A 2010-001 biztonsági frissítés ismertetése

Ez a dokumentum a 2010-001 biztonsági frissítést ismerteti, amelyet a Szoftverfrissítés segítségével vagy a Apple letöltési webhelyéről tölthet le és telepíthet.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

A 2010-001-es biztonsági frissítés

• CoreAudio

  CVE-azonosító: CVE-2010-0036

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  Leírás: Puffertúlcsordulás az mp4 hangfájlok kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Tobias Kleinnek (trapkit.de), hogy jelentette a problémát.

• CUPS

  CVE-azonosító: CVE-2009-3553

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni a cupsd esetén.

  Leírás: Kétszeres felszabadítást előidéző hiba lépett fel a cupsd összetevőben. Az ártó szándékkal létrehozott nyomtatásifeladat-elkérés kiküldésével a támadó távolról szolgáltatásleállást tudott előidézni. Ezt a problémát úgy oldottuk meg, hogy a cupsd a leállást követően automatikusan újraindul. Ezt a problémát a kapcsolat használatának jobb nyomon követésével oldottuk meg.

• Flash Player plug-in

  CVE-azonosító: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Érintett terület: Több biztonsági rés volt az Adobe Flash Player bővítményben

  Leírás: Több probléma is volt az Adobe Flash Player bővítménnyel, amelyek közül a legsúlyosabb váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezhette az ártó szándékkal létrehozott weboldal megtekintésekor. A Flash Player bővítmény 10.0.42-es frissítése megoldást kínál a problémára. További információkért keresse fel az Adobe webhelyét: http://www.adobe.com/support/security/bulletins/apsb09-19.html Köszönet egy anonim kutatónak és Damian Putnak (a TippingPoints Zero Day Initiative kezdeményezés keretében), Bing Liunak (Fortinet, FortiGuard Global Security Research Team), Will Dormann-nak (CERT), Manuel Caballerónak és a Microsoft Vulnerability Research (MSVR) csapatának.

• ImageIO

  CVE-azonosító: CVE-2009-2285

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Érintett terület: Az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethetett

  Leírás: Puffertúlcsordulással kapcsolatos probléma lépett fel a TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. A Mac OS X 10.6 rendszerek esetén a Mac OS X v10.6.2 révén küszöbölhető ki a hiba.

• Image RAW

  CVE-azonosító: CVE-2010-0037

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DNG-képek megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

  Leírás: Puffertúlcsordulás a DNG-képek Image RAW általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott DNG-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Jason Carrnak (Carnegie Mellon University Computing Services) a probléma jelentését.

• OpenSSL

  CVE-azonosító: CVE-2009-3555

  A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Érintett terület: A magas hálózati jogosultságú támadók adatokat tudtak rögzíteni vagy módosítani tudták a műveleteket az SSL által védett munkamenetekben.

  Leírás: Közbeékelődéses sebezhetőség áll fenn az SSL és a TLS protokollban. További információ: http://www.phonefactor.com/sslgap Az IETF újraegyeztetési protokollja átalakítás alatt áll. Ez a frissítés preventív biztonsági intézkedésként letiltja az újraegyeztetést az OpenSSL-ben. Ez a probléma nem befolyásolja a Secure Transport megoldást használó szolgáltatásokat, mivel ez a protokoll nem támogatja az újraegyeztetést. Köszönet Steve Dispensának és Marsh Raynek (PhoneFactor, Inc.) a probléma jelentéséért.