Dit artikel is gearchiveerd,het wordt niet meer bijgewerkt door Apple.

Over de beveiligingsinhoud van beveiligingsupdate 2010-002 / Mac OS X v10.6.3

Dit document beschrijft de beveiligingsinhoud van beveiligingsupdate 2010-002 / Mac OS X v10.6.3.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2010-002 / Mac OS X v10.6.3

  • AppKit

    CVE-ID: CVE-2010-0056

    beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: spellingscontrole van een kwaadwillig vervaardigd document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferoverloop in de spellingscontrolefunctie die door Cocoa-programma's wordt gebruikt. Spellingscontrole van een kwaadwillig vervaardigd document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Apple.

  • Application Firewall

    CVE-ID: CVE-2009-2801

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: bepaalde regels in de Application Firewall kunnen inactief worden na herstarten

    Beschrijving: door een timingprobleem in de Application Firewall kunnen bepaalde regels inactief worden na het herstarten. Het probleem wordt verholpen door verbeterde verwerking van Firewall-regelsfeeds. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Michael Kisor van OrganicOrb.com voor het melden van dit probleem.

  • AFP Server

    CVE-ID: CVE-2010-0057

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: als gasttoegang is uitgeschakeld, kan een externe gebruiker AFP-shares koppelen als gast

    Beschrijving: door een probleem met de toegangscontrole in AFP Server kan een externe gebruiker AFP-shares koppelen als gast, zelfs als gasttoegang is uitgeschakeld. Dit probleem wordt verholpen door verbeterde controles van de toegangscontrole. Met dank aan Apple.

  • AFP Server

    CVE-ID: CVE-2010-0533

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe gebruiker met gasttoegang tot een AFP-share kan toegang krijgen tot de inhoud van voor de hele wereld leesbare bestanden buiten de openbare share

    Beschrijving: er is een probleem met map-traversal in de padvalidatie voor AFP-shares. Een externe gebruiker kan de bovenliggende map van de share-hoofd opsommen en bestanden in die map lezen of schrijven die toegankelijk zijn voor de gebruiker 'niemand'. Dit probleem wordt verholpen door verbeterde verwerking van bestandspaden. Met dank aan Patrik Karlsson van cqure.net voor het melden van dit probleem.

  • Apache

    CVE-ID: CVE-2009-3095

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan mogelijk toegangscontrolebeperkingen omzeilen

    Beschrijving: er is een probleem met invoervalidatie in de verwerking van proxied FTP-verzoeken door Apache. Een externe aanvaller die in staat is om verzoeken via de proxy te versturen, kan de toegangscontrolebeperkingen omzeilen die in de Apache-configuratie zijn gespecificeerd. Dit probleem wordt verholpen door Apache bij te werken naar versie 2.2.14.

  • ClamAV

    CVE-ID: CVE-2010-0058

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: ClamAV-virusdefinities ontvangen mogelijk geen updates

    Beschrijving: een configuratieprobleem dat werd geïntroduceerd in beveiligingsupdate 2009-005 voorkomt dat freshclam wordt uitgevoerd. Hierdoor worden virusdefinities mogelijk niet bijgewerkt. Dit probleem wordt verholpen door de sleutelwaarden van de launchd plist ProgramArguments van freshclam bij te werken. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Bayard Bell, Wil Shipley van Delicious Monster en David Ferrero van Zion Software, LLC voor het melden van dit probleem.

  • CoreAudio

    CVE-ID: CVE-2010-0059

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het afspelen van kwaadwillig vervaardigde audio-inhoud kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging tijdens de verwerking van audio-inhoud met QDM2-codering. Het afspelen van kwaadwillig vervaardigd audiomateriaal kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • CoreAudio

    CVE-ID: CVE-2010-0060

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het afspelen van kwaadwillig vervaardigde audio-inhoud kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging tijdens de verwerking van audio-inhoud met QDM2-codering. Het afspelen van kwaadwillig vervaardigd audiomateriaal kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • CoreMedia

    CVE-ID: CVE-2010-0062

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop in de verwerking van filmbestanden met H.263-codering door CoreMedia. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met H.263-codering uit te voeren. Met dank aan Damian Put en een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • CoreTypes

    CVE-ID: CVE-2010-0063

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: gebruikers worden niet gewaarschuwd voordat ze bepaalde potentieel onveilige inhoudstypen openen

    Beschrijving: deze update voegt .ibplugin en .url toe aan de systeemlijst met inhoudstypen die onder bepaalde omstandigheden worden gemarkeerd als mogelijk onveilig, bijvoorbeeld wanneer ze worden gedownload van een webpagina. Hoewel deze materiaaltypen niet automatisch worden geopend, kunnen ze leiden tot het uitvoeren van een kwaadaardige JavaScript-payload of willekeurige code als ze handmatig worden geopend. Deze update verbetert het vermogen van het systeem om gebruikers te waarschuwen voor de verwerking van inhoudstypen die worden gebruikt door Safari. Met dank aan Clint Ruoho van Laconic Security voor het melden van dit probleem.

  • CUPS

    CVE-ID: CVE-2010-0393

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: Een lokale gebruiker kan systeemrechten verkrijgen

    Beschrijving: er is een probleem met de indelingstekenreeks in het CUPS-hulpprogramma lppasswd. Hierdoor kan een lokale gebruiker systeemrechten verkrijgen. Systemen met Mac OS X v10.6 worden alleen beïnvloed als de setuid-bit is ingesteld op de binary. Dit probleem wordt verholpen door standaardmappen te gebruiken wanneer het draait als een setuid-proces. Met dank aan Ronald Volgers voor het melden van dit probleem.

  • curl

    CVE-ID: CVE-2009-2417

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een man-in-the-middle-aanvaller kan zich voordoen als een vertrouwde server

    Beschrijving: er is sprake van een canonicalisatieprobleem in de manier waarop curl NULL-tekens vewerkt in het veld Common Name (CN) van het onderwerp van X.509-certificaten. Dit kan leiden tot man-in-the-middle-aanvallen tegen gebruikers van het curl-opdrachtregelhulprogramma of programma's die libcurl gebruiken. Dit probleem wordt verholpen door verbeterde verwerking van NULL-tekens.

  • curl

    CVE-ID: CVE-2009-0037

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: door curl te gebruiken met -L kan een externe aanvaller lokale bestanden lezen of schrijven

    Beschrijving: curl volgt HTTP- en HTTPS-omleidingen wanneer het wordt gebruikt met de optie -L. Wanneer curl een omleiding volgt, staat het file:// URL's toe. Hierdoor kan een externe aanvaller toegang krijgen tot lokale bestanden. Dit probleem wordt verholpen door verbeterde validatie van omleidingen. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Daniel Stenberg van Haxx AB voor het melden van dit probleem.

  • Cyrus IMAP

    CVE-ID: CVE-2009-2632

    Beschikbaar voor: Mac OS X Server v10.5.8

    Impact: Een lokale gebruiker kan de rechten verkrijgen van de Cyrus-gebruiker

    Beschrijving: er is sprake van een bufferoverloop in de verwerking van sieve-scripts. Door een kwaadaardig vervaardigd sieve-script uit te voeren, kan een lokale gebruiker de rechten van de Cyrus-gebruiker verkrijgen. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X v10.6.

  • Cyrus SASL

    CVE-ID: CVE-2009-0688

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: een niet-geauthenticeerde externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er is sprake van een bufferoverloop in de Cyrus SASL-authenticatiemodule. Het gebruik van Cyrus SASL-authenticatie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X v10.6.

  • DesktopServices

    CVE-ID: CVE-2010-0064

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Imoact: aan items die in de Finder worden gekopieerd, kan onverwacht als bestandseigenaar worden toegewezen

    Beschrijving: Bij het uitvoeren van een geauthenticeerde kopie in de Finder kan het oorspronkelijke eigenaarschap van bestanden onverwacht worden gekopieerd. Deze update lost het probleem op door ervoor te zorgen dat gekopieerde bestanden eigendom zijn van de gebruiker die de kopie uitvoert. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.6. Met dank aan Gerrit DeWitt van Auburn University (Auburn, AL) voor het melden van dit probleem.

  • DesktopServices

    CVE-ID: CVE-2010-0537

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan toegang krijgen tot gebruikersgegevens via een meertrapsaanval

    Beschrijving: een probleem met padomzetting in DesktopServices is kwetsbaar voor meertrapsaanval. Een externe aanvaller moet de gebruiker eerst verleiden om een willekeurig genoemde share te koppelen, wat kan worden gedaan via een URL-list. Wanneer een bestand wordt opgeslagen via het standaard opslagpaneel in een prgramma en "Ga naar map" wordt gebruikt of mappen naar het opslagpaneel worden gesleept, worden de gegevens mogelijk onverwacht opgeslagen op de kwaadaardige share. Dit probleem wordt verholpen door een verbeterde padomzetting. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6. Met dank aan Sidney San Martin in samenwerking met DeepTech, Inc. voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2010-0065

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het koppelen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging tijdens de verwerking van met bzip2 gecomprimeerde schijfkopieën. Het koppelen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Apple.

  • CoreGraphics

    CVE-ID: CVE-2010-0497

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het koppelen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een ontwerpprobleem bij de verwerking van schijfkopieën via internet. Bij het koppelen van een schijfkopie via internet die een pakketbestandstype bevat, wordt deze geopend in plaats van weergegeven in de Finder. Deze functie voor het in quarantaine plaatsen van bestanden helpt dit probleem te beperken door een waarschuwingsvenster voor onveilige bestandstypen weer te geven. Dit probleem wordt verholpen door verbeterde verwerking van pakketbestandstypen op schijfkopieën via internet. Met dank aan Brian Mastenbrook in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • Directory Services

    CVE-ID: CVE-2010-0498

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een lokale gebruiker kan systeemrechten verkrijgen

    Beschrijving: door een autorisatieprobleem in de verwerking van Directory Services van recordnamen kan een lokale gebruiker systeemrechten verkrijgen. Dit probleem wordt verholpen door verbeterde autorisatiecontroles. Met dank aan Apple.

  • Dovecot

    CVE-ID: CVE-2010-0535

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een geauthenticeerde gebruiker kan mogelijk e-mail versturen en ontvangen, zelfs als de gebruiker niet voorkomt in de SACL van gebruikers die dit wel mogen

    Beschrijving: er is sprake van een probleem met toegangscontrole in Dovecot wanneer Kerberos-authenticatie is ingeschakeld. Hierdoor kan een geauthenticeerde gebruiker e-mail versturen en ontvangen, zelfs als de gebruiker niet op de service access control list (SACL) van gebruikers staat die dit wel mogen. Dit probleem wordt verholpen door verbeterde controles van de toegangscontrole. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

  • Event Monitor

    CVE-ID: CVE-2010-0500

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan ervoor zorgen dat willekeurige systemen worden toegevoegd aan de zwarte lijst van de firewall

    Beschrijving: er wordt een omgekeerde DNS-lookup uitgevoerd op externe ssh-clients die er niet in slagen zich te authenticeren. Er is sprake van een plist-injectieprobleem in de verwerking van opgeloste DNS-namen. Hierdoor kan een externe aanvaller ervoor zorgen dat willekeurige systemen worden toegevoegd aan de zwarte lijst van de firewall. Dit probleem wordt verholpen door DNS-namen correct te escapen. Met dank aan Apple.

  • FreeRADIUS

    CVE-ID: CVE-2010-0524

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan toegang krijgen tot een netwerk via RADIUS-authenticatie

    Beschrijving: er is sprake van een probleem met de certificaatauthenticatie in de standaardconfiguratie van de FreeRADIUS-server voor Mac OS X. Een externe aanvaller kan EAP-TLS met een willekeurig geldig certificaat gebruiken om zich te authenticieren en verbinding te maken met een netwerk dat geconfigureerd is om FreeRADIUS te gebruiken voor authenticatie. Dit probleem wordt verholpen door ondersteuning voor EAP-TLS uit te schakelen in de configuratie. RADIUS-clients moeten in plaats daarvan EAP-TTLS gebruiken. Dit probleem is alleen van invloed op systemen met Mac OS X Server. Met dank aan Chris Linstruth van Qnet voor het melden van dit probleem.

  • FTP-server

    CVE-ID: CVE-2010-0501

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: gebruikers kunnen mogelijk bestanden ophalen buiten de FTP-hoofdmap

    Beschrijving: er is sprake van een probleem met map-traversal in FTP Server. Hierdoor kan een gebruiker bestanden buiten de FTP-hoofdmap ophalen. Dit probleem wordt verholpen door verbeterde verwerking van bestandsnamen. Dit probleem is alleen van invloed op systemen met Mac OS X Server. Met dank aan Apple.

  • iChat Server

    CVE-ID: CVE-2006-1329

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan een denial of service veroorzaken

    Beschrijving: er is sprake van een implementatieprobleem in de verwerking van SASL-onderhandelingen door jabberd. Een externe aanvaller kan de werking van jabberd beëindigen. Dit probleem is verholpen door verbeterde verwerking van SASL-onderhandelingen. Dit probleem is alleen van invloed op systemen met Mac OS X Server.

  • iChat Server

    CVE-ID: CVE-2010-0502

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: chatberichten worden mogelijk niet gelogd

    Beschrijving: er is sprake van een ontwerpprobleem in de ondersteuning van iChat Server voor configureerbare logboekregistratie voor groepschats. iChat Server logt alleen berichten met bepaalde berichttypen. Hierdoor kan een externe gebruiker een bericht via de server versturen zonder dat het gelogd wordt. Het probleem wordt verholpen door de mogelijkheid om logboeken voor groepschats uit te schakelen te verwijderen en alle berichten die via de server worden verstuurd te loggen. Dit probleem is alleen van invloed op systemen met Mac OS X Server. Met dank aan Apple.

  • iChat Server

    CVE-ID: CVE-2010-0503

    Beschikbaar voor: Mac OS X Server v10.5.8

    Impact: een geauthenticeerde gebruiker kan het onverwacht beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er is sprake van een use-after-free probleem in iChat Server. Een geauthenticeerde gebruiker kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken. Dit probleem is verholpen door verbeterde tracking van geheugenreferenties. Dit probleem is alleen van invloed op systemen met Mac OS X Server en niet op versie 10.6 of nieuwer.

  • iChat Server

    CVE-ID: CVE-2010-0504

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een geauthenticeerde gebruiker kan het onverwacht beëindiging van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er is sprake van meerdere stackbufferoverloopproblemen in iChat Server. Een geauthenticeerde gebruiker kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken. Deze problemen zijn verholpen door een verbeterd geheugenbeheer. Deze problemen hebben alleen effect op Mac OS X SERVER-systemen. Met dank aan Apple.

  • ImageIO

    CVE-ID: CVE-2010-0505

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigde JP2-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop bij de verwerking van JP2-afbeeldingen. Het bekijken van een kwaadwillig vervaardigde JP2-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Chris Ries van de Carnegie Mellon University Computing Service en onderzoeker "85319bb6e6ab398b334509c50afce5259d42756e" in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan ertoe leiden dat gegevens vanuit het geheugen van Safari naar de website worden verstuurd

    Beschrijving: er is sprake van een probleem met niet-geïnitialiseerde geheugentoegang in de verwerking van BMP-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem is verholpen door een verbeterde geheugeninitialisatie en aanvullende validatie voor BMP-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan ertoe leiden dat gegevens vanuit het geheugen van Safari naar de website worden verstuurd

    Beschrijving: er is sprake van een probleem met niet-geïnitialiseerde geheugentoegang in de verwerking van TIFF-afbeeldingen door ImageIO. Het bezoeken van een kwaadwillig vervaardigde website kan ervoor zorgen dat gegevens vanuit het geheugen van Safari naar de website verstuurd worden. Dit probleem is verholpen door verbeterde geheugeninitialisatie en aanvullende validatie voor TIFF-afbeeldingen. Met dank aan Matthew 'j00ru' Jurczyk van Hispasec voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2010-0043

    beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging tijdens de verwerking van TIFF-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde verwerking van het geheugen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6. Met dank aan Gus Mueller van Flying Meat voor het melden van dit probleem.

  • Image RAW

    CVE-ID: CVE-2010-0506

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferoverloop bij de verwerking van DNG-afbeeldingen door Image RAW. Het bekijken van een kwaadwillig vervaardigde NEF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Apple.

  • Image RAW

    CVE-ID: CVE-2010-0507

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferoverloop bij de verwerking van DNG-afbeeldingen door Image RAW. Het bekijken van een kwaadwillig vervaardigde PEF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

  • Libsystem

    CVE-ID: CVE-2009-0689

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: programma's die niet-vertrouwde gegevens omzetten tussen binaire drijvende komma en tekst kunnen kwetsbaar zijn voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferoverloop in de conversiecode voor binaire drijvende komma naar tekst in Libsystem. Een aanvaller die ervoor kan zorgen dat een app wordt omgezet naar een drijvende-kommawaarde in een lange tekenreeks, of dat een kwaadwillig vervaardigde tekenreeks wordt geparseerd als een drijvende-kommawaarde, kan mogelijk zorgen voor onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Maksymilian Arciemowicz van SecurityReason.com voor het melden van dit probleem.

  • Mail

    CVE-ID: CVE-2010-0508

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: regels die zijn gekoppeld aan een verwijderd e-mailaccount blijven van kracht

    Beschrijving: wanneer een e-mailaccount wordt verwijderd, blijven de door de gebruiker gedefinieerde filterregels die aan dat account zijn gekoppeld actief. Dit kan leiden tot onverwachte acties. Dit probleem wordt verholpen door gekoppelde regels uit te schakelen wanneer een e-mailaccount wordt verwijderd.

  • Mail

    CVE-ID: CVE-2010-0525

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: Mail kan een zwakkere versleutelingssleutel gebruiken voor uitgaande e-mail

    Beschrijving: er is sprake van een logicaprobleem in de verwerking van versleutelingscertificaten door Mail. Als er meerdere certificaten voor de ontvanger bestaan in de sleutelketen, kan Mail een versleutelingssleutel selecteren die niet bedoeld is voor vercijfering. Dit kan leiden tot een beveiligingsprobleem als de gekozen sleutel zwakker is dan verwacht. Dit probleem wordt verholpen door ervoor te zorgen dat de sleutelgebruiksextensie binnen certificaten wordt geëvalueerd bij het selecteren van een e-mailversleutelingssleutel. Met dank aan Paul Suh van ps Enable, Inc. voor het melden van dit probleem.

  • Mailman

    CVE-ID: CVE-2008-0564

    Beschikbaar voor: Mac OS X Server v10.5.8

    Impact: meerdere kwetsbaarheden in Mailman 2.1.9

    Beschrijving: er zijn meerdere problemen met cross-site scripting in Mailman 2.1.9. Deze problemen worden verholpen door Mailman bij te werken naar versie 2.1.13. Meer informatie is beschikbaar op de Mailman-site op http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Deze problemen hebben alleen invloed op systemen met Mac OS X Server en niet op versie 10.6 of nieuwer.

  • MySQL

    CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Beschikbaar voor: Mac OS X Server v10.6 tot en met v10.6.2

    Impact: meerdere kwetsbaarheden in MySQL 5.0.82

    Beschrijving: MySQL wordt bijgewerkt naar versie 5.0.88 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen hebben alleen effect op Mac OS X SERVER-systemen. Meer informatie vind je op de website van MySQL op http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html

  • OS Services

    CVE-ID: CVE-2010-0509

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een lokale gebruiker kan verhoogde rechten verkrijgen

    Beschrijving: er is sprake van een probleem met de escalatie van rechten in SFLServer, omdat deze als groep 'wheel' wordt uitgevoerd en toegang heeft tot bestanden in de basismappen van gebruikers. Dit probleem wordt verholpen door een verbeterd rechtenbeheer. Met dank aan Kevin Finsterre van DigitalMunition voor het melden van dit probleem.

  • Password Server

    CVE-ID: CVE-2010-0510

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan inloggen met een verouderd wachtwoord

    Beschrijving: een implementatieprobleem in de verwerking van replicatie door Password Server kan ertoe leiden dat wachtwoorden niet worden gerepliceerd. Een externe aanvaller kan inloggen op een systeem met een verouderd wachtwoord. Dit probleem wordt verholpen door verbeterde verwerking van wachtwoordreplicatie. Dit probleem is alleen van invloed op systemen met Mac OS X Server. Met dank aan Jack Johnson van Anchorage School District voor het melden van dit probleem.

