Over de beveiligingsinhoud van beveiligingsupdate 2008-008 / Mac OS X v10.5.6

In dit document wordt de beveiligingsinhoud beschreven van beveiligingsupdate 2008-008 / Mac OS X v10.5.6. Deze versie kan worden gedownload en geïnstalleerd via het voorkeurenpaneel Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: het bekijken of downloaden van een pdf-bestand met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot een denial of service

    Beschrijving: er kan een oneindige lus optreden in de verwerking van ingebedde lettertypen in pdf-bestanden door de server van Apple Type Services. Het bekijken of downloaden van een pdf-bestand met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot een denial of service. Deze update lost het probleem op door aanvullende validatie van ingesloten lettertypen uit te voeren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Michael Samarin en Mikko Vihonen van Futurice Ltd. voor het melden van dit probleem.

  • BOM

    CVE-ID: CVE-2008-4217

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: het downloaden of bekijken van een kwaadwillig vervaardigd CPIO-archief kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma

    Beschrijving: er is een probleem met ondertekendheid in de verwerking van CPIO-headers door BOM wat een overloop van een stackbuffer tot gevolg kan hebben. Het downloaden of bekijken van een kwaadwillig vervaardigd CPIO-archief kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma. Deze update lost het probleem op door aanvullende validatie van CPIO-headers uit te voeren. Met dank aan Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van overloop van een heapbuffer bij de verwerking van kleurruimten binnen CoreGraphics. Het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van inloggegevens

    Beschrijving: Safari staat websites toe cookies in te stellen voor land specifieke domeinen op het hoogste niveau, waardoor een externe aanvaller een sessiefixatie-aanval kan uitvoeren en de inloggegevens van een gebruiker ka onderscheppen. Deze update lost het probleem op door aanvullende validatie van domeinnamen uit te voeren. Met dank aan Alexander Clauss van iCab.de voor het melden van dit probleem.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: een poging om onveilig gedownloade inhoud uit te voeren, wordt niet tegengehouden met een waarschuwing

    Beschrijving: Mac OS X biedt een voorziening voor het valideren van downloads die kan waarschuwen voor potentieel onveilige bestanden. Programma's zoals Safari gebruiken de voorziening om gebruikers te waarschuwen als ze bestanden gaan uitvoeren die zijn gemarkeerd als potentieel onveilig. Met deze update wordt de lijst met potentieel onveilige bestandstypen uitgebreid. Zo wordt het type inhoud toegevoegd voor bestanden met uitvoerbare machtigingen en geen specifieke programmakoppeling. Deze bestanden zijn potentieel onveilig aangezien ze worden uitgevoerd in Terminal en hun inhoud wordt uitgevoerd als commando's. Hoewel deze bestanden niet automatisch worden uitgevoerd, kunnen ze leiden tot het uitvoeren van willekeurige code als ze handmatig worden geopend. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: er bestaan meerdere kwetsbaarheden in de Adobe Flash Player-plugin

    Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan de meest ernstige kunnen leiden tot het uitvoeren van willekeurige code bij het bekijken van een kwaadwillig vervaardigde website. De problemen worden opgelost door de Flash Player-plugin bij te werken naar versie 9.0.151.0. Meer informatie is beschikbaar op de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: een lokale gebruiker kan systeembevoegdheden verkrijgen

    Beschrijving: er zijn problemen met de overloop van hele getallen binnen de systeemaanroepen i386_set_ldt en i386_get_ldt, waardoor een lokale gebruiker willekeurige code kan uitvoeren met systeembevoegdheden. Deze update verhelpt het probleem door verbeterde bereikcontrole. Deze problemen zijn niet van toepassing op PowerPC-systemen. Met dank aan Richard van Eeden van IOActive, Inc. voor het melden van deze problemen.

  • Kernel

    CVE-ID: CVE-2008-4219

    Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: het uitvoeren van een uitvoerbaar bestand dat dynamische bibliotheken in een NFS-share koppelt, kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten

    Beschrijving: er kan een oneindige lus ontstaan als er een uitzondering optreedt in een programma dat zich bevindt in een NFS-share. Hierdoor kan het systeem onverwacht worden afgesloten. Deze update verhelpt het probleem door een verbeterde verwerking van uitzonderingen. Met dank aan Ben Loer van Princeton University voor het melden van dit probleem.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: programma's die de API inet_net_pton gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma

    Beschrijving: er is sprake van een overloop van hele getallen in de API inet_net_pton van Libsystem, wat het uitvoeren van willekeurige code tot gevolg kan hebben of de onverwachte beëindiging van het programma dat de API gebruikt. Deze update verhelpt het probleem door verbeterde bereikcontrole. Deze API wordt normaal gesproken niet aangeroepen met niet-vertrouwde gegevens en er zijn dan ook geen gevallen bekend waarin deze kwetsbaarheid is misbruikt. Deze update is bedoeld om potentiële aanvallen tegen te houden tegen een programma dat deze API gebruikt.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: programma's die de API strptime gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging in de API strptime van Libsystem. Het parseren van een kwaadwillig vervaardigde datumreeks kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma. Deze update verhelpt het probleem door verbeterde geheugentoewijzing. Met dank aan Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: programma's die de API strfmon gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma

    Beschrijving: er is sprake van overlopen van hele getallen in de implementatie van strfmon door Libsystem. Een programma dat strfmon aanroept met grote waarden van bepaalde velden met hele getallen in het argument voor het opmaken van de tekenreeks kan onverwacht worden beëindigd of het uitvoeren van willekeurige code tot gevolg hebben. Deze update verhelpt het probleem door verbeterde bereikcontrole.

  • Managed Client

    CVE-ID: CVE-2008-4237

    Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: de beheerde instellingen van de schermbeveiliging worden niet toegepast

    Beschrijving: de methode waarmee de software op een beheerd clientsysteem per-host configuratiegegevens installeert, slaagt er niet altijd in het systeem correct te identificeren. Bij een onjuist geïdentificeerd systeem worden per-host instellingen niet toegepast, waaronder de vergrendeling van de schermbeveiliging. Deze update lost het probleem op door de beheerde client de juiste systeemidentificatie te laten gebruiken. Dit probleem doet niet zich voor met systemen met ingebouwd ethernet. Met dank aan John Barnes van ESRI en Trevor Lalish-Menagh van Tamman Technologies, Inc. voor het melden van dit probleem.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5

    Impact: een externe aanvaller kan een denial of service veroorzaken als internetdeling is ingeschakeld

    Beschrijving: er kan een oneindige lus ontstaan bij de verwerking van TCP-pakketten in natd. Door het verzenden van een kwaadwillig vervaardigd TCP-pakket kan een externe aanvaller een denial of service veroorzaken als internetdeling is ingeschakeld. Deze update lost het probleem op door aanvullende validatie van TCP-pakketten uit te voeren. Met dank aan Alex Rosenberg van Ohmantics en Gary Teter van Paizo Publishing voor het melden van dit probleem.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Beschikbaar voor: Mac OS X Server v10.5 tot en met v10.5.5

    Impact: een externe aanvaller kan toegang krijgen tot de administratieve functies van Podcast Producer

    Beschrijving: er is een probleem met het omzeilen van authenticatie op de server van Podcast Producer waardoor een onbevoegde gebruiker toegang kan krijgen tot administratieve functies van de server. Deze update lost het probleem op door een verbeterde verwerking van toegangsbeperkingen. Podcast Producer is geïntroduceerd in Mac OS X Server v10.5.

  • CoreGraphics

    CVE-ID: CVE-2008-4224

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.6

    Impact: het openen van een kwaadwillig vervaardigd ISO-bestand kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten

    Beschrijving: er is sprake van verschillende problemen met geheugenbeschadiging bij de verwerking van pdf-bestanden door CoreGraphics. Het openen van een kwaadwillig vervaardigd ISO-bestand kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten. Deze update lost het probleem op door verbeterde invoervalidatie. Met dank aan Mauro Notarianni van PCAX Solutions voor het melden van dit probleem.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: