Over de beveiligingsinhoud van de Mac OS X 10.4.8-update en beveiligingsupdate 2006-006
In dit document worden de beveiligingsupdate 2006-006 en de beveiligingsinhoud van de Mac OS X 10.4.8-update beschreven, die kunnen worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Mac OS X v10.4.8 en beveiligingsupdate 2006-006
CFNetwork
CVE-ID: CVE-2006-4390
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: CFNetwork-clients zoals Safari geven mogelijk niet-geverifieerde SSL-sites weer als geverifieerd
Beschrijving: verbindingen die worden gemaakt met SSL worden normaal gesproken geverifieerd en versleuteld. Wanneer versleuteling wordt geïmplementeerd zonder verificatie, kunnen kwaadwillende sites zich voordoen als vertrouwde sites. In het geval van Safari kan dit ertoe leiden dat het slotsymbool wordt weergegeven wanneer de identiteit van een externe site niet betrouwbaar is. Deze update verhelpt het probleem door anonieme SSL-verbindingen standaard niet toe te staan. Met dank aan Adam Bryzak van de Queensland University of Technology voor het melden van dit probleem.
Flash Player
CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: het afspelen van Flash-inhoud kan leiden tot de uitvoering van willekeurige code
Beschrijving: Adobe Flash Player bevat kritieke kwetsbaarheden die ertoe kunnen leiden dat willekeurige code wordt uitgevoerd bij kwaadwillig vervaardigde inhoud. Deze update verhelpt de problemen door versie 9.0.16.0 van Flash Player te integreren in Mac OS X v10.3.9-systemen en versie 9.0.20.0 van de Flash Player in Mac OS X v10.4-systemen.
Verdere informatie is te vinden op de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb06-11.html.
ImageIO
CVE-ID: CVE-2006-4391
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: het bekijken van een kwaadwillig vervaardigde JPEG2000-afbeelding kan ertoe leiden dat de app crasht of dat er willekeurige code wordt uitgevoerd
Beschrijving: door middel van een zorgvuldig gemaakte corrupte JPEG2000-afbeelding kan een aanvaller een bufferoverflow veroorzaken, wat ervoor kan zorgen dat de app crasht of dat er willekeurige code wordt uitgevoerd. Deze update verhelpt het probleem door middel van aanvullende verificatie van JPEG2000-afbeeldingen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Tom Saxton van Idle Loop Software Design voor het melden van dit probleem.
Kernel
CVE-ID: CVE-2006-4392
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: lokale gebruikers kunnen mogelijk willekeurige code uitvoeren met meer privileges
Beschrijving: een mechanisme voor het afhandelen van fouten in de kernel, bekend als Mach-uitzonderingspoorten, biedt de mogelijkheid om programma's te besturen wanneer bepaalde soorten fouten worden aangetroffen. Kwaadwillende lokale gebruikers konden dit mechanisme gebruiken om willekeurige code uit te voeren in bevoorrechte programma's als er een fout werd gevonden. Deze update verhelpt het probleem door de toegang tot Mach-uitzonderingspoorten voor bevoorrechte programma's te beperken. Met dank aan Dino Dai Zovi van Matasano Security voor het melden van dit probleem.
LoginWindow
CVE-ID: CVE-2006-4397
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: na een mislukte poging om in te loggen op een netwerkaccount zijn Kerberos-tickets mogelijk toegankelijk voor andere lokale gebruikers
Beschrijving: door een niet-gecontroleerde foutconditie worden Kerberos-tickets mogelijk niet goed vernietigd na een mislukte poging om in te loggen op een netwerkaccount via het inlogvenster. Dit kan leiden tot niet-geautoriseerde toegang tot de Kerberos-tickets van een vorige gebruiker door andere lokale gebruikers. Deze update verhelpt het probleem door de cache met inloggegevens te wissen na mislukte inlogpogingen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Patrick Gallagher van Digital Peaks Corporation voor het melden van dit probleem.
LoginWindow
CVE-ID: CVE-2006-4393
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: Kerberos-tickets zijn mogelijk toegankelijk voor andere lokale gebruikers als Snel wisselen van gebruiker is ingeschakeld
Beschrijving: door een fout in de afhandeling van Snel wisselen van gebruiker kan een lokale gebruiker toegang krijgen tot de Kerberos-tickets van andere lokale gebruikers. Snel wisselen van gebruiker is bijgewerkt om dit soort situaties te voorkomen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Ragnar Sundblad van het Royal Institute of Technologie, Stockholm, Zweden voor het melden van dit probleem.
LoginWindow
CVE-ID: CVE-2006-4394
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: netwerkaccounts kunnen mogelijk de toegangscontroles van het inlogvenster omzeilen
Beschrijving: toegangscontroles kunnen worden gebruikt om te beperken welke gebruikers mogen inloggen bij een systeem via het inlogvenster. Door een logische fout in het inlogvenster kunnen netwerkaccounts zonder GUID's de toegangscontrole tot de service omzeilen. Dit probleem heeft alleen invloed op systemen die zijn geconfigureerd voor het gebruik van toegangscontroles voor het inlogvenster en die netwerkaccounts toestaan om gebruikers te valideren zonder GUID. Het probleem is opgelost door op de juiste manier om te gaan met toegangscontroles voor services in het inlogvenster. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4.
Preferences
CVE-ID: CVE-2006-4387
Beschikbaar voor: Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: na het verwijderen van de beheerdersprivileges van een account, kan deze mogelijk nog steeds WebObjects-apps beheren
Beschrijving: het uitschakelen van het selectievakje 'Sta toe dat deze gebruiker deze computer beheert' in Systeemvoorkeuren kan ertoe leiden dat de account niet wordt verwijderd uit de appserveradm- of appserverusr-groepen. Met deze groepen kan een account WebObjects-apps beheren. Deze update verhelpt het probleem door te zorgen dat de account wordt verwijderd uit de betreffende groepen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.4. Met dank aan Phillip Tejada van Fruit Bat Software voor het melden van dit probleem.
QuickDraw Manager
CVE-ID: CVE-2006-4395
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: het openen van een kwaadaardige PICT-afbeelding met bepaalde apps kan leiden tot een crash van de app of het uitvoeren van willekeurige code
Beschrijving: bepaalde apps gebruiken een niet-ondersteunde QuickDraw-bewerking om PICT-afbeeldingen weer te geven. Door zorgvuldig een corrupte PICT-afbeelding te maken, kan een aanvaller geheugencorruptie veroorzaken in deze apps, wat ertoe kan leiden dat de app vastloopt of willekeurige code wordt uitgevoerd. Deze update verhelpt het probleem door de niet-ondersteunde bewerking te voorkomen.
SASL
CVE-ID: CVE-2006-1721
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: aanvallers op afstand kunnen mogelijk een weigering van de IMAP-server veroorzaken
Beschrijving: een probleem in de DIGEST-MD5-onderhandelingsondersteuning in Cyrus SASL kan leiden tot een segmentatiefout in de IMAP-server met een kwaadaardig gemaakte domeinkop. Deze update verhelpt het probleem via goedgekeurde omgang met domeinkoppen bij verificatiepogingen.
WebCore
CVE-ID: CVE-2006-3946
Beschikbaar voor: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 tot Mac OS X v10.4.7, Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: een kwaadwillig gemaakte webpagina bekijken kan leiden tot uitvoering van willekeurige code
Beschrijving: door een geheugenbeheerfout in WebKit's verwerking van bepaalde HTML kan een kwaadaardige website een crash veroorzaken of mogelijk willekeurige code uitvoeren als de gebruiker die de site bekijkt. Deze update verhelpt het probleem door de voorwaarde te voorkomen die de overflow veroorzaakt. Met dank aan Jens Kutilek van Netzallee, Lurene Grenier - Senior Research Engineer bij Sourcefire VRT en Jose Avila III, Security Analyst bij ONZRA voor het melden van dit probleem.
Workgroup Manager
CVE-ID: CVE-2006-4399
Beschikbaar voor: Mac OS X Server v10.4 tot Mac OS X Server v10.4.7
Impact: accounts binnen een NetInfo-hoofdaccount die ShadowHash-wachtwoorden lijken te gebruiken, maken mogelijk nog steeds gebruik van crypt
Beschrijving: Workgroup Manager lijkt het wisselen van crypt naar ShadowHash-wachtwoorden toe te staan binnen een NetInfo-account, wanneer dit is in werkelijkheid niet zo is. Als de weergave van een account binnen een NetInfo-hoofdaccount wordt vernieuwd, wordt aangegeven dat de crypt nog steeds wordt gebruikt. Deze update verhelpt het probleem door beheerders niet toe te staan ShadowHash-wachtwoorden te selecteren voor accounts in een NetInfo-hoofdaccount. Met dank aan Chris Pepper van The Rockefeller University voor het melden van dit probleem.
Opmerking over installatie
De software-update presenteert de update die van toepassing is op je systeemconfiguratie. Er is slechts één update vereist.
Beveiligingsupdate 2006-006 wordt geïnstalleerd op Mac OS X v10.3.9 en Mac OS X Server v10.3.9-systemen.
Mac OS X v10.4.8 bevat de beveiligingsoplossingen van beveiligingsupdate 2006-006 en wordt geïnstalleerd op Mac OS X v10.4 of nieuwer en Mac OS X Server v10.4 en nieuwere systemen.
Belangrijk: Informatie over producten die niet door Apple zijn geproduceerd, wordt alleen ter informatie verstrekt en vormt geen aanbeveling of goedkeuring van Apple. Neem voor meer informatie contact op met de leverancier.