  • perl

    CVE-ID: CVE-2008-5302, CVE-2008-5303

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: een lokale gebruiker kan ervoor zorgen dat willekeurige bestanden worden verwijderd

    Beschrijving: er is sprake van meerdere problemen met racevoowaarden in de rmtree-functie van de perl-module File::Path. Een lokale gebruiker met schrijftoegang tot een map die wordt verwijderd, kan ervoor zorgen dat willekeurige bestanden worden verwijderd met de rechten van het perl-proces. Dit probleem wordt verholpen door een verbeterde verwerking van symbolische koppelingen. Dit probleem is niet van invloed op systemen met Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: meerdere kwetsbaarheden in PHP 5.3.0

    Beschrijving: PHP wordt bijgewerkt naar versie 5.3.1 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Ga voor meer informatie naar de PHP-website op http://www.php.net/

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: meerdere kwetsbaarheden in PHP 5.2.11

    Beschrijving: PHP wordt bijgewerkt naar versie 5.2.12 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van cross-site scripting is. Ga voor meer informatie naar de PHP-website op http://www.php.net/

  • Podcast Producer

    CVE-ID: CVE-2010-0511

    Beschikbaar voor: Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een niet-geautoriseerde gebruiker kan toegang krijgen tot een Podcast Composer-werkstroom

    Beschrijving: wanneer een Podcast Composer-werkstoom wordt overschreven, worden de toegangsbeperkingen verwijderd. Hierdoor kan een niet-geautoriseerde gebruiker toegang krijgen tot een Podcast Composer-werkstroom. Dit probleem wordt verholpen door verbeterde verwerking van toegangsbeperkingen voor werkstromen. Podcast Composer werd geïntroduceerd in Mac OS X Server v10.6.

  • Preferences

    CVE-ID: CVE-2010-0512

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een netwerkgebruiker kan inlogbeperkingen van het systeem omzeilen

    Beschrijving: er is sprake van een implementatieprobleem in de verwerking van systeeminlogbeperkingen voor netwerkaccounts. Als de netwerkaccounts die mogen inloggen op het systeem in het Inlogvenster alleen worden geïdentificeerd op basis van groepslidmaatschap, wordt de beperking niet afgedwongen en kunnen alle netwerkgebruikers inloggen op het systeem. Het probleem wordt verholpen door verbeterd beheer van groepsbeperkingen in het Accountsvoorkeurenpaneel. Dit probleem is alleen van invloed op systemen die zijn geconfigureerd om een netwerkaccountserver te gebruiken en heeft geen invloed op systemen ouder dan Mac OS X v10.6. Met dank aan Christopher D. Grieb van University of Michigan MSIS voor het melden van dit probleem.

  • PS Normalizer

    CVE-ID: CVE-2010-0513

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd PostScript kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een stackbufferoverloop bij de verwerking van PostScript-bestanden. Het weergeven van een kwaadwillig vervaardigd PostScript-bestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van kwaadwillige code. Dit probleem wordt verholpen door aanvullende validatie van PostScript-bestanden uit te voeren. Op systemen met Mac OS X v10.6 wordt dit probleem beperkt door de compilervlag -fstack-protector. Met dank aan Apple.

  • QuickTime

    CVE-ID: CVE-2010-0062

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop in de verwerking van filmbestanden met H.263-codering door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met H.263-codering uit te voeren. Met dank aan Damian Put en een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0514

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop in de verwerking van filmbestanden met H.261-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met H.261-codering uit te voeren. Met dank aan Will Dormann van CERT/CC voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0515

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van geheugenbeschadiging in de verwerking van filmbestanden met H.264-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met H.264-codering uit te voeren. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0516

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: een heapbufferoverloop in de verwerking van filmbestanden met RLE-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met RLE-codering uit te voeren. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0517

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: een heapbufferoverloop in de verwerking van filmbestanden met M-JPEG-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met M-JPEG-codering uit te voeren. Met dank aan Damian Put en een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0518

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een probleem met geheugenbeschadiging in de verwerking van filmbestanden met Sorenson-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met Sorenson-codering uit te voeren. Met dank aan Will Dormann van CERT/CC voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0519

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een overflow voor geheel getal in de verwerking van filmbestanden met FlashPix-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0520

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop in de verwerking van filmbestanden met FLC-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met FLC-codering uit te voeren. Met dank aan Moritz Jodeit van n.runs AG, in samenwerking met het Zero Day Initiative van TippingPoint , en Nicolas Joly van VUPEN Security voor het melden van dit probleem.

