Over beveiligingsupdate 2006-003

In dit document wordt beveiligingsupdate 2006-003 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen

    Beschrijving: wanneer je onder bepaalde omstandigheden van tekstinvoerveld wisselt, is het mogelijk dat NSSecureTextField de veilige invoer niet meer kan inschakelen. Hierdoor kunnen andere programma's in dezelfde venstersessie de invoer van sommige tekens en toetsaanslagen zien. Deze update verhelpt het probleem door ervoor te zorgen dat de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadwillig vervaardigde GIF- of TIFF-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de verwerking van GIF- of TIFF-afbeeldingen met een verkeerde indeling kan leiden tot het uitvoeren van willekeurige code bij het parseren van een kwaadwillig vervaardigde afbeelding. Dit beïnvloedt programma's die het framework ImageIO (Mac OS X v10.4 Tiger) of AppKit (Mac OS X v10.3 Panther) gebruiken voor het bekijken van afbeeldingen. Deze update verhelpt het probleem door aanvullende validatie van GIF- en TIFF-afbeeldingen uit te voeren.

  • BOM

    CVE-ID: CVE-2006-1985

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: een archief uitpakken kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: door zorgvuldig een archief (zoals een zip-archief) met een lange padnaam te maken, kan een aanvaller een heapbufferoverloop in BOM veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code. BOM wordt gebruikt om archieven in de Finder en andere programma's te verwerken. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.

  • BOM

    CVE-ID: CVE-2006-1440

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: een kwaadwillig archief uitpakken kan leiden tot het maken of overschrijven van willekeurige bestanden

    Beschrijving: een probleem bij de verwerking van directory-traversal symbolische links in archieven kan ervoor zorgen dat BOM bestanden maakt of overschrijft op willekeurige locaties die toegankelijk zijn voor de gebruiker die het archief uitpakt. BOM verwerkt archieven voor de Finder en andere programma's. Deze update verhelpt het probleem door ervoor te zorgen dat bestanden die uit een archief worden uitgepakt, niet worden geplaatst buiten de doelmap.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bezoeken van kwaadwillige websites kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen bij de verwerking van versleutelde overdrachten kan leiden tot het uitvoeren van willekeurige code. CFNetwork wordt gebruikt door Safari en andere programma's. Deze update verhelpt het probleem door aanvullende validatie uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Beschikbaar voor: Mac OS X Server v10.4.6

    Impact: het verwerken van kwaadwillig vervaardigde e-mailberichten met ClamAV kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de scansoftware voor ClamAV-virus werd bijgewerkt om oplossingen voor beveiligingsproblemen toe te passen in de laatste release. ClamAV is geïntroduceerd in Mac OS X Server v10.4 voor het scannen van e-mail. Het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van ClamAV. Voor meer informatie raadpleeg je de website van het project op http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: de registratie van een niet-vertrouwde bundel kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: onder bepaalde omstandigheden worden bundels impliciet geregistreerd door programma's of het systeem. Met een functie van de API-bundel kunnen dynamische bibliotheken worden geladen en uitgevoerd wanneer een bundel wordt geregistreerd, zelfs indien het clientprogramma dit niet uitdrukkelijk vraagt. Als gevolg daarvan kan willekeurige code van een niet-vertrouwde bundel worden uitgevoerd zonder uitdrukkelijke gebruikersinteractie. Deze update verhelpt het probleem door alleen bibliotheken van de bundel op het juiste ogenblik te laden en uit te voeren.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: conversies van tekenreeksen naar de representatie van het bestandssysteem kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen tijdens de verwerking van een bereikvoorwaarde in CFStringGetFileSystemRepresentation kan leiden tot het uitvoeren van willekeurige code. Programma's die deze API of een van de gerelateerde API's zoals getFileSystemRepresentation:maxLength:withPath: van NSFileManager gebruiken, kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: tekens die in een beveiligd tekstveld werden ingevoerd, kunnen door andere programma's in dezelfde venstersessie worden gelezen

    Beschrijving: Quartz Event Services biedt programma's de mogelijkheid de gebruikersinvoer op laag niveau te observeren en wijzigen. Doorgaans kunnen programma's geen activiteiten onderscheppen wanneer de veilige invoer is ingeschakeld. Wanneer 'Activeer toegang voor hulpapparaten' echter is ingeschakeld, kan Quartz Event Services worden gebruikt om activiteiten te onderscheppen, zelfs indien de veilige invoer is ingeschakeld. Deze update verhelpt het probleem door activiteiten te filteren wanneer de veilige invoer is ingeschakeld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Damien Bobillot voor het melden van dit probleem.

  • Finder

    CVE-ID: CVE-2006-1448

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: een internetlocatie-item opstarten kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: internetlocatie-items zijn eenvoudige URL-containers met als referentie http://, ftp:// en file://-URLs, naast andere URL-schema's. Deze verschillende types van internetlocatie-items zijn visueel verschillend en zijn normaal gezien veilig voor het expliciet opstarten. Het URL-schema kan echter verschillen van het internetlocatietype. Hierdoor kan een aanvaller een gebruiker overtuigen om een item te openen dat goedaardig lijkt (zoals een web-internetlocatie, http://), wat kan leiden tot het gebruik van een ander URL-schema. Onder bepaalde omstandigheden kan dit leiden tot het uitvoeren van willekeurige code. Deze update verhelpt de problemen door het URL-schema te beperken dat gebaseerd is op het internetlocatietype.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: FTP-bewerkingen van geverifieerde FTP-gebruikers kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: meerdere problemen met het verwerken van een padnaam van een FTP-server kunnen leiden tot een bufferoverloop. Een kwaadwillige geverifieerde gebruiker kan deze overloop veroorzaken, waardoor willekeurige code met de bevoegdheden van de FTP-server kan worden uitgevoerd. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het afspelen van Flash-inhoud kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: Adobe Flash Player bevat kritieke kwetsbaarheden die kunnen leiden tot het uitvoeren van willekeurige code wanneer speciaal gemaakte bestanden worden geladen. Meer informatie vind je op de website van Adobe op http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Deze update verhelpt het probleem door versie 8.0.24.0 van Flash Player te installeren.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: een overloop van gehele getallen bij de verwerking van JPEG-metagegevens kan leiden tot een heapbufferoverloop. Door zorgvuldig een afbeelding met JPEG-metagegevens met een verkeerde indeling te maken, kan een aanvaller willekeurige code uitvoeren wanneer de afbeelding wordt bekeken. Deze update verhelpt het probleem door aanvullende validatie van afbeeldingen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Brent Simmons van NewsGator Technologies, Inc. voor het melden van dit probleem.

  • Keychain

    CVE-ID: CVE-2006-1446

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: een programma kan Sleutelhanger-items gebruiken wanneer Sleutelhanger vergrendeld is

    Beschrijving: wanneer een sleutelhanger vergrendeld is, hebben programma's geen toegang tot de sleutelhanger-items zonder eerst te vragen om de sleutelhanger te ontgrendelen. Een programma dat echter een verwijzing naar een sleutelhanger-item heeft verkregen voordat de sleutelhanger werd vergrendeld, kan in sommige omstandigheden dat sleutelhanger-item blijven gebruiken ongeacht of de sleutelhanger vergrendeld is of niet. Deze update verhelpt het probleem door verzoeken voor het gebruik van sleutelhanger-items af te wijzen wanneer de sleutelhanger vergrendeld is. Met dank aan Tobias Hahn van de HU Berlin voor het melden van dit probleem.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardige website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: lange bestandsnaamextensies kunnen verhinderen dat downloadvalidatie het juiste programma identificeert waarmee een item kan worden geopend. Hierdoor kan een aanvaller downloadvalidatie omzeilen en ervoor zorgen dat Safari automatisch onveilige inhoud opent als de optie 'Open "veilige" bestanden na downloaden' is ingeschakeld en bepaalde programma's niet zijn geïnstalleerd. Deze update verhelpt het probleem met een verbeterde controle van de bestandsnaamextensie. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: de verwerking van URL's in libcurl kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de open-source HTTP-bibliotheek libcurl bevat bufferoverlopen bij de verwerking van URL's. Programma's die curl gebruiken voor de verwerking van URL's kunnen het probleem veroorzaken en zorgen voor het uitvoeren van willekeurige code. Deze update verhelpt het probleem door versie 7.15.1 van libcurl te installeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: door het maken van een speciaal gemaakt e-mailbericht met MacMIME-bijlagen kan een aanvaller een overloop van gehele getallen veroorzaken. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Deze update verhelpt het probleem door aanvullende validatie van berichten uit te voeren.

  • Mail

    CVE-ID: CVE-2006-1450

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bekijken van een kwaadaardig e-mailbericht kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de verwerking van ongeldige kleurgegevens in e-mailberichten met verrijkte tekst kan leiden tot de toewijzing en initialisatie van willekeurige klassen. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker van Mail. Deze update verhelpt het probleem door een correcte verwerking van de gegevens van verrijkte tekst met een verkeerde indeling.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Beschikbaar voor: Mac OS X Server v10.4.6

    Impact: er is geen wachtwoord vereist voor toegang tot de MySQL-database

    Beschrijving: bij de eerste configuratie van een MySQL-databaseserver met behulp van MySQL Manager kan het nieuwe MySQL-rootwachtwoord worden geboden. Dit wachtwoord wordt echter niet gebruikt. Daarom zal het MySQL-rootwachtwoord leeg blijven. Een lokale gebruiker heeft dan toegang tot de MySQL-database met alle bevoegdheden. Deze update verhelpt het probleem door ervoor te zorgen dat het ingevoerde wachtwoord wordt bewaard. Dit probleem is niet van invloed op systemen ouder dan Mac OS X Server v10.4. Met dank aan Ben Low van de University of New South Wales voor het melden van dit probleem.

  • Preview

    CVE-ID: CVE-2006-1452

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: door een kwaadwillig vervaardigde mapstructuur bladeren kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: wanneer je door een zeer diepe mapstructuur bladert in Preview, kan een stackbufferoverloop worden veroorzaakt. Door zorgvuldig een dergelijke mapstructuur te maken, kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de mapstructuren worden geopend in Preview. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: twee problemen hebben invloed op QuickDraw bij het verwerken van PICT-afbeeldingen. Lettertypegegevens met een verkeerde indeling kunnen zorgen voor een stackbufferoverloop en afbeeldingsgegevens met een verkeerde indeling kunnen zorgen voor een heapbufferoverloop. Door zorgvuldig een kwaadaardige PICT-afbeelding te maken, kan een aanvaller ervoor zorgen dat willekeurige code wordt uitgevoerd wanneer de afbeelding wordt geopend. Deze update verhelpt het probleem door aanvullende validatie van PICT-afbeeldingen uit te voeren. Met dank aan Mike Price van McAfee AVERT Labs voor het melden van dit probleem.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Beschikbaar voor: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impact: een QuickTime-film met een verkeerde indeling kan QuickTime Streaming Server laten vastlopen

    Beschrijving: een QuickTime-film met een ontbrekend nummer kan leiden tot een null-pointer-dereferentie waardoor het serverproces vastloopt. Dit onderbreekt actieve clientverbindingen. De server wordt echter automatisch herstart. Deze update verhelpt het probleem door een fout te tonen wanneer films met een verkeerde indeling worden herkend.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Beschikbaar voor Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Impact: kwaadwillig vervaardigde RTSP-verzoeken kunnen leiden tot vastlopen of het uitvoeren van willekeurige code

    Beschrijving: door zorgvuldig een RTSP-verzoek te maken, kan een aanvaller een bufferoverloop veroorzaken tijdens de registratie van berichten. Dit kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de QuickTime Streaming Server. Deze update verhelpt het probleem door een correcte verwerking van de bereikvoorwaarden. Met dank aan het Mu Security Research Team voor het melden van dit probleem.

  • Ruby

    CVE-ID: CVE-2005-2337

    Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: de beperking van het veilige niveau van Ruby kan worden omzeild

    Beschrijving: de Ruby-scripttaal bevat een mechanisme dat 'veilige niveaus' genoemd wordt en dat gebruikt wordt om bepaalde bewerkingen te beperken. Dit mechanisme wordt vooral gebruikt bij het uitvoeren van geprivilegieerde Ruby-programma's of Ruby-netwerkprogramma's. Een aanvaller kan in bepaalde omstandigheden de beperkingen omzeilen in dergelijke programma's. Programma's die geen veilige niveaus gebruiken worden niet getroffen. Deze update verhelpt het probleem door ervoor te zorgen dat veilige niveaus niet kunnen worden omzeild.

  • Safari

    CVE-ID: CVE-2006-1457

    Beschikbaar voor: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Impact: het bezoeken van kwaadaardige websites kan leiden tot het manipuleren van bestanden of het uitvoeren van willekeurige code

    Beschrijving: wanneer de optie 'Open "veilige" bestanden na downloaden' in Safari is ingeschakeld, worden archieven automatisch uitgepakt. Als het archief een symbolische link bevat, kan de symbolische doellink worden verplaatst naar het bureaublad van de gebruiker en worden geopend. Deze update verhelpt het probleem door gedownloade symbolische links niet te openen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.

Publicatiedatum: