A Mac OS X 10.4.7-es frissítésének biztonsági változásjegyzéke
Ez a dokumentum a Mac OS X 10.4.7 rendszerhez kiadott biztonsági változásjegyzékét ismerteti, amelyet a Szoftverfrissítés beállításaiban, vagy az Apple letöltési webhelyéről tölthet le és telepíthet.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információt.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Az egyéb biztonsági frissítésekről az „Apple biztonsági frissítései” című cikkben olvashat.
A Mac OS X 10.4.7-es frissítése
AFP
CVE-azonosító: CVE-2006-1468
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A fájlnevek és mappanevek nyilvánosságra kerülhetnek jogosulatlan felhasználók számára
Leírás: Az AFP-kiszolgálóban lévő hiba engedélyezi, hogy a találatokban olyan fájl- és mappanevek is szerepeljenek, amelyekhez nincs hozzáférése a keresést végző felhasználónak. Ez információk felfedését eredményezheti, ha a nevek bizalmas adatok. Ez a frissítés azzal hárítja el a problémát, hogy biztosítja, hogy a találatok csak olyan tételeket tartalmazzanak, amelyek hozzáférésére jogosult a felhasználó. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
ClamAV
CVE-azonosító: CVE-2006-1989
A következőhöz érhető el: Mac OS X Server 10.4.6
Érintett terület: Amikor a vírusellenőrzés automatikusan frissül, akkor egy ártó szándékú adatbázis-tükör tetszőleges kódvégrehajtást okozhat
Leírás: A ClamAV automatikus vírusadatbázisának frissítésekor fellépő hiba veremalapú puffertúlcsorduláshoz vezethet. Ártó szándékú vagy hamisított ClamAV adatbázis-tükör ClamAV jogosultságokkal rendelkező tetszőleges kódvégrehajtáshoz vezethet. A Mail szolgáltatás, a vírusellenőrzés, és az automatikus vírusadatbázis frissítése alapértelmezetten ki van kapcsolva. Ez a frissítés úgy hárítja el a problémát, hogy magában foglalja a ClamAV 0.88.2 verzióját. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
ImageIO
CVE-azonosító: CVE-2006-1469
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Egy ártó szándékkal létrehozott TIFF-kép megtekintése alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet
Leírás: Egy sérült TIFF-kép gondos kialakításával egy támadó puffertúlcsordulást idézhet elő, amely alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet. Ez a frissítés a TIFF-képek további ellenőrzésével hárítja el a problémát. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket.
launchd
CVE-azonosító: CVE-2006-1471
A következőkhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: A helyi felhasználók magasabb jogosultságokat tudtak szerezni
Leírás: A setuid program launchd lehetőségben lévő sztringformázási biztonsági rés engedélyezheti egy hiteles helyi felhasználónak, hogy tetszőleges kódot hajtson végre rendszerjogosultságokkal. A hiba a launchd naplózási létesítményben lép fel. Ez a frissítés az üzenetek naplózásakor további ellenőrzésekkel hárítja el a problémát. A probléma nem érinti a Mac OS X 10.4-es verziójánál korábbi rendszereket. Köszönjük Kevin Finisterre-nek (DigitalMunition), hogy bejelentette a problémát.
OpenLDAP
CVE-azonosító: CVE-2006-1470
A következőhöz érhető el: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Érintett terület: Távoli támadók az Open Directory kiszolgáló leállását okozhatják
Leírás: Egy érvénytelen LDAP-kérelem gondos létrehozásával a távoli támadó elindíthat egy követelést az OpenLDAP-kiszolgálóban, amely szolgáltatásmegtagadást idézhet elő. Ez a frissítés az érvénytelen kérelem elvetésével hárítja el a hibát. Ez a probléma nem érinti a Mac OS X 10.4 előtti rendszereket. Köszönjük a Mu Security kutatócsoportjának, hogy jelentették a problémát.