  • QuickTime

    CVE-ID: CVE-2010-0526

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop in de verwerking van filmbestanden met MPEG-codering. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van de app of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van filmbestanden met MPEG-codering uit te voeren. Met dank aan een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint voor het melden van dit probleem.

  • Ruby

    CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: meerdere problemen in Ruby on Rails

    Beschrijving: er is sprake van meerdere kwetsbaarheden in Ruby on Rails, waarvan de ernstigste kan leiden tot cross-site scripting. Op systemen met Mac OS X v10.6 worden deze problemen verholpen door Ruby on Rails bij te werken naar versie 2.3.5. Systemen met Mac OS X v10.5 worden alleen beïnvloed door CVE-2009-4214 en wordt dit probleem opgelost door verbeterde validatie van argumenten naar strip_tags.

  • Ruby

    CVE-ID: CVE-2009-1904

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een BigDecimal-object te initialiseren, kan leiden tot het onverwacht beëindigen van het programma

    Beschrijving: er is sprake van een probleem van stackuitputting in de verwerking van BigDecimal-objecten met zeer grote waarden door Ruby. Het uitvoeren van een Ruby-script dat onbetrouwbare invoer gebruikt om een BigDecimal-object te initialiseren kan leiden tot het onverwacht beëindigen van het programma. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen door Ruby bij te werken naar versie 1.8.7-p173. Voor systemen met Mac OS v10.5 wordt dit probleem verholpen door Ruby bij te werken naar versie 1.8.6-p369.

  • Server Admin

    CVE-ID: CVE-2010-0521

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan informatie extraheren uit Open Directory

    Beschrijving: er is sprake van een ontwerprobleem in de verwerking van geauthenticeerde mapbindingen. Een externe aanvaller kan mogelijk anoniem informatie extraheren uit Open Directory, zelfs als de optie "Vereiste geauthenticeerde binding tussen map en clients" is ingeschakeld. Het probleem wordt verholpen door deze configuratieoptie te verwijderen. Dit probleem is alleen van invloed op systemen met Mac OS X Server. Met dank aan Scott Gruby van Gruby Solutions en Mathias Haack van GRAVIS Computervertriebsgesellschaft mbH voor het melden van dit probleem.

  • Server Admin

    CVE-ID: CVE-2010-0522

    Beschikbaar voor: Mac OS X Server v10.5.8

    Impact: een voormalige beheerder kan ongeautoriseerde toegang hebben tot scherm delen

    Beschrijving: een gebruiker die verwijderd is uit de 'admin'-groep kan nog steeds verbinding maken met de server via scherm delen. Dit probleem wordt verholpen door een verbeterde verwerking van beheerdersrechten. Dit probleem is alleen van invloed op systemen met Mac OS X Server en niet op versie 10.6 of nieuwer. Met dank aan Apple.

  • SMB

    CVE-ID: CVE-2009-2906

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een externe aanvaller kan een denial of service veroorzaken

    Beschrijving: er is sprake van een probleem met een oneindige lus in de afhandeling van SMB "oplock"-breekmeldingen door Samba. Een externe aanvaller kan een oneindige lus in smbd veroorzaken, waardoor het buitensporig veel CPU-bronnen gebruikt. Het probleem wordt verholpen door verbeterde verwerking van "oplock"-breekmeldingen.

  • Tomcat

    CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Beschikbaar voor: Mac OS X v10.5 tot en met v, Mac OS X Server v10.5 tot en met v10.5.6

    Impact: meerdere kwetsbaarheden in Tomcat 6.0.18

    Beschrijving: Tomcat wordt bijgewerkt naar versie 6.0.24 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot een cross-site-scripting-aanval. Tomcat wordt alleen geleverd op systemen met Mac OS X Server. Meer informatie is beschikbaar op de website van Tomcat op http://tomcat.apache.org/

  • unzip

    CVE-ID: CVE-2008-0888

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: het uitpakken van slecht vervaardigde zip-bestanden met het uitpakopdrachthulpprogramma kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: Er bestaat een probleem met een niet-geïnitialiseerde pointer bij de verwerking van zip-bestanden. Het uitpakken van kwaadwillig vervaardigde zip-bestanden met behulp van het uitpakopdrachthulpprogramma kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door aanvullende validatie van zip-bestanden uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X v10.6.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: meerdere kwetsbaarheden in vim 7.0

    Beschrijving: er is sprake van meerdere kwetsbaarheden in vim 7.0, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code bij het werken met kwaadaardig vervaardigde bestanden. Deze problemen worden verholpen door bij te werken naar vim 7.2.102. Deze problemen hebben geen invloed op systemen met Mac OS X v10.6. Meer informatie is beschikbaar via de vim-website op http://www.vim.org/

  • Wiki Server

    CVE-ID: CVE-2010-0523

    Beschikbaar voor: Mac OS X Server v10.5.8

    Impact: het uploaden van een kwaadaardig vervaardigde applet kan leiden tot de openbaarmaking van gevoelige informatie

    Beschrijving: met Wiki Server kunnen gebruikers actieve inhoud uploaden, zoals Java-applets. Een externe aanvaller kan gevoelige informatie verkrijgen door een kwaadaardig vervaardigde applet te uploaden en een Wiki-servergebruiker om te leiden om het te bekijken. Het probleem wordt opgelost door een speciale eenmalige verificatiecookie te gebruiken die alleen kan worden gebruikt om een bepaalde bijlage te downloaden. Dit probleem is alleen van invloed op systemen met Mac OS X Server en niet op versie 10.6 of nieuwer.

  • Wiki Server

    CVE-ID: CVE-2010-0534

    Beschikbaar voor: Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: een geauthenticeerde gebruiker kan de beperkingen om weblogs te maken omzeilen

    Beschrijving: Wiki Server ondersteunt service access control lists (SACL's), waardoor een beheerder de publicatie van inhoud kan controleren. Wiki Server raadpleegt de weblog SACL niet tijdens het maken van de weblog van een gebruiker. Hierdoor kan een geauthenticeerde gebruiker inhoud publiceren naar de Wikiserver, ook al zou publicatie verboden moeten zijn door de service-ACL. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

  • X11

    CVE-ID: CVE-2009-2042

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: jet bekijken van een kwaadaardig vervaardigde afbeelding kan leiden tot de openbaarmaking van gevoelige informatie

    Beschrijving: libpng is bijgewerkt naar versie 1.2.37 om een probleem te verhelpen dat kan leiden tot de openbaarmaking van gevoelige informatie. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html

  • X11

    CVE-ID: CVE-2003-0063

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 tot en met v10.6.2, Mac OS X Server v10.6 tot en met v10.6.2

    Impact: het weergeven van kwaadaardig bewerkte gegevens in een xterm-terminal kan leiden tot het uitvoeren van willekeurig code

    Beschrijving: het xterm-programma ondersteunt een opdrachtreeks om de venstertitel te wijzigen en om de venstertitel naar de terminal af te drukken. De geretourneerde informatie wordt naar de terminal gestuurd alsof het toetsenbordinvoer van de gebruiker is. Het weergeven van kwaadwillig vervaardigde gegevens met dergelijke reeksen binnen een xterm-terminal kan leiden tot het invoegen van commando's. Het probleem wordt opgelost door de betreffende opdrachtreeks uit te schakelen.

  • xar

    CVE-ID: CVE-2010-0055

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: ren gewijzigd pakket kan worden weergegeven als geldig ondertekend

    Beschrijving: er is sprake van een ontwerpprobleem in xar bij het valideren van een pakkethandtekening. Hierdoor kan een gewijzigd pakket als geldig ondertekend worden weergegeven. Dit probleem wordt verholpen door verbeterde validatie van pakkethandtekeningen. Dit probleem is niet van invloed op systemen met Mac OS X v10.6. Met dank aan Apple.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: