Over de beveiligingsinhoud van Mac OS X 10.4.9 en beveiligingsupdate 2007-003

This article has been archived and is no longer updated by Apple.

In dit document wordt de beveiligingsinhoud van het Mac OS X 10.4.9 en beveiligingsupdate 2007-003 beschreven die gedownload en geïnstalleerd kan worden via de voorkeur Software Update of van Apple Downloads.

Ter bescherming van onze klanten worden er geen beveiligingskwesties openbaar gemaakt, besproken of bevestigd totdat er een volledig onderzoek heeft plaatsgevonden en de benodigde patches of versies beschikbaar zijn. Om meer te weten te komen over Apple's productbeveiliging, gaat u naar de website Apple productbeveiliging.

Voor informatie over de Apple PGP-sleutel voor productbeveiliging, raadpleegt u "Zo gebruikt u de Apple PGP-sleutel voor productbeveiliging."

Indien mogelijk worden er voor verder informatie CVE-ID's gebruikt voor verwijzing naar deze kwetsbaarheden.

Om meer te lezen over beveiligingsupdates, gaat u naar "Apple beveiligingsupdates."

Opmerking over installatie

Software Update zal de update aanbieden die geschikt is voor uw systeemconfiguratie. U hebt er slechts één nodig. Beveiligingsupdate 2007-003 is te installeren op Mac OS X v10.3.9 en Mac OS X Server v10.3.9 systemen.

Mac OS X v10.4.9 bevat beveiligingsoplossingen die ook aanwezig zijn in beveiligingsupdate 2007-003 en deze update is te installeren op Mac OS X v10.4 of hoger, evenals op Mac OS X Server v10.4 of nieuwere systemen.

Beveiligingsupdate 2007-003 / Mac OS X v10.4.9

  • ColorSync

    CVE-ID: CVE-2007-0719

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Bekijken van een kwaadwillig vervaardigde afbeelding met een ingebedde ColorSync kan onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: Er bestaat een stack buffer-overflow bij de behandeling van ingebedde ColorSync-profielen. Door een gebruiker te verleiden een kwaadwillig vervaardigde afbeelding te openen, kan een aanvaller de overflow activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze update verhelpt dit probleem door extra validatie van ColorSync-profielen uit te voeren. Dank aan Tom Ferris van Security-Protocols voor het melden van deze kwestie.

  • CoreGraphics

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Door het bekijken van een beschadigd PDF-document kan het programma gaan hangen

    Omschrijving: CoreGraphics is bijgewerkt zodat het probleem waardoor het programma kan gaan hangen is opgelost. Dit probleem staat beschreven op de website 'Maand van de Apple bugs', MOAB-06-01-2007.

  • Crash Reporter

    CVE-ID: CVE-2007-0467

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Crash Reporter verleent lokale beheerder mogelijk systeemrechten

    Omschrijving: Crash Reporter gebruikt een admin-writable systeemdirectory om logboeken van processen die onverwacht beëindigd zijn op te slaan. Een kwaadwillig proces dat wordt uitgevoerd als beheerder kan er voor zorgen dat deze logboeken als root worden geschreven naar willekeurige bestanden, waardoor opdrachten met verhoogde systeemrechten zouden kunnen worden uitgevoerd. Dit probleem staat beschreven op de website 'Maand van de Apple bugs' (MOAB-28-01-2007). Deze update verhelpt dit probleem door extra validatie uit te voeren alvorens naar logbestanden te schrijven.

  • CUPS

    CVE-ID: CVE-2007-0720

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Externe aanvallers kunnen weigering van service veroorzaken tijdens het tot stand brengen van de SSL-communicatie

    Omschrijving: Een gedeeltelijk tot stand gebrachte SSL-verbinding met de CUPS-service kan het afhandelen van andere aanvragen voorkomen totdat er verbinding is gemaakt. Deze update lost dit probleem op door time-outs in te voeren tijdens SSL-onderhandeling.

  • Schijfkopieën

    CVE-ID: CVE-2007-0721

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Openen van een kwaadwillig vervaardigde schijfkopie kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: Schijfkopieën-helper heeft een kwetsbaarheid op het gebied van geheugenbeschadiging. Door een gebruiker te verleiden een kwaadwillig vervaardigde gecomprimeerde schijfkopie te openen, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze update verhelpt dit probleem door extra validatie van schijfkopieën uit te voeren.

  • Schijfkopieën

    CVE-ID: CVE-2007-0722

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Openen van een kwaadwillig vervaardigde AppleSingleEncoding schijfkopie kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: De AppleSingleEncoding afhandeling voor schijfkopieën heeft een integer overflow kwetsbaarheid. Door een lokale gebruiker te verleiden een kwaadwillig vervaardigde schijfkopie te openen, kan een aanvaller de overflow activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze update pakt dit probleem aan door extra validatie van AppleSingleEncoding schijfkopieën uit te voeren.

  • Schijfkopieën

    CVE-ID: CVE-2006-6061, CVE-2006-6062, CVE-2006-5679, CVE-2007-0229, CVE-2007-0267, CVE-2007-0299

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

    Effect: Downloaden van een kwaadwillig vervaardigde schijfkopie kan het onverwacht afsluiten van het systeem of uitvoering van code tot gevolg hebben.

    Omschrijving: Er bestaan verscheidene kwetsbaarheden bij het verwerken van schijfkopieën die kunnen leiden tot het onverwacht afsluiten van systeemactiviteiten of willekeurige uitvoering van code. Deze zijn beschreven op de websites 'Maand van de kernel bugs' en 'Maand van de Apple bugs' (MOKB-03-11-2006, MOKB-20-11-2006, MOKB-21-11-2006, MOAB-10-01-2007, MOAB-11-01-2007 and MOAB-12-01-2007). Omdat een schijfkopie automatisch geactiveerd kan worden bij het bezoeken van websites, kan dit ertoe leiden dat een kwaadwillige website een denial of service veroorzaakt. Deze update verhelpt dit probleem door extra validatie van gedownloade schijfkopieën uit te voeren alvorens ze te activeren.

  • DS Plug-Ins

    CVE-ID: CVE-2007-0723

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Ongeautoriseerde LDAP-gebruikers kunnen mogelijk het lokale root-wachtwoord wijzigen

    Omschrijving: Wegens een implementatiefout in de DirectoryService kan een ongeautoriseerde LDAP-gebruiker het lokale root-wachtwoord wijzigen. Om dit probleem op te lossen is het verificatiemechanisme in DirectoryService gerepareerd.

  • Flash Player

    CVE-ID: CVE-2006-5330

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Het afspelen van kwaadwillig vervaardigde Flash-inhoud zou een HTTP request splitting-aanval kunnen laten plaatsvinden

    Omschrijving: Adobe Flash Player is bijgewerkt naar versie 9.0.28.0 om een mogelijke kwetsbaarheid te verhelpen waardoor HTTP request splitting-aanvallen uitgevoerd kunnen worden. Dit probleem wordt beschreven als APSB06-18 op de Adobe-website op http://www.adobe.com/support/security/

  • GNU Tar

    CVE-ID: CVE-2006-0300, CVE-2006-6097

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Meerdere kwetsbaarheden in GNU Tar waarvan de ernstigste willekeurige uitvoering van code is

    Omschrijving: GNU Tar is bijgewerkt van versie 1.14 naar 1.16.1. Verder informatie is verkrijgbaar via de GNU-website ophttp://www.gnu.org/software/tar/

  • HFS

    CVE-ID: CVE-2007-0318

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Verwijderen van een bestand uit een kwaadwillig vervaardigd geactiveerd bestandsysteem kan leiden tot denial of service

    Omschrijving: Een HFS+ bestandsysteem in een geopende schijfkopie kan op zo'n manier worden geconstrueerd dat er een kernel panic wordt geactiveerd bij het proberen een bestand uit een geopend bestandsysteem te verwijderen. Dit probleem staat beschreven op de website 'Maand van de Apple bugs' (MOAB-13-11-2006). Deze update verhelpt dit probleem door extra validatie van het HFS+ bestandsysteem uit te voeren.

  • HID-familie

    CVE-ID: CVE-2007-0724

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Activiteiten op het console-toetsenbord worden zichtbaar voor andere gebruikers op het lokale systeem

    Omschrijving: Wegens onvoldoende controles in de IOKit HID-interface kunnen willekeurige ingelogde gebruikers console-toetsinvoer bemachtigen, waaronder wachtwoorden en andere gevoelige gegevens. Deze update lost het probleem op door activiteiten op het HID-apparaat te beperken to processen van de huidige consolegebruiker zelf. Dank aan Andrew Garber van de University of Victoria, Alex Harper en Michael Evans voor het melden van deze kwestie.

  • ImageIO

    CVE-ID: CVE-2007-1071

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Bekijken van een kwaadwillig vervaardigd GIF-bestand kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: Het afhandelingsproces van GIF-bestanden heeft een integer overflow kwetsbaarheid. Door een gebruiker te verleiden een kwaadwillig vervaardigde afbeelding te openen, kan een aanvaller de overflow activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze update verhelpt dit probleem door extra validatie van GIF-bestanden uit te voeren. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem. Dank aan Tom Ferris van Security-Protocols voor het melden van deze kwestie.

  • ImageIO

    CVE-ID: CVE-2007-0733

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Bekijken van een kwaadwillig vervaardigde RAW-afbeelding kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: Er is een probleem met geheugenbeschadiging in het afhandelingsproces van RAW-afbeeldingen. Door een gebruiker te verleiden een kwaadwillig vervaardigde afbeelding te openen, kan een aanvaller het probleem activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze verhelpt pakt dit probleem door extra validatie van RAW-afbeeldingen uit te voeren. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem. Dank aan Luke Church van het Computer Laboratory, University of Cambridge, voor het melden van deze kwestie.

  • Kernel

    CVE-ID: CVE-2006-5836

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Kwaadwillige lokale gebruikers kunnen mogelijk een denial of service-situatie veroorzaken

    Omschrijving: Gebruik van de fpathconf() systeemoproep bij bepaalde bestandstypes resulteert in een kernel panic. Dit probleem staat beschreven op de website 'Maand van de kernel bugs' (MOKB-09-11-2006). Deze update verhelpt het probleem door verbeterde afhandeling van alle door de kernel gedefinieerde bestandstypen. Dank aan Ilja van Sprundel voor het melden van deze kwestie.

  • Kernel

    CVE-ID: CVE-2006-6129

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Het uitvoeren van een kwaadwillig vervaardigde Universal Mach-O binary kan onverwacht afsluiten van de systeemactiviteiten of willekeurige uitvoering van code met verhoogde rechten tot gevolg hebben.

    Omschrijving: Het laden van Universal Mach-O binaries heeft een integer overflow kwetsbaarheid. Hiermee kan een kwaadwillige lokale gebruiker mogelijk een kernel panic veroorzaken of systeemrechten verkrijgen. Dit probleem staat beschreven op de website 'Maand van de kernel bugs' (MOKB-26-11-2006). Deze update verhelpt dit probleem door extra validatie van Universal binaries uit te voeren.

  • Kernel

    CVE-ID: CVE-2006-6173

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Door het uitvoeren van een kwaadwillig vervaardigd programma kan het systeem gaan hangen

    Omschrijving: Met de systeemoproep shared_region_make_private_np() kan een programma een grote toewijzing van kerngeheugen aanvragen. Hiermee kan een kwaadwillige lokale gebruiker mogelijk het systeem laten hangen. Dit probleem laat geen integer overflow plaatsvinden en het kan niet leiden tot willekeurige uitvoering van code. Dit probleem staat beschreven op de website 'Maand van de kernel bugs' (MOKB-28-11-2006). Deze update verhelpt dit probleem door extra validatie van de argumenten die worden doorgegeven aan shared_region_make_private_np().

  • MySQL Server

    CVE-ID: CVE-2006-1516, CVE-2006-1517, CVE-2006-2753, CVE-2006-3081, CVE-2006-4031, CVE-2006-4226, CVE-2006-3469

    Beschikbaar voor: Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Meerdere kwetsbaarheden in MySQL waarvan de ernstigste willekeurige uitvoering van code is

    Omschrijving: MySQL is bijgewerkt van versie 4.1.13 tot 4.1.22. Verdere informatie kunt u krijgen via de MySQL website op http://dev.mysql.com/doc/refman/4.1/en/news-4-1-x.html

  • Netwerkvoorzieningen

    CVE-ID: CVE-2006-6130

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Kwaadwillige lokale gebruikers kunnen mogelijk onverwacht afsluiten van de systeemactiviteiten of willekeurige uitvoering van code veroorzaken met verhoogde rechten.

    Omschrijving: De AppleTalk protocol-afhandeling heeft een probleem met geheugenbeschadiging. Hiermee zou een kwaadwillige lokale gebruiker een kernel panic kunnen veroorzaken of systeemrechten verkrijgen. Dit probleem staat beschreven op de website 'Maand van de kernel bugs' (MOKB-27-11-2006). Deze update verhelpt dit probleem door extra validatie van de datastructuren voor invoergegevens uit te voeren.

  • Netwerkvoorzieningen

    CVE-ID: CVE-2007-0236

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Kwaadwillig vervaardigde AppleTalk-aanvragen kunnen leiden tot lokale denial of service of willekeurige uitvoering van code

    Omschrijving: De AppleTalk protocol afhandeling heeft een kwetsbaarheid met de heap-bufferoverflow. Door een kwaadwillig vervaardigde aanvraag te verzenden, kan een lokale gebruiker de overflow activeren, wat kan leiden tot denial of service of willekeurige uitvoering van code. Dit staat beschreven op de website 'Maand van de Apple bugs' (MOAB-14-01-2007). Deze update verhelpt dit probleem door extra validatie van de invoergegevens uit te voeren.

  • OpenSSH

    CVE-ID: CVE-2007-0726

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Een externe aanvaller kan een bestaand vertrouwen tussen SSH-hosts vernietigen door het opnieuw laten genereren van SSH-codesleutels

    Omschrijving: SSH-sleutels worden op een server aangemaakt bij het tot stand brengen van de eerste SSH-verbinding. Een aanvaller die verbinding maakt met de server voordat SSH klaar is met het aanmaken van de sleutels zou dan het opnieuw aanmaken van sleutels kunnen afdwingen. Dit kan leiden tot een denial of service van processen die afhangen van een vertrouwensbasis met de server. Systemen waarop SSH reeds actief is en welke ten minste eenmaal opnieuw zijn opgestart hebben geen last van dit probleem. Dit probleem wordt opgelost door het genereren van SSH-sleutels te verbeteren. Dit probleem komt specifiek voor bij de Apple implementatie van OpenSSH. Dank aan Jeff Mccune van de Ohio State University voor het melden van deze kwestie.

  • OpenSSH

    CVE-ID: CVE-2006-0225, CVE-2006-4924, CVE-2006-5051, CVE-2006-5052

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Meerdere kwetsbaarheden in OpenSSH waarvan de ernstigste willekeurige uitvoering van code is

    Omschrijving: OpenSSH is bijgewerkt naar versie 4.5. Verder informatie kunt u vinden via de OpenSSH-website op http://www.openssh.org/txt/release-4.5.

  • Afdrukken

    CVE-ID: CVE-2007-0728

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Een ongeautoriseerde lokale gebruiker kan willekeurige bestanden met systeemrechten overschrijven

    Omschrijving: Er kunnen tijdens het initialiseren van een USB-printer onbeveiligde bestandsactiviteiten plaatsvinden. Een aanvaller kan gebruik maken van dit probleem om willekeurige bestanden op het systeem aan te maken of te overschrijven. Deze update lost het probleem op door het initialisatieproces van de printer te verbeteren.

  • QuickDraw Manager

    CVE-ID: CVE-2007-0588

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Openen van een kwaadwillig vervaardigde PICT-afbeelding kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: De PICT-afbeeldingsverwerking in QuickDraw heeft een kwetsbaarheid betreffende heap-bufferoverflow. Door een gebruiker te verleiden een kwaadwillig vervaardigde afbeelding te openen, kan een aanvaller de overflow activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Deze update verhelpt dit probleem door extra validatie van PICT-bestanden uit te voeren. Dank aan Tom Ferris van Security-Protocols en Mike Price of McAfee AVERT Labs voor het melden van deze kwestie.

  • QuickDraw Manager

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Door het openen van een beschadigde PICT-afbeelding kan het programma onverwacht afsluiten

    Omschrijving: QuickDraw Manager is bijgewerkt zodat het probleem waardoor het programma onverwacht afsluit is opgelost. Dit probleem staat beschreven op de website 'Maand van de Apple bugs', MOAB-23-01-2007. Dit probleem kan niet leiden tot willekeurige uitvoering van code.

  • servermgrd

    CVE-ID: CVE-2007-0730

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Externe aanvallers krijgen mogelijk toegang tot Server Manager zonder geldige legitimatie

    Omschrijving: Wegens een probleem bij het valideren van de geldigheid van de legitimatie in Server Manager zou een externe aanvaller de systeemconfiguratie kunnen veranderen. Deze update verhelpt dit probleem door extra validatie van geldige legitimatie uit te voeren.

  • SMB File Server

    CVE-ID: CVE-2007-0731

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Een gebruiker met schrijf-toegang tot een SMB-share kan denial of service of willekeurige uitvoering van code veroorzaken

    Omschrijving: De Samba-module die specifiek voor Apple is heeft een kwetsbaarheid gerelateerd aan de stack-bufferoverflow. Een bestand met een te lange ACL kan de overflow activeren, wat kan leiden tot denial of service of willekeurige uitvoering van code. Deze update verhelpt dit probleem door extra validatie van ACLs uit te voeren. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem. Dank aan Cameron Kay van Massey University, Nieuw-Zeeland voor het melden van deze kwestie.

  • Software Update

    CVE-ID: CVE-2007-0463

    Beschikbaar voor: Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Openen van een kwaadwillig vervaardigd Software Update Catalog-bestand kan het onverwacht afsluiten van het programma of willekeurige uitvoering van code tot gevolg hebben.

    Omschrijving: De Software Update heeft een kwetsbaarheid gerelateerd aan de stringindeling. Door een gebruiker te verleiden een Software Update Catalog-bestand te downloaden en te openen, kan een aanvaller de overflow activeren, wat kan leiden tot het onverwacht afsluiten van het programma of willekeurige uitvoering van code. Dit staat beschreven op de website 'Maand van de Apple bugs' (MOAB-24-01-2007). Deze update lost het probleem op door documentbindingen voor Software Update Catalogs te verwijderen. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem. Dank aan Kevin Finisterre van DigitalMunition voor het melden van deze kwestie.

  • sudo

    CVE-ID: CVE-2005-2959

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 t/m Mac OS X v10.4.8, Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Een plaatselijke gebruiker met sudo-toegang tot een bash-script kan willekeurige opdrachten uitvoeren met verhoogde rechten

    Omschrijving: Een door de gebruiker aangepaste sudo-configuratie kan toelaten dat omgevingsvariabelen doorgegeven worden aan het programma dat uitgevoerd wordt als bevoorrechte gebruiker. Als sudo zo is geconfigureerd dat het een gebruiker die normaliter geen rechten heeft een bepaald bash-script laat uitvoeren met verhoogde rechten, kan die gebruiker een willekeurige code uitvoeren met verhoogde rechten. Systemen met de standaard sudo-configuratie hebben deze kwetsbaarheid niet. Het probleem wordt verholpen door sudo bij te werken naar 1.6.8p12. Verdere informatie kunt u vinden via de sudo-website op http://www.sudo.ws/sudo/current.html

  • WebLog

    CVE-ID: CVE-2006-4829

    Beschikbaar voor: Mac OS X Server v10.4 t/m Mac OS X Server v10.4.8

    Effect: Een externe aanvaller kan cross-site scripting aanvallen uitvoeren via Blojsom

    Omschrijving: Blojsom heeft een cross-site scripting kwetsbaarheid. Hiermee kunnen externe aanvallers JavaScript in de bloginhoud inbrengen die uitgevoerd wordt in het domein van de Blojsom- server. Deze update verhelpt dit probleem door extra validatie van de gebruikersinvoergegevens uit te voeren. Computersystemen vóór Mac OS X v10.4 hebben geen last van dit probleem

Belangrijk: Vermelding van websites en producten van andere fabrikanten zijn is slechts van informatieve aard en vertegenwoordigen geen goedkeuring of aanbeveling door Apple. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, prestatie of het gebruik van informatie of producten die op websites van derden worden gevonden. Apple verschaft deze informatie alleen als dienst aan onze gebruikers. Apple heeft de informatie die wordt aangetroffen op dergelijke sites niet geverifieerd en doet geen uitlatingen over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten gevonden op het Internet, en Apple aanvaardt hiervoor geen aansprakelijkheid. Weest u zich er van bewust dat de websites van andere fabrikanten onafhankelijk zijn van Apple en dat Apple geen controle heeft over de inhoud van dergelijke websites. Neem contact op met de verkoper voor nadere informatie.

Published Date: 10 okt. 2016