Over beveiligingsupdate 2010-005
In dit document wordt beveiligingsupdate 2010-005 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.
Beveiligingsupdate 2010-005
ATS
CVE-ID: CVE-2010-1808
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er bestaat een stackbufferoverloop in de verwerking van ingebedde lettertypen door Apple Type Services. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd, ingebed lettertype kan leiden tot het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole.
CFNetwork
CVE-ID: CVE-2010-1800
Beschikbaar voor: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan gebruikersreferenties of andere gevoelige gegevens onderscheppen
Beschrijving: CFNetwork staat anonieme TLS/SSL-verbindingen toe. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem is niet van invloed op Mail-app. Dit probleem is opgelost door anonieme TLS/SSL-verbindingen uit te schakelen. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.6.3. Met dank aan Aaron Sigel van vtty.com, Jean-Luc Giraud van Citrix, Tomas Bjurman van Sirius IT en Wan-Teh Chang van Google, Inc. voor het melden van dit probleem.
ClamAV
CVE-ID: CVE-2010-0098, CVE-2010-1311
Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4
Impact: verschillende kwetsbaarheden in ClamAV
Beschrijving: er is sprake van verschillende kwetsbaarheden in ClamAV, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door ClamAV bij te werken naar versie 0.96.1. ClamAV wordt alleen geleverd bij systemen met Mac OS X Server. Ga voor meer informatie naar de website van ClamAV op http://www.clamav.net/
CoreGraphics
CVE-ID: CVE-2010-1801
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van een heapbufferoverloop op bij het verwerken van pdf-bestanden door CoreGraphics. het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Rodrigo Rubira Branco van het Check Point Vulnerability Discovery Team (VDT) voor het melden van dit probleem.
libsecurity
CVE-ID: CVE-2010-1802
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: een aanvaller in een geprivilegieerde netwerkpositie die een domeinnaam kan verkrijgen die alleen in de laatste tekens verschilt van de naam van een legitiem domein, kan zich voordoen als hosts in dat domein
Beschrijving: er is een probleem bij de verwerking van certificaten van hostnamen. Voor hostnamen met drie of meer componenten, worden de laatste tekens niet goed vergeleken. Als een naam exact drie componenten bevat, wordt alleen het laatste teken niet gecontroleerd. Als een aanvaller in een geprivilegieerde netwerkpositie bijvoorbeeld een certificaat voor www.example.con kan verkrijgen, kan de aanvaller zich voordoen als www.example.com. Dit probleem wordt verholpen door verbeterde verwerking van certificaten voor hostnamen. Met dank aan Peter Speck voor het melden van dit probleem.
PHP
CVE-ID: CVE-2010-1205
Beschikbaar voor: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: het laden van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van een bufferoverloop in de libpng-bibliotheek van PHP. Het laden van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een update van libpng in PHP naar versie 1.4.3. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.6.
PHP
CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484
Available for: Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: meerdere kwetsbaarheden in PHP 5.3.1
Beschrijving: PHP wordt bijgewerkt naar versie 5.3.2 om meerdere kwetsbaarheden te verhelpen, waarvan het uitvoeren van willekeurige code de ernstigste is. Ga voor meer informatie naar de PHP-website op http://www.php.net/
Samba
CVE-ID: CVE-2010-2063
Available for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4
Impact: een niet-geverifieerde externe aanvaller kan een denial of service veroorzaken of een willekeurige code uitvoeren
Beschrijving: er is sprake van een bufferoverloop in Samba. Een niet-geverifieerde externe aanvaller kan een denial of service veroorzaken of willekeurige code uitvoeren door het verzenden van een kwaadwillig vervaardigd pakket. Dit probleem is verholpen door aanvullende validatie uit te voeren voor pakketten in Samba.
Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.