Over beveiligingsupdate 2007-002

This article has been archived and is no longer updated by Apple.

In dit document wordt beveiligingsupdate 2007-002 beschreven die gedownload en geïnstalleerd kan worden via de voorkeur Software Update of van Apple Downloads.

Ter bescherming van onze klanten worden er geen beveiligingskwesties openbaar gemaakt, besproken of bevestigd totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of versies beschikbaar zijn. Om meer te weten te komen over Apple's productbeveiliging, gaat u naar de website Apple productbeveiliging.

Voor informatie over de Apple PGP-sleutel voor productbeveiliging, raadpleegt u "Zo gebruikt u de Apple PGP-sleutel voor productbeveiliging."

Indien mogelijk worden er voor verdere informatie CVE-ID's gebruikt voor verwijzing naar deze kwetsbaarheden.

Om meer te lezen over beveiligingsupdates, gaat u naar "Apple beveiligingsupdates."

Beveiligingsupdate 2007-002

  • Finder

    CVE-ID: CVE-2007-0197

    Beschikbaar voor: Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Effect: Openen van een kwaadwillig vervaardigde schijfkopie kan crashen van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: Er bestaat een buffer overflow bij de behandeling van volumenamen door de Finder. Door een gebruiker te verleiden een kwaadwillig vervaardigde schijfkopie te openen, kan een aanvaller dit probleem activeren, wat kan leiden tot het crashen van het programma of een willekeurige uitvoering van code. Er is een bewijs (proof of concept) voor dit probleem gepubliceerd op de website 'maand van de Apple bugs' (MOAB-09-01-2007). Deze update pakt dit probleem aan door extra validatie van schijfkopieën uit te voeren. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem. Dank aan Kevin Finisterre van DigitalMunition voor het melden van deze kwestie.

  • iChat

    CVE-ID: CVE-2007-0614, CVE-2007-0710

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Effect: Aanvallers op een lokaal netwerk kunnen mogelijk iChat laten crashen.

    Omschrijving: Het opheffen van de verwijzing van de null pointer in iChat's Bonjour-berichtafhandeling zou een aanvaller op een lokaal netwerk in staat stellen de applicatie te laten crashen. Er is een bewijs (proof of concept) voor dit probleem op Mac OS X v10.4 gepubliceerd op de website 'maand van de Apple bugs' (MOAB-29-01-2007). Er bestaat een soortgelijk probleem op Mac OS X v10.3. Deze update pakt deze problemen aan door extra validatie van Bonjour-berichten uit te voeren.

  • iChat

    CVE-ID: CVE-2007-0021

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Effect: Bezoeken van kwaadwillige websites kan leiden tot het crashen van een applicatie of willekeurige uitvoering van code

    Omschrijving: De iChat AIM URL handler heeft een kwetsbaarheid gerelateerd aan de stringindeling. Door een gebruiker te verleiden een kwaadwillig vervaardigde AIM URL te benaderen, kan een aanvaller de overflow activeren, wat kan leiden tot het crashen van de applicatie of willekeurige uitvoering van code. Er is een bewijs (proof of concept) voor dit probleem gepubliceerd op de website 'maand van de Apple bugs' (MOAB-20-01-2007). Deze update pakt dit probleem aan door extra validatie van AIM URLs uit te voeren.

  • UserNotification

    CVE-ID: CVE-2007-0023

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Effect: Kwaadwillige lokale gebruikers kunnen mogelijk systeemrechten krijgen

    Omschrijving: Het proces UserNotificationCenter wordt uitgevoerd met verhoogde rechten binnen de context van een lokale gebruiker. Hiermee kan een kwaadwillige lokale gebruiker mogelijk systeembestanden overschrijven of wijzigen. Er is een programma dat dit probleem activeert gepubliceerd op de website 'maand van de Apple bugs' (MOAB-22-01-2007). Deze update pakt dit probleem aan door de groepsrechten te laten vallen zodra UserNotificationCenter gestart is.

 

Belangrijk: Vermelding van websites en producten van andere fabrikanten zijn is slechts van informatieve aard en vertegenwoordigen geen goedkeuring of aanbeveling door Apple. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, prestatie of het gebruik van informatie of producten die op websites van derden worden gevonden. Apple verschaft deze informatie alleen als dienst aan onze gebruikers. Apple heeft de informatie die wordt aangetroffen op dergelijke sites niet geverifieerd en doet geen uitlatingen over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten gevonden op het Internet, en Apple aanvaardt hiervoor geen aansprakelijkheid. Weest u zich er van bewust dat de websites van andere fabrikanten onafhankelijk zijn van Apple en dat Apple geen controle heeft over de inhoud van dergelijke websites. Neem contact op met de verkoper voor nadere informatie.

Published Date: 10 okt. 2016