartalmaz, amelyek tetszőleges kódvégrehajtást eredményezhetnek ártó szándékú tartalmak kezelésekor. Ezzel kapcsolatban további információkat az Adobe weboldalán találhat: http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Ez a frissítés a Flash Player 8.0.24.0 bevezetésével küszöböli ki a problémát.
ImageIO
CVE-azonosító: CVE-2006-1552
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Egy ártó szándékú JPEG-kép megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A JPEG-metaadatok feldolgozása során felmerülő égésszám-túlcsordulás puffertúlcsordulási problémát okozhat. Ha a támadó hibásan formázott JPEG-metaadatokkal gondosan kialakít egy képet, az tetszőleges kódvégrehajtáshoz vezethet a kép megtekintésekor. A frissítés a képek további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket. Köszönjük Brent Simmonsnak (NewsGator Technologies, Inc.), hogy bejelentette a problémát.
Keychain
CVE-azonosító: CVE-2006-1446
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Egy alkalmazás használhatja a Kulcskarika-tételeket akkor is, amikor a Kulcskarika zárolva van
Leírás: Amikor a Kulcskarika zárolva van, akkor az alkalmazások anélkül nem férhetnek hozzá a Kulcskarika-tételekhez, hogy ne kérjék a Kulcskarika feloldását. Azonban ha egy alkalmazás a Kulcskarika zárolása előtt szerzett hivatkozást egy Kulcskarika-tételhez, akkor bizonyos esetekben továbbra is használhatja a Kulcskarika-tételeket, attól függetlenül, hogy a Kulcskarika zárolva vagy feloldva van. Ez a frissítés úgy hárítja el a problémát, hogy a Kulcskarika zárolásakor elutasítja a Kulcskarika-tételek használatára vonatkozó kérelmeket. Köszönjük Tobias Hahnnak (HU Berlin), hogy jelentette a problémát.
LaunchServices
CVE-azonosító: CVE-2006-1447
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Ártó szándékkal létrehozott webhely megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A hosszú fájlnevek megakadályozhatják, hogy a Letöltésellenőrző helyesen állapítsa meg, hogy melyik alkalmazással kell megnyitni egy adott tételt. Ennek eredményeképpen a támadó megkerülheti a Letöltésellenőrzőt, és a Safari automatikusan megnyithat egy nem biztonságos tartalmat, ha engedélyezve van a „Biztonságos fájlok megnyitása letöltéskor” lehetőség, és bizonyos alkalmazások nincsenek telepítve. Ez a frissítés a fájlnév kiterjesztésének hatékonyabb ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
libcurl
CVE-azonosító: CVE-2005-4077
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A libcurl-ben lévő URL-kezelés tetszőleges kódvégrehajtáshoz vezethet
Leírás: A nyitott forrású HTTP-könyvtár libcurl puffertúlcsordulást tartalmaz az URL-kezelésben. Azok az alkalmazások, amelyek az URL-kezeléshez curl-t használnak, problémát és tetszőleges kódvégrehajtást okozhatnak. Ez a frissítés azáltal hárítja el a problémát, hogy frissíti a libcurl-t a 7.15.1-es verzióra. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
Mail
CVE-azonosító: CVE-2006-1449
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Ártó szándékkal létrehozott e-mail-üzenet megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: Ha egy támadó MacMIME beágyazott mellékletekkel rendelkező, speciálisan létrehozott e-mai-üzenetet hoz létre, azzal égésszám-túlcsordulást idézhet elő. Ez tetszőleges kódvégrehajtáshoz vezethet azokkal a jogosultságokkal, amelyekkel a Mailt használó felhasználó rendelkezik. Ez a frissítés azzal hárítja el a problémát, hogy további ellenőrzéseket végez az üzeneteken.
Mail
CVE-azonosító: CVE-2006-1450
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server v10.4.6
Érintett terület: Ártó szándékkal létrehozott e-mail-üzenet megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A gazdagított szöveges e-mail-üzenetekben lévő érténytelen színinformációk kezelése a tetszőleges osztályok elhelyezéséhez és inicializálásához vezethet. Ez tetszőleges kódvégrehajtáshoz vezethet azokkal a jogosultságokkal, amelyekkel a Mailt használó felhasználó rendelkezik. Ez a frissítés a hibásan formázott gazdagított szöveges adatok megfelelő kezelésével hárítja el a problémát.
MySQL Manager
CVE-azonosító: CVE-2006-1451
A következőkhöz érhető el: Mac OS X Server 10.4.6
Érintett terület: A MySQL-adatbázis jelszó nélkül is elérhető
Leírás: A MySQL Managert használó MySQL-adatbázis első beállítása során lehet, hogy meg lett adva az „Új MySQL gyökérjelszó”. Azonban ez a jelszó nem lesz használva. Ennek eredményeképpen a MySQL gyökérjelszó üres marad. Ezután a helyi felhasználó teljes jogosultsággal férhet hozzá a MySQL-adatbázishoz. Ez a frissítés azzal hárítja el a problémát, hogy megbizonyosodik arról, hogy a beírt jelszó el legyen mentve. Ez a probléma nem érinti a Mac OS X Server 10.4 előtti rendszereket. Köszönjük Ben Lownak (University of New South Wales), hogy jelentett a problémát.
Preview
CVE-azonosító: CVE-2006-1452
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott könyvtárhierarchiában való navigálás tetszőleges kódvégrehajtáshoz vezethet
Leírás: Amikor a Megtekintő nagyon mély könyvtárhierarchiáiban navigál, akkor verempuffer-túlcsordulás léphet fel. Ha a támadó figyelmesen hoz létre ilyen könyvtárhierarchiákat, az tetszőleges kódvégrehajtáshoz vezethet, ha a könyvtárak a Megtekintőben vannak megnyitva. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
QuickDraw
CVE-azonosító: CVE-2006-1453, CVE-2006-1454
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott PICT-képek megtekintése tetszőleges kódvégrehajtáshoz vezethet
Leírás: A PICT-képek feldolgozásakor két probléma lehet hatással a QuickDraw alkalmazásra. A hibásan formázott betűtípussal kapcsolatos információk verempuffer-túlcsordulást okozhatnak, és a hibásan formázott képadatok puffertúlcsordulási problémát okozhatnak. Ha a támadó gondosan kialakít egy ártó szándékú PICT-képet, az tetszőleges kódvégrehajtáshoz vezethet a kép megtekintésekor. Ez a frissítés a PICT-képek további ellenőrzésével hárítja el a problémát. Köszönjük Mike Price-nak (McAfee AVERT Labs), hogy bejelentette a problémát.
QuickTime Streaming Server
CVE-azonosító: CVE-2006-1455
A következőkhöz érhető el: Mac OS X Server v10.3.9, Mac OS X Server 10.4.6
Érintett terület: A hibásan formázott QuickTime film miatt összeomolhat a QuickTime Streaming Server
Leírás: Az olyan QuickTime film, amiből hiányzik egy sáv, nullmutató-dereferenciát okozhat, ami miatt összeomolhat a kiszolgálófolyamat. Emiatt zavarok léphetnek fel az aktív klienscsatlakozásokban. Azonban a kiszolgáló automatikusan újraindul. Ez a frissítés úgy hárítja el a problémát, hogy hibát generál, ha hibásan formázott filmet észlel.
QuickTime Streaming Server
CVE-azonosító: CVE-2006-1456
A következőkhöz érhető el: Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott RTSP-kérelmek leállásokhoz vagy tetszőleges kódvégrehajtásokhoz vezethet
Leírás: Ha egy támadó gondosan létrehoz egy RTSP-kérelmet, akkor az üzenet naplózása során puffertúlcsordulást idézhet elő. Ez a QuickTime Streaming Server jogosultságaival tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés a határfeltételek megfelelő kezelésével hárítja el a problémát. Köszönjük a Mu Security kutatócsoportjának, hogy jelentették a problémát.
Ruby
CVE-azonosító: CVE-2005-2337
A következőkhöz érhető el: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Előfordulhat, hogy megkerülik a Ruby biztonsági szintjének korlátozásait
Leírás: A Ruby szkriptelési nyelv tartalmaz egy „biztonsági szintek” mechanizmust, amelyet bizonyos műveletek korlátozásához használnak. Ezt a mechanizmust leginkább a jogosult Ruby alkalmazások vagy a Ruby hálózati alkalmazások futtatásakor használják. Bizonyos körülmények között a támadó kikerülheti a korlátozásokat ezeknél az alkalmazásoknál. Ez nem érinti azokat az alkalmazásokat, amelyek nem támaszkodnak a biztonsági szintekre. Ez a frissítés azzal hárítja el a problémát, hogy megbizonyosodik arról, hogy ne lehessen megkerülni a biztonsági szinteket.
Safari
CVE-azonosító: CVE-2006-1457
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása fájlmanipulációhoz vagy tetszőleges kódvégrehajtáshoz vezethet
Leírás: Amikor a Safariban engedélyezve van a „Biztonságos fájlok megnyitása letöltés után” lehetőség, akkor ki lesznek bővítve az archívumok. Ha az archívum szimbolikus hivatkozást tartalmaz, akkor a cél symlinket át lehet helyezni a felhasználó asztalára, és el lehet indítani. Ez a frissítés úgy hárítja el a problémát, hogy nem oldja meg a letöltött szimbolikus hivatkozásokat. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.