De beveiligingsinhoud van beveiligingsupdate 2009-003 / Mac OS X v10.5.8

In dit document wordt de beveiligingsinhoud van de beveiligingsupdate 2009-003 / Mac OS X v10.5.8 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2009-003 / Mac OS X v10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het decomprimeren van kwaadwillig vervaardigde gegevens kan leiden tot onverwachte beëindiging van een app

    Beschrijving: er treedt ongeoorloofde geheugentoegang in bzip2 op. Het openen van een kwaadwillig vervaardigd gecomprimeerd bestand kan leiden tot onverwachte beëindiging van een app. Deze update verhelpt het probleem door bzip2 bij te werken naar versie 1.0.5. Verdere informatie is beschikbaar via de bzip2-website op http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: een kwaadwillige vervaardigde website kan de weergegeven URL van een website in een certificaatwaarschuwing controleren

    Beschrijving: als Safari naar een website wordt geleid via een 302-doorverwijzing en je ziet een certificaatwaarschuwing, dan bevat de waarschuwing de originele website-URL en niet de URL van de huidige website. Zo kan een kwaadwillig vervaardigde website die wordt bezocht via een open doorverwijzing op een door de gebruiker vertrouwde website, de weergegeven website-URL controleren in een certificaatwaarschuwing. Dit probleem is verholpen door de retournering van de correcte URL in het onderliggende CFNetwork-niveau. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Kevin Day van Your.Org, en Jason Mueller van Indiana University voor het melden van dit probleem.

  • ColorSync

    CVE-ID: CVE-2009-1726

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van een app of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij de verwerking van afbeeldingen met een ingebed ColorSync-profiel. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van ColorSync-profielen uit te voeren. Met dank aan Chris Evans van het Google Security Team voor het melden van dit probleem.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: gebruikers worden niet gewaarschuwd voordat ze bepaalde mogelijk onveilige inhoudstypen openen

    Beschrijving: met deze update wordt de systeemlijst met inhoudstypen die worden gemarkeerd als mogelijk onveilig onder bepaalde omstandigheden uitgebreid, bijvoorbeeld wanneer de bestanden van een webpagina worden gedownload. Hoewel deze inhoudstypen niet automatisch worden gestart, kunnen ze leiden tot het uitvoeren van een kwaadwillige JavaScript-payload als ze handmatig worden geopend. Deze update verbetert het vermogen van het systeem om gebruikers te waarschuwen voor de verwerking van inhoudstypen die worden gebruikt door Safari. Met dank aan Brian Mastenbrook en Clint Ruoho van Laconic Security voor het melden van dit probleem.

  • Dock

    CVE-ID: CVE-2009-0151

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: een persoon met fysieke toegang tot een vergrendeld systeem kan Multi-Touch-gebaren met vier vingers gebruiken

    Beschrijving: de schermbeveiliging blokkeert geen Multi-Touch-gebaren met vier vingers. Hierdoor kan een persoon met fysieke toegang tot een vergrendeld systeem apps beheren of Expose gebruiken. Deze update verhelpt het probleem door Multi-Touch-gebaren gepast te blokkeren wanneer de schermbeveiliging geactiveerd is. Dit probleem is alleen van invloed op systemen met een Multi-Touch-stuurvlak.

  • Image RAW

    CVE-ID: CVE-2009-1728

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde CANON RAW-afbeelding kan leiden tot onverwachte beëindiging van een app of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een stackbufferoverloop op bij de verwerking van Canon RAW-afbeeldingen. Het bekijken van een kwaadwillig vervaardigde CANON RAW-afbeelding kan leiden tot onverwachte beëindiging van een app of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Voor Mac OS X v10.4-systemen wordt dit probleem reeds verholpen met Digital Camera RAW Compatibility Update 2.6. Met dank aan Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-1722

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij de verwerking van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door OpenEXR bij te werken naar versie 1.6.1. Met dank aan Lurene Grenier van SourceFire VRT en Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-1721

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code.

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door een juiste geheugeninitialisatie en verdere controle van OpenEXR-afbeeldingen. Met dank aan Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code.

    Beschrijving: er treden meerdere overlopen bij gehele getallen op bij de verwerking van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het weergeven van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van de app of uitvoeren van willekeurige code.

    Beschrijving: er treedt een bufferoverloop op bij de verwerking van EXIF-metagegevens door ImageIO. Het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van de app of uitvoeren van willekeurige code.

    Beschrijving: er bestaat een probleem met een niet-geïnitialiseerde aanwijzer bij de verwerking van PNG-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van de app of uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra validatie van PNG-afbeeldingen uit te voeren. Met dank aan Tavis Ormandy van het Google Security Team voor het melden van dit probleem.

  • Kernel

    CVE-ID: CVE-2009-1235

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een lokale gebruiker kan systeemrechten verkrijgen

    Beschrijving: er treedt een implementatieprobleem op bij de verwerking van fcntl-systeemaanroepen door het kernel. Een lokale gebruiker kan het kernel-geheugen overschrijven en een willekeurige code met systeemrechten uitvoeren. Deze update verhelpt het probleem door een verbeterde verwerking van fcntl-systeemaanroepen. Met dank aan Razvan Musaloiu-E. van Johns Hopkins University, HiNRG voor het melden van dit probleem.

  • launchd

    CVE-ID: CVE-2009-2190

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het openen van vele verbindingen met een inetd-gebaseerde launchd-service kan leiden tot een denial-of-service.

    Beschrijving: het openen van vele verbindingen met een inetd-gebaseerde launchd-service kan leiden tot het weigeren van binnenkomende verbindingen voor die service totdat het volgende systeem herstart. Deze update lost het probleem op door verbeterde foutafhandeling.

  • Login Window

    CVE-ID: CVE-2009-2191

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: een probleem met een opmaaktekenreeks in Inlogvenster kan leiden tot het onverwacht afsluiten van een app of het uitvoeren van een willekeurige code

    Beschrijving: een probleem met een opmaaktekenreeks bij de verwerking van appnamen door het inlogvenster kan leiden tot onverwachte beëindiging van de app of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door een verbeterde verwerking van appnamen. Met dank aan Alfredo Pesoli van 0xcafebabe.it voor het melden van dit probleem.

  • MobileMe

    CVE-ID: CVE-2009-2192

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: uitloggen bij MobileMe verwijdert niet alle inloggegevens

    Beschrijving: er treedt een probleem op met de logica in het voorkeurenpaneel van MobileMe. Het uitloggen bij het voorkeurenpaneel verwijdert niet alle inloggegevens. Een persoon met toegang tot de lokale gebruikersaccount kan toegang krijgen tot een ander systeem dat gekoppeld is aan de MobileMe-account van de persoon die eerder was ingelogd voor die lokale account. Deze update verhelpt het probleem door alle inloggegevens te verwijderen bij het uitloggen.

  • Networking

    CVE-ID: CVE-2009-2193

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het ontvangen van een kwaadwillig vervaardigd AppleTalk-response packet kan leiden tot het uitvoeren van een willekeurige code met systeemrechten of het uitschakelen van het systeem

    Beschrijving: er treedt een bufferoverloop op bij de verwerking van AppleTalk-response packets door het kernel. Het ontvangen van een kwaadwillig vervaardigd AppleTalk-response packet kan leiden tot het uitvoeren van een willekeurige code met systeemrechten of het uitschakelen van het systeem. Deze update verhelpt het probleem door een verbeterde validatie van AppleTalk-response packets. Met dank aan Ilja van Sprundel van IOActive voor het melden van dit probleem.

  • Networking

    CVE-ID: CVE-2009-2194

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een lokale gebruiker kan een onverwachte uitschakeling van het systeem veroorzaken

    Beschrijving: er treedt een synchronisatieprobleem op bij de verwerking van het delen van de bestandsdescriptor via lokale sockets. Een lokale gebruiker kan een onverwachte uitschakeling van het systeem veroorzaken door berichten met bestandsdescriptors te versturen naar een socket zonder ontvanger. Deze update verhelpt het probleem door een verbeterde verwerking van het delen van de bestandsdescriptor. Met dank aan Bennet Yee van Google Inc. voor het melden van dit probleem.

  • XQuery

    CVE-ID: CVE-2008-0674

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7

    Impact: het verwerken van kwaadwillig vervaardigde XML-inhoud kan leiden tot het uitvoeren van een willekeurige code

    Beschrijving: er treedt een bufferoverloop op bij de verwerking van tekenklassen bij reguliere expressies in de Perl Compatible Regular Expressions (PCRE)-bibliotheek die door XQuery wordt gebruikt. Zo kan een aanvaller op afstand een willekeurige code uitvoeren via een reguliere expressie met een tekenklasse die een groot aantal tekens met Unicode-codepunten groter dan 255 telt. Deze update verhelpt dit probleem door PCRE bij te werken tot versie 7.6.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: