Over de beveiligingsinhoud van de Mac OS X 10.4.7-update
Dit document beschrijft de beveiligingsinhoud van de Mac OS X-update 10.4.7, die kan worden gedownload en geïnstalleerd via Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Mac OS X v10.4.7-update
AFP
CVE-ID: CVE-2006-1468
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: map- en bestandsnamen kunnen openbaar gemaakt worden aan onbevoegde gebruikers
Beschrijving: door een probleem in AFP-server kunnen zoekresultaten namen bevatten van bestanden en mappen waartoe de gebruiker die de zoekopdracht uitvoert, geen toegang heeft. Hierdoor kan onbedoeld informatie openbaar gemaakt worden als de namen zelf gevoelige informatie zijn. Deze update verhelpt het probleem door te waarborgen dat zoekresultaten uitsluitend items bevatten waarvoor de gebruiker rechten heeft. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1989
Beschikbaar voor: Mac OS X Server v10.4.6
Impact: wanneer virusscans geconfigureerd zijn om automatisch bij te werken, kan een kwaadwillende databasemirror ervoor zorgen dat willekeurige code uitgevoerd wordt
Beschrijving: een probleem met de automatische virusdatabase van ClamAV's kan resulteren in een stackgebaseerde bufferoverloop. Een kwaadwillende of vervalste ClamAV-databasemirror kan ervoor zorgen dat willekeurige code uitgevoerd wordt met de rechten van ClamAV. De mailservice, virusscans en automatische updates van de virusdatabase zijn standaard uitgeschakeld. Deze update verhelpt het probleem door versie 0.88.2 van ClamAV te installeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
ImageIO
CVE-ID: CVE-2006-1469
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het vastlopen van programma's of het uitvoeren van willekeurige code
Beschrijving: door zorgvuldig een beschadigde TIFF-afbeelding te maken, kan een aanvaller een stackgebaseerde bufferoverloop activeren waardoor programma's kunnen vastlopen of willekeurige code uitgevoerd kan worden. Deze update verhelpt het probleem door aanvullende validatie van TIFF-afbeeldingen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
launchd
CVE-ID: CVE-2006-1471
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: lokale gebruikers kunnen verhoogde bevoegdheden krijgen
Beschrijving: door een kwetsbaarheid met betrekking tot een opmaaktekenreeks in setuid program launchd kan een geverifieerde lokale gebruiker willekeurige code uitvoeren met systeembevoegdheden. Het probleem is aanwezig in de logfaciliteit van launchd. Deze update verhelpt het probleem door aanvullende validatie uit te voeren bij het registreren van berichten. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Kevin Finisterre van DigitalMunition voor het melden van dit probleem.
OpenLDAP
CVE-ID: CVE-2006-1470
Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: externe aanvallers kunnen de Open Directory-server laten vastlopen
Beschrijving: door zorgvuldig een ongeldig LDAP-verzoek op te stellen, kan een externe aanvaller een assertie activeren in de OpenLDAP-server, met een denial-of-service als gevolg. Deze update verhelpt het probleem door het ongeldige verzoek te verwijderen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan het Mu Security Research Team voor het melden van dit probleem.