A 2010-005-ös biztonsági frissítés ismertetése

Ez a dokumentum a 2010-005-ös biztonsági frissítést ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

2010-005-ös biztonsági frissítés

  • ATS

    CVE-azonosító: CVE-2010-1808

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Az ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentumok megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezethetett

    Leírás: Puffertúlcsordulási probléma lépett fel a beágyazott betűtípusok Apple Type Services általi kezelésében. Ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget. A határérték-ellenőrzés javításával kiküszöböltük a problémát.

  • CFNetwork

    CVE-azonosító: CVE-2010-1800

    A következőkhöz érhető el: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Egy magas hálózati jogosultságú támadó felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat szerezhetett meg

    Leírás: A CFNetwork engedélyezte a névtelen TLS/SSL-kapcsolatokat. Ezek lehetővé tették a közbeékelődő támadók számára a kapcsolatok átirányítását, és így a felhasználói hitelesítő adatokhoz és más bizalmas információkhoz való illetéktelen hozzáférést. Ez a probléma nem érinti a Mail alkalmazást. A problémát a névtelen TLS/SSL-kapcsolatok letiltásával küszöbölték ki. A probléma nem érinti a Mac OS X 10.6.3-as verziójánál korábbi rendszereket. A probléma jelentéséért köszönet jár Aaron Sigelnek (vtty.com), Jean-Luc Giraud-nak (Citrix), Tomas Bjurmannak (Sirius IT) és Wan-Teh Changnek (Google, Inc.).

  • ClamAV

    CVE-azonosító: CVE-2010-0098, CVE-2010-1311

    A következőhöz érhető el: Mac OS X Server 10.5.8, Mac OS X Server 10.6.4

    Érintett terület: Különböző biztonsági rések a ClamAV-ben

    Leírás: Több biztonsági rés lépett fel a ClamAV rendszerben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé. Ez a frissítés úgy hárítja el a hibákat, hogy a ClamAV-t a 0.96.1. verzióra frissíti. A ClamAV kizárólag a Mac OS X Server rendszerekkel kapható. További információkért keresse fel a ClamAV webhelyét: http://www.clamav.net/

  • CoreAudio

    CVE-azonosító: CVE-2010-1801

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezheti.

    Leírás: Puffertúlcsordulás állt fenn a PDF-fájlok CoreGraphics általi kezelésében. Az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást idézhetett elő, illetve tetszőleges programkód végrehajtására adhatott lehetőséget. A határérték-ellenőrzés javításával kiküszöböltük a problémát. Köszönet Rodrigo Rubira Brancónak (Check Point Vulnerability Discovery Team – VDT) a probléma jelentéséért.

  • libsecurity

    CVE-azonosító: CVE-2010-1802

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Egy magas hálózati jogosultságokkal rendelkező támadó olyan tartománynévre tehet szert, amely mindössze az utolsó néhány karakterében tér el egy legitim tartománytól, és így a tartomány gazdagépeinek adhatja ki magát

    Leírás: Hiba állt fenn a tanúsítvány gazdagépneveinek kezelésében. A három vagy több összetevőből álló gazdagépnevek utolsó karakterei nem voltak megfelelően összehasonlítva. A pontosan három összetevőt tartalmazó nevek esetén csak az utolsó karakter ellenőrzése maradt ki. Ha például egy magas hálózati jogosultságokkal rendelkező támadó megszerezte a www.example.con tanúsítványát, kiadhatta magát a www.example.com oldalnak. A hibát a tanúsítványok gazdagépneveinek hatékonyabb kezelésével küszöbölték ki. A probléma jelentéséért köszönet jár Peter Specknek.

  • PHP

    CVE-azonosító: CVE-2010-1205

    A következőkhöz érhető el: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Ártó szándékkal létrehozott PNG-képek betöltése váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezheti.

    Leírás: Puffertúlcsordulás állt fenn a PHP libpng könyvtárában. Az ártó szándékkal létrehozott PNG-képek betöltése váratlan alkalmazásleállást vagy tetszőleges programkód végrehajtását eredményezhette. A problémát a PHP libpng könyvtárának 1.4.3-as verzióra történő frissítésével küszöbölték ki. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

  • PHP

    CVE-azonosító: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    A következőkhöz érhető el: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Több biztonsági rést észleltek a PHP 5.3.1-ben

    Leírás: A PHP-t az 5.3.2 verzióra frissítették, hogy elhárítsák a biztonsági réseket, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását eredményezhette. További információk a PHP weboldalán találhatók: http://www.php.net/

  • Samba

    CVE-azonosító: CVE-2010-2063

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server v10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Érintett terület: Egy nem hitelesített távoli támadó szolgáltatásmegtagadást vagy tetszőleges programkód végrehajtását kezdeményezheti.

    Leírás: Puffertúlcsordulás állt fenn a Sambában. Egy nem hitelesített távoli támadó egy ártó szándékkal létrehozott csomag küldésével szolgáltatásmegtagadást vagy tetszőleges programkód végrehajtását kezdeményezhette. A problémát további hitelesítő csomagokkal hárították el a Sambában.

Fontos: A külső felek webhelyeinek és termékeinek megemlítése kizárólag tájékoztató célt szolgál, és nem értelmezhető sem jóváhagyásként, sem ajánlásként. Az Apple nem vállal felelősséget a külső felek webhelyein található információk vagy termékek választékáért, működéséért vagy használatáért. Az Apple ezt csak a felhasználók kényelme érdekében teszi elérhetővé. Az Apple nem tesztelte az ilyen webhelyeken található információkat, és nem tesz nyilatkozatot a pontosságukról vagy a megbízhatóságukról. Az interneten található információk vagy termékek használata kockázatokkal járhat, és az Apple nem vállal felelősséget ezekért. Vegye figyelembe, hogy a harmadik felek webhelyei függetlenek az Apple-től, és az Apple nincs ráhatással az adott webhely tartalmára. További információkért vegye fel a kapcsolatot a gyártóval.

Közzététel dátuma: