Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

A 2009-005 biztonsági frissítés ismertetése

Ez a dokumentum a 2009-005 biztonsági frissítés tartalmazza

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

A 2009-005-ös biztonsági frissítés

  • Alias Manager

    CVE-azonosító: CVE-2009-2800

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott aliasfájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffer-túlcsordulás az aliasfájlok kezelésekor. Az ártó szándékkal létrehozott aliasfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.

  • CarbonCore

    CVE-azonosító: CVE-2009-2803

    A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Ártó szándékkal létrehozott resource fork tartalmak megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett

    Leírás: Memóriasérülési hiba merülhetett fel a resource fork tartalmak Resource Manager általi kezelésekor. Az ártó szándékkal létrehozott resource fork tartalmú fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés a resource fork tartalmak hatékonyabb ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.

  • ClamAV

    CVE-azonosító: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    A következőhöz érhető el: Mac OS X Server v10.5.8

    Érintett terület: Többszörös biztonsági rés az ClamAV 0.94 rendszerben

    Leírás: Több biztonsági rés volt a ClamAV 0.94 rendszerben, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Ez a frissítés úgy hárítja el a hibákat, hogy a ClamAV-t a 0.95.2. verzióra frissíti. A ClamAV kizárólag a Mac OS X Server rendszerekkel kapható. További információkért látogasson el a ClamAV weboldalára: http://www.clamav.net/ Ezek a problémák nem érintik a Mac OS X v10.6 rendszereket.

  • ColorSync

    CVE-azonosító: CVE-2009-2804

    A következőhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: A beágyazott ColorSync-profil általi képkezeléskor egésszám-túlcsordulás következhetett be, ez pedig halompuffer-túlcsorduláshoz vezethetett. Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megnyitása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés az ColorSync-profilok további ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.

  • CoreGraphics

    CVE-azonosító CVE-2008-2322

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Egy ártó szándékkal létrehozott PDF-fájl megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethet

    Leírás: A PDF-fájlok CoreGraphics általi kezelése során fellépő egésszám-túlcsordulás puffertúlcsordulási hibákhoz vezethetett. Az ártó szándékkal létrehozott JBIG2-adatfolyamot tartalmazó PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Köszönjük Will Dormannek (CERT/CC) a probléma jelentését. Ez a probléma nem érinti a Mac OS X v10.6 rendszert.

  • CoreGraphics

    CVE-azonosító: CVE-2009-2468

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A hosszú karakterláncok kirajzolásakor halompuffer-túlcsordulás következhetett be. Az ártó szándékkal létrehozott webhelyek felkeresése váratlan alkalmazásleállást idézhetett elő, illetve önkényes kódfuttatást tehetett lehetővé. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. Köszönjük Will Drewry-nak (Google Inc.) a probléma jelentését.

  • CUPS

    CVE-azonosító: CVE-2009-0949

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: A távoli támadók meg tudták tagadni a Nyomtatásmegosztási szolgáltatáshoz való hozzáférést.

    Leírás: Címke nélküli mutatófeloldási hiba a CUPS-ban. Ártó szándékkal létrehozott ütemezési kérések ismételt küldésével egy távoli támadó megtagadhatja a hozzáférést a Nyomtatómegosztási szolgáltatáshoz. Ez a frissítés az ütemezési kérelmek hatékonyabb ellenőrzésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. Köszönet Anibal Saccónak (CORE IMPACT Exploit Writing Team (EWT), Core Security Technologies), hogy jelentette a problémát.

  • CUPS

    CVE-azonosító: CVE-2009-2807

    A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Egy jogosultsággal nem rendelkező helyi felhasználó rendszerjogosultságokat tudott szerezni

    Leírás: Halompuffer-túlcsordulás a CUPS USB backendben. Ez lehetővé tehette a helyi felhasználónak, hogy rendszerszintű jogosultságokat szerezzen. Ez a frissítés hatékonyabb határérték-ellenőrzéssel hárítja el a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre.

  • Flash Player plug-in

    CVE-azonosító: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Több biztonsági rés volt az Adobe Flash Player bővítményben

    Leírás: Több probléma is volt az Adobe Flash Player plug bővítménnyel, amelyek közül a legsúlyosabb váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezhette az ártó szándékkal létrehozott weboldal megtekintésekor. A hibákat a Mac OS v10.5.8 rendszeren futtatott Flash Player bővítmény 10.0.32.18 verzióra, illetve a Mac OS X v10.4.11 rendszeren futtatott Flash Player bővítmény 9.0.246.0 verzióra való frissítésével orvosolták. A Mac OS X v10.6 rendszerek esetén ezeket a problémákat a Mac OS X v10.6.1 verzióban javították. További információkért tekintse meg az Adobe weboldalát: http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-azonosító: CVE-2009-2809

    A következőkhöz érhető el: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Az ártó szándékkal létrehozott PixarFilm-kódolású TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethetett

    Leírás: Több memóriasérüléssel kapcsolatos probléma lépett fel PixarFilm-kódolású TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott PixarFilm-kódolású TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A frissítés a PixarFilm-kódolású TIFF-képek további hitelesítésével hárítja el a problémát. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.

  • Launch Services

    CVE-azonosító: CVE-2009-2811

    A következők esetén érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy a letöltött, de nem biztonságos fájlok megnyitásakor nem jelent meg figyelmeztetés

    Leírás: Ez a frissítés hozzáadja a „.fileloc” nevű fájlt a rendszer azon tartalomtípusainak a listájához, amelyek bizonyos körülmények között – például e-mailből történő letöltés esetén – potenciálisan veszélyesnek minősülnek. Bár ezek a tartalomtípusok nem nyílnak meg automatikusan, kézi megnyitás esetén rosszindulatú fájlok futtatásához vezethetnek. A frissítés javítja a rendszer azon képességét, hogy értesítse a felhasználókat az „.fileloc” fájlok kezelése előtt. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. A probléma elhárítását az Apple kezdeményezte.

  • Launch Services

    CVE-azonosító: CVE-2009-2812

    A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott weboldal tetszőleges programkód végrehajtására adhatott lehetőséget.

    Leírás: Egy alkalmazás letöltésekor a Launch Services elemzi az exportált dokumentumtípusokat. Az exportált dokumentumtípusok kezelésének tervezési problémája miatt a Launch Services egy biztonságos fájlkiterjesztést nem biztonságos Uniform Type Identifierként (UTI, egységes típusazonosító) azonosíthat. Egy ártó szándékkal létrehozott weboldal meglátogatása esetén automatikusan megnyílhatott egy nem biztonságos fájltípus. Ez a frissítés a nem megbízható alkalmazásokból exportált dokumentumtípusok jobb kezelésével orvosolja a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. A probléma elhárítását az Apple kezdeményezte.

  • MySQL

    CVE-azonosító: CVE-2008-2079

    A következőkhöz érhető el: Mac OS X Server v10.5.8

    Érintett terület: A MySQL frissítve a 5.0.82. verzióra

    Leírás: A MySQL frissítve lett a 5.0.82. verzióra egy olyan implementációs probléma megoldása érdekében, amelynek segítségével a helyi felhasználók magasabb szintű jogosultságokat szereztek. Ez a probléma csak a Mac OS X Server rendszereket érinti. Ez a probléma nem érinti a Mac OS X v10.6 rendszert. További információkért látogasson el a MySQL weboldalára: http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-azonosító: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    A következőkhöz érhető el: Mac OS X v10.5, Mac OS X Server v10.5.8

    Érintett terület: Több biztonsági rést észleltek a PHP 5.2.5-ben

    Leírás: A PHP-t az 5.2.10 verzióra frissítették, hogy elhárítsák a biztonsági réseket, amelyek közül a legsúlyosabb a tetszőleges kódvégrehajtást tett lehetővé. További információkért látogasson el a PHP weboldalára: http://www.php.net/ Ezek a problémák nem érintik a Mac OS X v10.6 rendszereket.

  • SMB

    CVE-azonosító: CVE-2009-2813

    A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Érintett terület: Előfordult, hogy a Windows Fájlmegosztás engedélyezése bizonyos mappákat váratlanul megosztott

    Leírás: Ellenőrizetlen hibafeltétel a Sambában. Az a felhasználó, aki nem rendelkezik konfigurált otthoni könyvtárral, és csatlakozik a Windows Fájlmegosztás szolgáltatásához, a helyi fájlrendszeri jogosultságok függvényében hozzáférhet a fájlrendszer tartalmához. Ez a frissítés az útvonalfeloldási hibák kezelésének javításával orvosolja a problémát. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. Köszönet J. David Hesternek (LCG Systems National Institutes of Health), hogy jelentette a problémát.

  • Wiki Server

    CVE-azonosító: CVE-2009-2814

    A következőkhöz érhető el: Mac OS X Server v10.5.8

    Érintett terület: Egy távoli támadó hozzáférést szerezhetett a Wiki Server felhasználói fiókjaihoz

    Leírás: Webhelyek közötti parancsfájlfuttatási probléma állt fent a nem UTF-8-kódolású adatokat tartalmazó keresési kérések kezelésekor. Ez lehetővé tehette egy távoli támadó számára, hogy a keresést végző Wiki Server felhasználójának hitelesítő adataival hozzáférjen a Wiki Serverhez. Ez a frissítés úgy orvosolja a problémát, hogy az UTF-8 karakterkészletet állítja be alapértelmezett karakterkészletként a HTTP-válaszokban. Ez a hiba nincs hatással a Mac OS X v10.5 vagy a Mac OS X v10.6 rendszerekre. A probléma elhárítását az Apple kezdeményezte.

Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a harmadik felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.

Közzététel dátuma: