A 2010-001 biztonsági frissítés ismertetése
Ez a dokumentum a 2010-001 biztonsági frissítést ismerteti, amelyet a Szoftverfrissítés segítségével vagy a Apple letöltési webhelyéről tölthet le és telepíthet.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
A 2010-001-es biztonsági frissítés
CoreAudio
CVE-azonosító: CVE-2010-0036
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulás az mp4 hangfájlok kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott mp4 hangfájlok lejátszása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Tobias Kleinnek (trapkit.de), hogy jelentette a problémát.
CUPS
CVE-azonosító: CVE-2009-3553
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni a cupsd esetén.
Leírás: Kétszeres felszabadítást előidéző hiba lépett fel a cupsd összetevőben. Az ártó szándékkal létrehozott nyomtatásifeladat-elkérés kiküldésével a támadó távolról szolgáltatásleállást tudott előidézni. Ezt a problémát úgy oldottuk meg, hogy a cupsd a leállást követően automatikusan újraindul. Ezt a problémát a kapcsolat használatának jobb nyomon követésével oldottuk meg.
Flash Player plug-in
CVE-azonosító: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Érintett terület: Több biztonsági rés volt az Adobe Flash Player bővítményben
Leírás: Több probléma is volt az Adobe Flash Player bővítménnyel, amelyek közül a legsúlyosabb váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezhette az ártó szándékkal létrehozott weboldal megtekintésekor. A Flash Player bővítmény 10.0.42-es frissítése megoldást kínál a problémára. További információkért keresse fel az Adobe webhelyét: http://www.adobe.com/support/security/bulletins/apsb09-19.html Köszönet egy anonim kutatónak és Damian Putnak (a TippingPoints Zero Day Initiative kezdeményezés keretében), Bing Liunak (Fortinet, FortiGuard Global Security Research Team), Will Dormann-nak (CERT), Manuel Caballerónak és a Microsoft Vulnerability Research (MSVR) csapatának.
ImageIO
CVE-azonosító: CVE-2009-2285
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Érintett terület: Az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges kódvégrehajtáshoz vezethetett
Leírás: Puffertúlcsordulással kapcsolatos probléma lépett fel a TIFF-képek ImageIO általi kezelése során. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. A Mac OS X 10.6 rendszerek esetén a Mac OS X v10.6.2 révén küszöbölhető ki a hiba.
Image RAW
CVE-azonosító: CVE-2010-0037
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DNG-képek megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulás a DNG-képek Image RAW általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott DNG-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönjük Jason Carrnak (Carnegie Mellon University Computing Services) a probléma jelentését.
OpenSSL
CVE-azonosító: CVE-2009-3555
A következőkhöz érhető el: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Érintett terület: A magas hálózati jogosultságú támadók adatokat tudtak rögzíteni vagy módosítani tudták a műveleteket az SSL által védett munkamenetekben.
Leírás: Közbeékelődéses sebezhetőség áll fenn az SSL és a TLS protokollban. További információ: http://www.phonefactor.com/sslgap Az IETF újraegyeztetési protokollja átalakítás alatt áll. Ez a frissítés preventív biztonsági intézkedésként letiltja az újraegyeztetést az OpenSSL-ben. Ez a probléma nem befolyásolja a Secure Transport megoldást használó szolgáltatásokat, mivel ez a protokoll nem támogatja az újraegyeztetést. Köszönet Steve Dispensának és Marsh Raynek (PhoneFactor, Inc.) a probléma jelentéséért.
Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a külső felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.