Over beveiligingsupdate 2010-005

In dit document wordt beveiligingsupdate 2010-005 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er bestaat een stackbufferoverloop in de verwerking van ingebedde lettertypen door Apple Type Services. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd, ingebed lettertype kan leiden tot het uitvoeren van willekeurige code. Dit probleem is verholpen door verbeterde bereikcontrole.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Beschikbaar voor: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan gebruikersreferenties of andere gevoelige gegevens onderscheppen

    Beschrijving: CFNetwork staat anonieme TLS/SSL-verbindingen toe. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem is niet van invloed op Mail-app. Dit probleem is opgelost door anonieme TLS/SSL-verbindingen uit te schakelen. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.6.3. Met dank aan Aaron Sigel van vtty.com, Jean-Luc Giraud van Citrix, Tomas Bjurman van Sirius IT en Wan-Teh Chang van Google, Inc. voor het melden van dit probleem.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Impact: verschillende kwetsbaarheden in ClamAV

    Beschrijving: er is sprake van verschillende kwetsbaarheden in ClamAV, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door ClamAV bij te werken naar versie 0.96.1. ClamAV wordt alleen geleverd bij systemen met Mac OS X Server. Ga voor meer informatie naar de website van ClamAV op http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een heapbufferoverloop op bij het verwerken van pdf-bestanden door CoreGraphics. het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben. Dit probleem is verholpen door verbeterde bereikcontrole. Met dank aan Rodrigo Rubira Branco van het Check Point Vulnerability Discovery Team (VDT) voor het melden van dit probleem.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: een aanvaller in een geprivilegieerde netwerkpositie die een domeinnaam kan verkrijgen die alleen in de laatste tekens verschilt van de naam van een legitiem domein, kan zich voordoen als hosts in dat domein

    Beschrijving: er is een probleem bij de verwerking van certificaten van hostnamen. Voor hostnamen met drie of meer componenten, worden de laatste tekens niet goed vergeleken. Als een naam exact drie componenten bevat, wordt alleen het laatste teken niet gecontroleerd. Als een aanvaller in een geprivilegieerde netwerkpositie bijvoorbeeld een certificaat voor www.example.con kan verkrijgen, kan de aanvaller zich voordoen als www.example.com. Dit probleem wordt verholpen door verbeterde verwerking van certificaten voor hostnamen. Met dank aan Peter Speck voor het melden van dit probleem.

  • PHP

    CVE-ID: CVE-2010-1205

    Beschikbaar voor: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: het laden van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van een programma of het uitvoeren van willekeurige code

    Beschrijving: er is sprake van een bufferoverloop in de libpng-bibliotheek van PHP. Het laden van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een update van libpng in PHP naar versie 1.4.3. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Available for: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: meerdere kwetsbaarheden in PHP 5.3.1

    Beschrijving: PHP wordt bijgewerkt naar versie 5.3.2 om meerdere kwetsbaarheden te verhelpen, waarvan het uitvoeren van willekeurige code de ernstigste is. Ga voor meer informatie naar de PHP-website op http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Available for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: een niet-geverifieerde externe aanvaller kan een denial of service veroorzaken of een willekeurige code uitvoeren

    Beschrijving: er is sprake van een bufferoverloop in Samba. Een niet-geverifieerde externe aanvaller kan een denial of service veroorzaken of willekeurige code uitvoeren door het verzenden van een kwaadwillig vervaardigd pakket. Dit probleem is verholpen door aanvullende validatie uit te voeren voor pakketten in Samba.

Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.

Publicatiedatum: