A 2009-005 biztonsági frissítés ismertetése
Ez a dokumentum a 2009-005 biztonsági frissítés tartalmazza
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
A 2009-005-ös biztonsági frissítés
Alias Manager
CVE-azonosító: CVE-2009-2800
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott aliasfájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Puffer-túlcsordulás az aliasfájlok kezelésekor. Az ártó szándékkal létrehozott aliasfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.
CarbonCore
CVE-azonosító: CVE-2009-2803
A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Ártó szándékkal létrehozott resource fork tartalmak megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett
Leírás: Memóriasérülési hiba merülhetett fel a resource fork tartalmak Resource Manager általi kezelésekor. Az ártó szándékkal létrehozott resource fork tartalmú fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés a resource fork tartalmak hatékonyabb ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.
ClamAV
CVE-azonosító: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
A következőhöz érhető el: Mac OS X Server v10.5.8
Érintett terület: Többszörös biztonsági rés az ClamAV 0.94 rendszerben
Leírás: Több biztonsági rés volt a ClamAV 0.94 rendszerben, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Ez a frissítés úgy hárítja el a hibákat, hogy a ClamAV-t a 0.95.2. verzióra frissíti. A ClamAV kizárólag a Mac OS X Server rendszerekkel kapható. További információkért látogasson el a ClamAV weboldalára: http://www.clamav.net/ Ezek a problémák nem érintik a Mac OS X v10.6 rendszereket.
ColorSync
CVE-azonosító: CVE-2009-2804
A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: A beágyazott ColorSync-profil általi képkezeléskor egésszám-túlcsordulás következhetett be, ez pedig halompuffer-túlcsorduláshoz vezethetett. Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés az ColorSync-profilok további ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.
CoreGraphics
CVE-azonosító CVE-2008-2322
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Egy ártó szándékkal létrehozott PDF-fájl megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet
Leírás: A PDF-fájlok CoreGraphics általi kezelése során fellépő egésszám-túlcsordulás puffertúlcsordulási hibákhoz vezethetett. Az ártó szándékkal létrehozott JBIG2-adatfolyamot tartalmazó PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Will Dormannek (CERT/CC) a probléma jelentését. Ez a probléma nem érinti a Mac OS X v10.6 rendszert.
CoreGraphics
CVE-azonosító: CVE-2009-2468
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: A hosszú karakterláncok kirajzolásakor halompuffer-túlcsordulás következhetett be. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. Köszönjük Will Drewry-nak (Google Inc.) a probléma jelentését.
CUPS
CVE-azonosító: CVE-2009-0949
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: A távoli támadók meg tudták tagadni a Nyomtatásmegosztási szolgáltatáshoz való hozzáférést.
Leírás: Címke nélküli mutatófeloldási hiba a CUPS-ban. Ártó szándékkal létrehozott ütemezési kérések ismételt küldésével egy távoli támadó megtagadhatja a hozzáférést a Nyomtatómegosztási szolgáltatáshoz. Ez a frissítés az ütemezési kérelmek hatékonyabb ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. Köszönet Anibal Saccónak (CORE IMPACT Exploit Writing Team (EWT), Core Security Technologies), hogy jelentette a problémát.
CUPS
CVE-azonosító: CVE-2009-2807
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Egy jogosultsággal nem rendelkező helyi felhasználó rendszerjogosultságokat tudott szerezni
Leírás: Halompuffer-túlcsordulás a CUPS USB backendben. Ez lehetővé tehette a helyi felhasználónak, hogy rendszerszintű jogosultságokat szerezzen. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre.
Flash Player plug-in
CVE-azonosító: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Több biztonsági rés volt az Adobe Flash Player bővítményben
Leírás: Több probléma is volt az Adobe Flash Player plug bővítménnyel, amelyek közül a legsúlyosabb váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezhette az ártó szándékkal létrehozott weboldal megtekintésekor. A hibákat a Mac OS v10.5.8 rendszeren futtatott Flash Player bővítmény 10.0.32.18 verzióra, illetve a Mac OS X v10.4.11 rendszeren futtatott Flash Player bővítmény 9.0.246.0 verzióra való frissítésével orvosolták. A Mac OS X v10.6 rendszerek esetén ezeket a problémákat a Mac OS X v10.6.1 verzióban javították. További információkért tekintse meg az Adobe weboldalát: http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-azonosító: CVE-2009-2809
A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Az ártó szándékkal létrehozott PixarFilm-kódolású TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethetett
Leírás: Több memóriasérüléssel kapcsolatos probléma lépett fel PixarFilm-kódolású TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott PixarFilm-kódolású TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés a PixarFilm-kódolású TIFF-képek további hitelesítésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.
Launch Services
CVE-azonosító: CVE-2009-2811
A következők esetén érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy a letöltött, de nem biztonságos fájlok megnyitásakor nem jelent meg figyelmeztetés
Leírás: Ez a frissítés hozzáadja a „.fileloc” nevű fájlt a rendszer azon tartalomtípusainak a listájához, amelyek bizonyos körülmények között – például e-mailből történő letöltés esetén – potenciálisan veszélyesnek minősülnek. Bár ezek a tartalomtípusok nem nyílnak meg automatikusan, kézi megnyitás esetén rosszindulatú fájlok futtatásához vezethetnek. A frissítés javítja a rendszer azon képességét, hogy értesítse a felhasználókat az „.fileloc” fájlok kezelése előtt. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.
Launch Services
CVE-azonosító: CVE-2009-2812
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott weboldal tetszőleges programkód végrehajtására adhatott lehetőséget.
Leírás: Egy alkalmazás letöltésekor a Launch Services elemzi az exportált dokumentumtípusokat. Az exportált dokumentumtípusok kezelésének tervezési problémája miatt a Launch Services egy biztonságos fájlkiterjesztést nem biztonságos Uniform Type Identifierként (UTI, egységes típusazonosító) azonosíthat. Egy ártó szándékkal létrehozott weboldal meglátogatása esetén automatikusan megnyílhatott egy nem biztonságos fájltípus. Ez a frissítés a nem megbízható alkalmazásokból exportált dokumentumtípusok jobb kezelésével orvosolja a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. A probléma elhárítását az Apple kezdeményezte.
MySQL
CVE-azonosító: CVE-2008-2079
A következőkhöz érhető el: Mac OS X Server v10.5.8
Érintett terület: A MySQL frissítve a 5.0.82. verzióra
Leírás: A MySQL frissítve lett a 5.0.82. verzióra egy olyan implementációs probléma megoldása érdekében, amelynek segítségével a helyi felhasználók magasabb szintű jogosultságokat szereztek. Ez a probléma csak a Mac OS X Server rendszereket érinti. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. További információkért látogasson el a MySQL weboldalára: http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-azonosító: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
A következőkhöz érhető el: Mac OS X v10.5, Mac OS X Server v10.5.8
Érintett terület: Több biztonsági rést észleltek a PHP 5.2.5-ben
Leírás: A PHP-t az 5.2.10 verzióra frissítették, hogy elhárítsák a biztonsági réseket, amelyek közül a legsúlyosabb a tetszőleges kódvégrehajtást tett lehetővé. További információkért látogasson el a PHP weboldalára: http://www.php.net/ Ezek a problémák nem érintik a Mac OS X v10.6 rendszereket.
SMB
CVE-azonosító: CVE-2009-2813
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Előfordult, hogy a Windows Fájlmegosztás engedélyezése bizonyos mappákat váratlanul megosztott
Leírás: Ellenőrizetlen hibafeltétel a Sambában. Az a felhasználó, aki nem rendelkezik konfigurált otthoni könyvtárral, és csatlakozik a Windows Fájlmegosztás szolgáltatásához, a helyi fájlrendszeri jogosultságok függvényében hozzáférhet a fájlrendszer tartalmához. Ez a frissítés az útvonalfeloldási hibák kezelésének javításával orvosolja a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. Köszönet J. David Hesternek (LCG Systems National Institutes of Health), hogy jelentette a problémát.
Wiki Server
CVE-azonosító: CVE-2009-2814
A következőkhöz érhető el: Mac OS X Server v10.5.8
Érintett terület: Egy távoli támadó hozzáférést szerezhetett a Wiki Server felhasználói fiókjaihoz
Leírás: Webhelyek közötti parancsfájlfuttatási probléma állt fent a nem UTF-8-kódolású adatokat tartalmazó keresési kérések kezelésekor. Ez lehetővé tehette egy távoli támadó számára, hogy a keresést végző Wiki Server felhasználójának hitelesítő adataival hozzáférjen a Wiki Serverhez. Ez a frissítés úgy orvosolja a problémát, hogy az UTF-8 karakterkészletet állítja be alapértelmezett karakterkészletként a HTTP-válaszokban. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. A probléma elhárítását az Apple kezdeményezte.
Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a harmadik felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.