Over beveiligingsupdate 2006-003

In dit artikel wordt beveiligingsupdate 2006-003 beschreven. Deze kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de webpagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-id's gebruikt voor verwijzingen naar kwetsbare punten voor nadere informatie.

Ga naar Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen

    Beschrijving: wanneer u onder bepaalde omstandigheden schakelt tussen tekstinvoervelden, is het mogelijk dat NSSecureTextField de veilige invoer niet meer kan inschakelen. Hierdoor kunnen andere programma's in dezelfde venstersessie de invoer van sommige tekens en toetsaanslagen zien. Deze update verhelpt het probleem door te verzekeren dat de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadwillig vervaardigde GIF- of TIFF-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de verwerking van misvormde GIF- of TIFF-afbeeldingen kan leiden tot het uitvoeren van willekeurige code bij het analyseren van een kwaadwillig vervaardigde afbeelding. Dit beïnvloedt programma's die het framework ImageIO (Mac OS X v10.4 Tiger) of AppKit (Mac OS X v10.3 Panther) gebruiken voor het bekijken van afbeeldingen. Deze update verhelpt dit probleem door een extra controle van GIF- en TIFF-afbeeldingen uit te voeren.

  • BOM

    CVE-ID: CVE-2006-1985

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: een archief uitpakken kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: door het zorgvuldig maken van een archief (zoals een Zip-archief) met een lange padnaam kan een aanvaller een heapbufferoverloop in BOM veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code. BOM wordt gebruikt om archieven in Finder en andere programma's te behandelen. Deze update verhelpt het probleem door een correcte afhandeling van de grenstoestanden.

  • BOM

    CVE-ID: CVE-2006-1440

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: een kwaadwillig archief uitpakken kan leiden tot het maken of overschrijven van willekeurige bestanden

    Beschrijving: een probleem bij de afhandeling van directory-traversal symbolische koppelingen in archieven kan ervoor zorgen dat BOM bestanden maakt of overschrijft op willekeurige locaties die toegankelijk zijn voor de gebruiker die het archief uitpakt. BOM behandelt archieven voor Finder en andere programma's. Deze update verhelpt het probleem door ervoor te zorgen dat bestanden die uit een archief worden uitgepakt, niet worden geplaatst buiten de doelmap.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bezoeken van kwaadwillige websites kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen bij de afhandeling van gecodeerde overdrachten kan leiden tot het uitvoeren van willekeurige code. CFNetwork wordt gebruikt door Safari en andere programma's. Deze update verhelpt het probleem door een extra controle uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Beschikbaar voor: Mac OS X Server v10.4.6

    Impact: het verwerken van kwaadwillig vervaardigde e-mailberichten met ClamAV kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de scansoftware voor ClamAV-virus werd bijgewerkt om verbeteringen aan de veiligheid toe te passen in de laatste release. ClamAV is geïntroduceerd in Mac OS X Server v10.4 voor het scannen van e-mail. Het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van ClamAV. Voor meer informatie raadpleegt u de website van het project op http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: de registratie van een niet-vertrouwde bundel kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: onder bepaalde omstandigheden worden bundels impliciet geregistreerd door programma's of het systeem. Met een functie van de API-bundel kunnen dynamische bibliotheken worden geladen en uitgevoerd wanneer een bundel wordt geregistreerd, zelfs indien het clientprogramma dit niet uitdrukkelijk verzoekt. Als gevolg kan willekeurige code van een niet-vertrouwde bundel worden uitgevoerd zonder uitdrukkelijke gebruikersinteractie. Deze update verhelpt het probleem door alleen bibliotheken van de bundel op het juiste ogenblik te laden en uit te voeren.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: conversies van tekenreeksen naar de representatie van het bestandssysteem kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen tijdens de verwerking van een grenstoestand in CFStringGetFileSystemRepresentation kan leiden tot het uitvoeren van willekeurige code. Programma's dat dit API of een van de gerelateerde API's zoals NSFileManager's getFileSystemRepresentation:maxLength:withPath: gebruiken, kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een correcte afhandeling van de grenstoestanden.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen

    Beschrijving: Quartz Event Services voorziet programma's die de gebruikersinvoer op laag niveau kunnen observeren en wijzigen. Doorgaans kunnen programma's geen activiteiten onderscheppen wanneer de veilige invoer is ingeschakeld. Wanneer "Activeer toegang voor hulpapparaten" echter is ingeschakeld, kan Quartz Event Services worden gebruikt om activiteiten te onderscheppen, zelfs indien de veilige invoer is ingeschakeld. Deze update verhelpt het probleem door activiteiten te filteren wanneer de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Damien Bobillot voor het melden van dit probleem.

  • Finder

    CVE-ID: CVE-2006-1448

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: een internetlocatie-item opstarten kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: internetlocatie-items zijn eenvoudige URL-containers met als referentie http://, ftp:// en file://-URLs, alsook andere URL-schema's. Deze verschillende types van internetlocatie-items zijn visueel verschillend en zijn normaal gezien veilig voor het expliciet opstarten. Het URL-schema kan echter verschillen van het internetlocatietype. Hierdoor kan een aanvaller een gebruiker overtuigen om een vermoedelijk goedaardig item te openen (zoals een web-internetlocatie, http://), wat kan leiden tot het gebruik van een ander URL-schema. In bepaalde omstandigheden kan dit leiden tot het uitvoeren van willekeurige code. Deze update verhelpt de problemen door de beperking van het URL-schema dat is gebaseerd op het internetlocatietype.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: FTP-bewerkingen van geverifieerde FTP-gebruikers kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: meerdere problemen met het behandelen van een padnaam van een FTP-server kan leiden tot een bufferoverloop. Een kwaadwillige geverifieerde gebruiker kan deze overloop veroorzaken waardoor willekeurige code met de bevoegdheden van de FTP-server kan worden uitgevoerd. Deze update verhelpt het probleem door een correcte afhandeling van de grenstoestanden.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: het afspelen van Flash-inhoud kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: Adobe Flash Player bevat kritieke kwetsbaarheden die kunnen leiden tot het uitvoeren van willekeurige code wanneer speciaal gemaakte bestanden worden geladen. U vindt meer informatie op de website van Adobe op http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Deze update verhelpt het probleem door versie 8.0.24.0 van Flash Player te installeren.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadwillige vervaardigde JPEG-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen bij de verwerking van JPEG-metagegevens kan leiden tot een heapbufferoverloop. Door het zorgvuldig maken van een afbeelding met misvormde JPEG-metagegevens kan een aanvaller willekeurige code uitvoeren wanneer de afbeelding wordt bekeken. Deze update verhelpt dit probleem door een extra validatie van afbeeldingen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Brent Simmons van NewsGator Technologies, Inc. voor het melden van dit probleem.

  • Sleutelhanger

    CVE-ID: CVE-2006-1446

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: een programma kan Sleutelhanger-items gebruiken wanneer Sleutelhanger vergrendeld is

    Beschrijving: wanneer een Sleutelhanger vergrendeld is, hebben programma's geen toegang tot de Sleutelhanger-items zonder eerst te vragen de Sleutelhanger te ontgrendelen. Een programma dat echter een verwijzing naar een Sleutelhanger-item heeft verkregen voordat de Sleutelhanger werd vergrendeld, kan in sommige omstandigheden dat Sleutelhanger-item blijven gebruiken onafhankelijk van het feit of de Sleutelhanger al dan niet vergrendeld is. Deze update verhelpt het probleem door verzoeken voor het gebruik van Sleutelhanger-items af te wijzen wanneer Sleutelhanger vergrendeld is. Met dank aan Tobias Hahn van de HU Berlin voor het melden van dit probleem.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardige website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: lange bestandsnaamextensies kunnen verhinderen dat downloadvalidatie het verkeerde programma identificeert waarmee een item wordt geopend. Hierdoor kan een aanvaller downloadvalidatie omzeilen en ervoor zorgen dat Safari automatisch onveilige inhoud opent als de optie "Open "veilige" bestanden na downloaden" is ingeschakeld en bepaalde programma's niet zijn geïnstalleerd. Deze update verhelpt het probleem met een verbeterde controle van de bestandsnaamextensie. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: de behandeling van URL's in libcurl kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de open source HTTP-bibliotheek libcurl bevat bufferoverlopen bij de behandeling van URL's. Programma's die curl gebruiken voor de behandeling van URL's kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door versie 7.15.1 van libcurl te installeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: door het maken van een speciaal gemaakt e-mailbericht met MacMIME-bijlagen kan een aanvaller een overloop van gehele getallen veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Dit probleem verhelpt het probleem door een extra controle van berichten.

  • Mail

    CVE-ID: CVE-2006-1450

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de behandeling van ongeldige kleurgegevens in verrijkte e-mailberichten kan leiden tot de toewijzing en initialisatie van willekeurige klassen. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Deze update verhelpt het probleem door een correcte afhandeling van misvormde, verrijkte tekstgegevens.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Beschikbaar voor: Mac OS X Server v10.4.6

    Impact: er is geen wachtwoord vereist voor toegang tot de MySQL-database

    Beschrijving: bij de eerste configuratie van een MySQL-database-server met behulp van MySQL Manager kan "New MySQL root password" worden weergegeven. Dit wachtwoord wordt echter niet gebruikt. Daarom zal het MySQL-rootwachtwoord leeg blijven. Een lokale gebruiker heeft dan toegang tot de MySQL-database met alle bevoegdheden. Deze update verhelpt het probleem door ervoor te zorgen dat het ingevoerde wachtwoord wordt bewaard. Dit probleem is niet van invloed op systemen ouder dan Mac OS X Server v10.4. Met dank aan Ben Low van de University of New South Wales voor het melden van dit probleem.

  • Voorvertoning

    CVE-ID: CVE-2006-1452

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: bladeren doorheen een kwaadwillig vervaardigde mapstructuur kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: wanneer u bladert doorheen een heel diepe mapstructuur in Voorvertoning, kan een stackbufferoverloop worden veroorzaakt. Door het zorgvuldig maken van een dergelijke mapstructuur kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de mapstructuren worden geopend in Voorvertoning. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: twee problemen hebben invloed op QuickDraw bij het verwerken van PICT-afbeeldingen. Misvormde lettertypegegevens kunnen zorgen voor een stackbufferoverloop en misvormde afbeeldingsgegevens kunnen zorgen voor een heapbufferoverloop. Door het zorgvuldig maken van een kwaadaardige PICT-afbeelding kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de afbeelding wordt geopend. Deze update verhelpt het probleem door een extra validatie van PICT-afbeeldingen. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van deze kwestie.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Beschikbaar voor: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impact: een misvormde QuickTime-film kan QuickTime Streaming Server doen vastlopen

    Beschrijving: een QuickTime-film met een ontbrekend nummer kan leiden tot een null pointer-dereferentie waardoor het serverproces vastloopt. Dit onderbreekt actieve clientverbindingen. De server wordt echter automatisch opnieuw opgestart. Deze update verhelpt het probleem door een fout te tonen wanneer misvormde films worden herkend.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Beschikbaar voor: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impact: kwaadwillig vervaardigde RTSP-verzoeken kunnen leiden tot het vastlopen of het uitvoeren van willekeurige code

    Beschrijving: door het zorgvuldig maken van een RTSP-verzoek kan een aanvaller een bufferoverloop veroorzaken tijdens de registratie van berichten. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de QuickTime Streaming Server. Deze update verhelpt het probleem door een correcte afhandeling van de grenstoestanden. Met dank aan het Mu Security Research Team voor het melden van dit probleem.

  • Ruby

    CVE-ID: CVE-2005-2337

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6 en Mac OS X Server v10.4.6

    Impact: de beperking van het veilige niveau van Ruby kan worden omzeild

    Beschrijving: de Ruby-scripttaal bevat een mechanisme, genaamd "veilige niveaus", dat dient om bepaalde bewerkingen te beperken. Dit mechanisme wordt vooral gebruikt bij het uitvoeren van geprivilegieerde Ruby-programma's of Ruby-netwerkprogramma's. Een aanvaller kan in bepaalde omstandigheden de beperkingen omzeilen in dergelijke programma's. Programma's die niet steunen op veilige niveaus worden niet aangetast. Deze update verhelpt het probleem door ervoor te zorgen dat veilige niveaus niet kunnen worden omzeild.

  • Safari

    CVE-ID: CVE-2006-1457

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bezoeken van kwaadaardige websites kan leiden tot het manipuleren van bestanden of het uitvoeren van willekeurige code

    Beschrijving: wanneer de optie "Open "veilige" bestanden na downloaden" in Safari is ingeschakeld, worden archieven automatisch uitgepakt. Als het archief een symbolische koppeling bevat, kan de symbolische doelkoppeling worden verplaatst naar het bureaublad van de gebruiker en worden geopend. Deze update verhelpt het probleem door gedownloade symbolische koppelingen niet te openen. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.4.

Publicatiedatum: