Over de beveiligingsinhoud van beveiligingsupdate 2008-008 / Mac OS X v10.5.6
In dit document wordt de beveiligingsinhoud beschreven van beveiligingsupdate 2008-008 / Mac OS X v10.5.6. Deze versie kan worden gedownload en geïnstalleerd via het voorkeurenpaneel Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Beveiligingsupdate 2008-008 / Mac OS X v10.5.6
ATS
CVE-ID: CVE-2008-4236
Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: het bekijken of downloaden van een pdf-bestand met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot een denial of service
Beschrijving: er kan een oneindige lus optreden in de verwerking van ingebedde lettertypen in pdf-bestanden door de server van Apple Type Services. Het bekijken of downloaden van een pdf-bestand met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot een denial of service. Deze update lost het probleem op door aanvullende validatie van ingesloten lettertypen uit te voeren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Michael Samarin en Mikko Vihonen van Futurice Ltd. voor het melden van dit probleem.
BOM
CVE-ID: CVE-2008-4217
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: het downloaden of bekijken van een kwaadwillig vervaardigd CPIO-archief kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma
Beschrijving: er is een probleem met ondertekendheid in de verwerking van CPIO-headers door BOM wat een overloop van een stackbuffer tot gevolg kan hebben. Het downloaden of bekijken van een kwaadwillig vervaardigd CPIO-archief kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma. Deze update lost het probleem op door aanvullende validatie van CPIO-headers uit te voeren. Met dank aan Apple.
CoreGraphics
CVE-ID: CVE-2008-3623
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van overloop van een heapbuffer bij de verwerking van kleurruimten binnen CoreGraphics. Het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.
CoreServices
CVE-ID: CVE-2008-3170
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van inloggegevens
Beschrijving: Safari staat websites toe cookies in te stellen voor land specifieke domeinen op het hoogste niveau, waardoor een externe aanvaller een sessiefixatie-aanval kan uitvoeren en de inloggegevens van een gebruiker ka onderscheppen. Deze update lost het probleem op door aanvullende validatie van domeinnamen uit te voeren. Met dank aan Alexander Clauss van iCab.de voor het melden van dit probleem.
CoreTypes
CVE-ID: CVE-2008-4234
Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: een poging om onveilig gedownloade inhoud uit te voeren, wordt niet tegengehouden met een waarschuwing
Beschrijving: Mac OS X biedt een voorziening voor het valideren van downloads die kan waarschuwen voor potentieel onveilige bestanden. Programma's zoals Safari gebruiken de voorziening om gebruikers te waarschuwen als ze bestanden gaan uitvoeren die zijn gemarkeerd als potentieel onveilig. Met deze update wordt de lijst met potentieel onveilige bestandstypen uitgebreid. Zo wordt het type inhoud toegevoegd voor bestanden met uitvoerbare machtigingen en geen specifieke programmakoppeling. Deze bestanden zijn potentieel onveilig aangezien ze worden uitgevoerd in Terminal en hun inhoud wordt uitgevoerd als commando's. Hoewel deze bestanden niet automatisch worden uitgevoerd, kunnen ze leiden tot het uitvoeren van willekeurige code als ze handmatig worden geopend. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.
Flash Player Plug-in
CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: er bestaan meerdere kwetsbaarheden in de Adobe Flash Player-plugin
Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan de meest ernstige kunnen leiden tot het uitvoeren van willekeurige code bij het bekijken van een kwaadwillig vervaardigde website. De problemen worden opgelost door de Flash Player-plugin bij te werken naar versie 9.0.151.0. Meer informatie is beschikbaar op de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb08-20.html
Kernel
CVE-ID: CVE-2008-4218
Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: een lokale gebruiker kan systeembevoegdheden verkrijgen
Beschrijving: er zijn problemen met de overloop van hele getallen binnen de systeemaanroepen i386_set_ldt en i386_get_ldt, waardoor een lokale gebruiker willekeurige code kan uitvoeren met systeembevoegdheden. Deze update verhelpt het probleem door verbeterde bereikcontrole. Deze problemen zijn niet van toepassing op PowerPC-systemen. Met dank aan Richard van Eeden van IOActive, Inc. voor het melden van deze problemen.
Kernel
CVE-ID: CVE-2008-4219
Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: het uitvoeren van een uitvoerbaar bestand dat dynamische bibliotheken in een NFS-share koppelt, kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten
Beschrijving: er kan een oneindige lus ontstaan als er een uitzondering optreedt in een programma dat zich bevindt in een NFS-share. Hierdoor kan het systeem onverwacht worden afgesloten. Deze update verhelpt het probleem door een verbeterde verwerking van uitzonderingen. Met dank aan Ben Loer van Princeton University voor het melden van dit probleem.
Libsystem
CVE-ID: CVE-2008-4220
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: programma's die de API inet_net_pton gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma
Beschrijving: er is sprake van een overloop van hele getallen in de API inet_net_pton van Libsystem, wat het uitvoeren van willekeurige code tot gevolg kan hebben of de onverwachte beëindiging van het programma dat de API gebruikt. Deze update verhelpt het probleem door verbeterde bereikcontrole. Deze API wordt normaal gesproken niet aangeroepen met niet-vertrouwde gegevens en er zijn dan ook geen gevallen bekend waarin deze kwetsbaarheid is misbruikt. Deze update is bedoeld om potentiële aanvallen tegen te houden tegen een programma dat deze API gebruikt.
Libsystem
CVE-ID: CVE-2008-4221
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: programma's die de API strptime gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma
Beschrijving: er is sprake van een probleem met geheugenbeschadiging in de API strptime van Libsystem. Het parseren van een kwaadwillig vervaardigde datumreeks kan leiden tot het uitvoeren van willekeurige code of onverwachte beëindiging van het programma. Deze update verhelpt het probleem door verbeterde geheugentoewijzing. Met dank aan Apple.
Libsystem
CVE-ID: CVE-2008-1391
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: programma's die de API strfmon gebruiken, kunnen kwetsbaar zijn voor het uitvoeren van willekeurige code of onverwachte beëindiging van het programma
Beschrijving: er is sprake van overlopen van hele getallen in de implementatie van strfmon door Libsystem. Een programma dat strfmon aanroept met grote waarden van bepaalde velden met hele getallen in het argument voor het opmaken van de tekenreeks kan onverwacht worden beëindigd of het uitvoeren van willekeurige code tot gevolg hebben. Deze update verhelpt het probleem door verbeterde bereikcontrole.
Managed Client
CVE-ID: CVE-2008-4237
Beschikbaar voor: Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: de beheerde instellingen van de schermbeveiliging worden niet toegepast
Beschrijving: de methode waarmee de software op een beheerd clientsysteem per-host configuratiegegevens installeert, slaagt er niet altijd in het systeem correct te identificeren. Bij een onjuist geïdentificeerd systeem worden per-host instellingen niet toegepast, waaronder de vergrendeling van de schermbeveiliging. Deze update lost het probleem op door de beheerde client de juiste systeemidentificatie te laten gebruiken. Dit probleem doet niet zich voor met systemen met ingebouwd ethernet. Met dank aan John Barnes van ESRI en Trevor Lalish-Menagh van Tamman Technologies, Inc. voor het melden van dit probleem.
network_cmds
CVE-ID: CVE-2008-4222
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.5
Impact: een externe aanvaller kan een denial of service veroorzaken als internetdeling is ingeschakeld
Beschrijving: er kan een oneindige lus ontstaan bij de verwerking van TCP-pakketten in natd. Door het verzenden van een kwaadwillig vervaardigd TCP-pakket kan een externe aanvaller een denial of service veroorzaken als internetdeling is ingeschakeld. Deze update lost het probleem op door aanvullende validatie van TCP-pakketten uit te voeren. Met dank aan Alex Rosenberg van Ohmantics en Gary Teter van Paizo Publishing voor het melden van dit probleem.
Podcast Producer
CVE-ID: CVE-2008-4223
Beschikbaar voor: Mac OS X Server v10.5 tot en met v10.5.5
Impact: een externe aanvaller kan toegang krijgen tot de administratieve functies van Podcast Producer
Beschrijving: er is een probleem met het omzeilen van authenticatie op de server van Podcast Producer waardoor een onbevoegde gebruiker toegang kan krijgen tot administratieve functies van de server. Deze update lost het probleem op door een verbeterde verwerking van toegangsbeperkingen. Podcast Producer is geïntroduceerd in Mac OS X Server v10.5.
CoreGraphics
CVE-ID: CVE-2008-4224
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 tot en met v10.5.5, Mac OS X Server v10.5 tot en met v10.5.6
Impact: het openen van een kwaadwillig vervaardigd ISO-bestand kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten
Beschrijving: er is sprake van verschillende problemen met geheugenbeschadiging bij de verwerking van pdf-bestanden door CoreGraphics. Het openen van een kwaadwillig vervaardigd ISO-bestand kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten. Deze update lost het probleem op door verbeterde invoervalidatie. Met dank aan Mauro Notarianni van PCAX Solutions voor het melden van dit probleem.
Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.