Over beveiligingsupdate 2008-002

In dit document wordt beveiligingsupdate 2008-002 beschreven, die u kunt downloaden en installeren via de voorkeuren voor Software-update of via Apple Downloads.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg "Apple-beveiligingsupdates" voor meer informatie over andere beveiligingsupdates.
 

Beveiligingsupdate 2008-002

  • AFP Client

    CVE-ID: CVE-2008-0044

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: het openen van een kwaadwillig vervaardigde afp://-URL kan leiden tot het beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treden meerdere problemen met stackbufferoverlopen op bij de verwerking van afp:// URL's door AFP Client. Door een gebruiker te verleiden om verbinding te maken met een schadelijke AFP-server, kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. In deze update worden deze problemen verholpen door middel van verbeterde bounds checking.

  • AFP-server

    CVE-ID: CVE-2008-0045

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: cross-realmidentiteitscontrole met AFP-server kan worden genegeerd

    Beschrijving: er bestaat een implementatieprobleem bij de controle van realmnamen van de Kerberos-principal in AFP-server. Hierdoor zijn onbevoegde verbindingen met de server mogelijk wanneer een cross-realmidentiteitscontrole met de AFP-server wordt gebruikt. Deze update verhelpt het probleem met verbeterde controles van realmnamen van de Kerberos-principal. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Met dank aan Ragnar Sundblad van KTH - Royal Institute of Technology, Stockholm, Zweden voor het melden van dit probleem.

  • Apache

    CVE-ID: CVE-2005-3352, CVE-2006-3747, CVE-2007-3847, CVE-2007-5000, CVE-2007-6388

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in Apache 1.3.33 en 1.3.39

    Beschrijving: Apache is bijgewerkt naar versie 1.3.41 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van Apache op http://httpd.apache.org. Voor Mac OS X v10.5 wordt Apache versie 1.3.x alleen meegeleverd bij Server-configuraties. mod_ssl is ook bijgewerkt van versie 2.8.24 naar 2.8.31 om bij de geüpgrade Apache te passen; de update bevat geen verbeteringen voor de beveiliging.

  • Apache

    CVE-ID: CVE-2007-5000, CVE-2007-6203, CVE-2007-6388, CVE-2007-6421, CVE-2008-0005, CVE-2006-5752

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in Apache 2.2.6

    Beschrijving: Apache is bijgewerkt naar versie 2.2.8 om diverse kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot cross-site scripting. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org

  • AppKit

    CVE-ID: CVE-2008-0048

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het gebruik van het NSDocument API kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er treedt een stackbufferoverloop op bij het verwerken van bestandsnamen door NSDocument API. Bij de meeste bestandssystemen kan dit probleem niet worden misbruikt. Deze update verhelpt dat probleem door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • AppKit

    CVE-ID: CVE-2008-0049

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: een mach-poort in NSApplication bestemd voor inter-thread-synchronisatie is onbedoeld beschikbaar voor interprocescommunicatie. Door kwaadwillige vervaardigde berichten te verzenden naar bevoegde programma's in dezelfde bootstrap-naamruimte kan een lokale gebruiker willekeurige code uitvoeren met de bevoegdheden van het doelprogramma. Deze update verhelpt het probleem door de desbetreffende mach-poort te verwijderen en een andere synchronisatiemethode te gebruiken. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • AppKit

    CVE-ID: CVE-2008-0057

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er bestaan meerdere overlopen bij gehele getallen in de parser voor een verouderde serialisatiestructuur. Door ervoor te zorgen dat een kwaadwillig gestructureerde geserialiseerde eigenschappenlijst wordt geparst, kan een aanvaller een heapgebaseerde bufferoverloop veroorzaken die kan leiden tot de uitvoering van willekeurige code. Deze update verhelpt het probleem door een extra validatie van geserialiseerde invoer te verrichten. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • AppKit

    CVE-ID: CVE-2008-0997

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het zoeken van een netwerkprinter kan ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd

    Beschrijving: er treedt een stackbufferoverloop op bij de verwerking van PPD-bestanden door AppKit. Door een gebruiker te verleiden om een netwerkprinter te zoeken, kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. In deze update wordt het probleem verholpen door een verbeterde verwerking van PPD-bestanden. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Programma-firewall

    CVE-ID: CVE-2008-0046

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: de Duitse vertaling van het voorkeurenpaneel van Programma-firewall was misleidend

    Beschrijving: het keuzerondje "Stel toegang in voor specifieke voorzieningen en programma's" in het voorkeurenpaneel van Programma-firewall was in het Duits vertaald als "Zugriff auf bestimmte Dienste und Programme festlegen", wat "Stel toegang in op specifieke voorzieningen en programma's" betekent. Hierdoor kan een gebruiker veronderstellen dat de vermelde voorzieningen de enige waren die inkomende verbindingen zouden accepteren. Deze update verhelpt het probleem door de Duitse tekst te wijzigen in een semantisch overeenkomstige vertaling van de Engelse tekst. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Effect: een kwaadwillige proxyserver kan beveiligde websites vervalsen

    Beschrijving: een kwaadwillige HTTPS-proxyserver kan willekeurige gegevens retourneren naar CFNetwork in een foutmelding 502 Onjuiste gateway. Een kwaadwillige proxyserver kan dit gebruiken om veilige websites te vervalsen. Deze update verhelpt het probleem door een fout in plaats van de gegevens van de proxy te retourneren bij een proxyfout. Dit probleem is al verholpen op systemen met Mac OS X v10.5.2.

  • ClamAV

    CVE-ID: CVE-2007-3725, CVE-2007-4510, CVE-2007-4560, CVE-2007-5759, CVE-2007-6335, CVE-2007-6336, CVE-2007-6337, CVE-2008-0318, CVE-2008-0728

    Beschikbaar voor: Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in ClamAV 0.90.3

    Beschrijving: er bestaan meerdere kwetsbaarheden in ClamAV 0.90.3 dat wordt meegeleverd bij systemen met Mac OS X Server v10.5, waarvan de ernstige kunnen leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door bij te werken naar ClamAV 0.92.1. Verdere informatie is beschikbaar via de ClamAV-website op www.clamav.net

  • ClamAV

    CVE-ID: CVE-2006-6481, CVE-2007-1745, CVE-2007-1997, CVE-2007-3725, CVE-2007-4510, CVE-2007-4560, CVE-2007-0897, CVE-2007-0898, CVE-2008-0318, CVE-2008-0728

    Beschikbaar voor: Mac OS X Server v10.4.11

    Impact: meerdere kwetsbaarheden in ClamAV 0.88.5

    Beschrijving: er bestaan meerdere kwetsbaarheden in ClamAV 0.88.5 dat wordt meegeleverd bij Mac OS X Server v10.4.11, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door bij te werken naar ClamAV 0.92.1. Verdere informatie is beschikbaar via de ClamAV-website op www.clamav.net

  • CoreFoundation

    CVE-ID: CVE-2008-0051

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er treedt een overloop bij gehele getallen op bij de verwerking van tijdzonegegevens in CoreFoundation. Hierdoor kan een lokale gebruiker willekeurige code uitvoeren met systeembevoegdheden. Deze update verhelpt het probleem door middel van verbeterde bounds checking bij gegevensbestanden van tijdzones. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • CoreServices

    CVE-ID: CVE-2008-0052

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11.

    Impact: het bezoeken van een website kan ervoor zorgen dat bestanden worden geopend in AppleWorks

    Beschrijving: bestanden met namen die eindigen op ".ief" kunnen automatisch worden geopend in AppleWorks als de voorkeur "Open 'veilige' bestanden" in Safari is ingeschakeld. Dit is niet het bedoelde gedrag en kan leiden tot schendingen van het beveiligingsbeleid. Deze update verhelpt het probleem door "ief" te verwijderen uit de lijst met veilige bestandstypen. Dit probleem is alleen van invloed op systemen ouder dan Mac OS X v10.5 waarop AppleWorks is geïnstalleerd.

  • CUPS

    CVE-ID: CVE-2008-0596

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11.

    Impact: een extern aanvaller kan ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd

    Beschrijving: er bestaat een geheugenlek in CUPS. Door de verzending van een groot aantal verzoeken om gedeelde printers toe te voegen en te verwijderen kan een aanvaller een serviceweigering veroorzaken. Dit probleem kan niet leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door een verbeterd geheugenbeheer. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • CUPS

    CVE-ID: CVE-2008-0047

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een extern aanvaller kan ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd als printerdeling is ingeschakeld

    Beschrijving: er treedt een heapbufferoverloop op bij de verwerking van zoekexpressies in de CUPS-interface. Als printerdeling is ingeschakeld, kan een externe aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd met systeembevoegdheden. Als printerdeling niet is ingeschakeld, kan een lokale gebruiker systeembevoegdheden verkrijgen. Deze update verhelpt dit probleem door een extra bounds checking uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan regenrecht in samenwerking met het VeriSign iDefense VCP voor het melden van dit probleem.

  • CUPS

    CVE-ID: CVE-2008-0053, CVE-2008-0882

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in CUPS kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijven: er bestaan meerdere problemen met de validatie van invoer in CUPS, waarvan de ernstige kunnen leiden tot het uitvoeren van willekeurige code met systeembevoegdheden. Deze update verhelpt de problemen door bij te werken naar CUPS 1.3.6. Deze problemen zijn niet van invloed op systemen ouder dan Mac OS X v10.5.

  • curl

    CVE-ID: CVE-2005-4077

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het uitvoeren van curl met een kwaadwillig vervaardigde URL kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een bufferoverloop van één bute in curl 7.13.1. Door een gebruiker te verleiden om curl uit te voeren met een kwaadwillig vervaardigde URL kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. Deze update verhelpt het programma door curl bij te werken naar versie 7.16.3. Crashrapportage werd bijgewerkt voor de wijzigingen aan curl. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Emacs

    CVE-ID: CVE-2007-6109

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een kwetsbaarheid in een structuurtekenreeks in Emacs Lisp kan leiden tot het onverwacht beëindigen van het programma of het mogelijk uitvoeren van willekeurige code

    Beschrijving: er treedt een stackbufferoverloop op in de structuurfunctie van Emacs. Door misbruik te maken van een kwetsbare Emacs Lisp, waardoor een aanvaller een structuurtekenreeks met een hoge precisiewaarde kan voorzien, kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. Verdere informatie over de toegepaste patch is beschikbaar via de website van Savannah Emacs op http://cvs.savannah.gnu.org/viewvc/emacs/emacs/src/editfns.c?r1=1.439.2.3&r2=1.439.2.9&view=patch

  • Emacs

    CVE-ID: CVE-2007-5795

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: controles van veilige modus in Emacs worden mogelijk genegeerd

    Beschrijving: door een logische fout in de functie hack-local-variable van Emacs kan een willekeurige lokale variabele worden ingesteld, zelfs als 'enable-local-variables' is ingesteld op :safe. Door een gebruiker te verleiden om een bestand met een kwaadwillig vervaardigde declaratie van lokale variabelen te laden, kan een lokale gebruiker zorgen voor een onbevoegde wijziging aan variabelen van Emac Lisp die leidt tot het uitvoeren van willekeurige code. Dit probleem is opgelost door verbeterde controles van de veilige modus. De toegepaste patch is beschikbaar via de website van Savannah Emacs op http://cvs.savannah.gnu.org/viewvc/emacs/lisp/files.el?r1=1.937&r2=1.938&sortby=date&root=emacs&view=patch. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • file

    CVE-ID: CVE-2007-2799

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11.

    Impact: het uitvoeren van het file-commando op een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een overloop bij gehele getallen in de commandoregel file die kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Met dank aan Colin Percival van het FreeBSD security team voor het melden van dit probleem.

  • Foundation

    CVE-ID: CVE-2008-0054

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het gebruik van de NSSelectorFromString API kan ertoe leiden dat een onverwachte methode wordt aangeroepen

    Beschrijving: er bestaat een probleem met de validatie van invoer in de NSSelectorFromString API. Het geven van een onjuist gevormde selectornaam kan leiden tot het retourneren van een onverwachte selector, wat kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra validatie van de selectornaam te verrichten. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Foundation

    CVE-ID: CVE-2008-0055

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan bestandsbewerkingen van andere gebruikers hinderen en kan verhoogde bevoegdheden verkrijgen

    Beschrijving: wanneer een recursieve bewerking wordt uitgevoerd waarbij een bestand wordt gekopieerd, maakt NSFileManager directories als world-writable, en beperkt het slechts later de bevoegdheden. Dit maakt een racevoorwaarde aan gedurende dewelke een lokale gebruiker de directory kan manipuleren en latere bewerkingen kan hinderen. Dit kan leiden tot een wijziging in bevoegdheden naar deze van het programma dat de API gebruikt. Deze update verhelpt het probleem door directories met beperkende bevoegdheden aan te maken. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Foundation

    CVE-ID: CVE-2008-0056

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: programma's die de NSFileManager API gebruiken kunnen worden gemanipuleerd om willekeurige code uit te voeren

    Beschrijving: een lange padnaam met een onverwachte structuur kan een stackbufferoverloop in NSFileManager blootstellen. Een speciaal vervaardigd pad voorstellen aan een programma dat NSFileManager gebruikt, kan leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het programma door een doelbuffer van de juiste grootte te verzekeren. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Foundation

    CVE-ID: CVE-2008-0058

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het weigeren van de service of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een thread racevoorwaarde in het cachebeheer van NSURLConnection waardoor een misplaatst object berichten kan ontvangen. Het oproepen van dit probleem van leiden tot een serviceweigering of de uitvoering van willekeurige code met de bevoegdheden van Safari of een ander programma die NSURLConnection gebruikt. Deze update verhelpt het programma door een niet-gesychroniseerde cachebewerking te verwijderen. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Met dank aan Daniel Jalkut van Red Sweater Software voor het melden van dit probleem.

  • Foundation

    CVE-ID: CVE-2008-0059

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het verwerken van een XML-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een racevoorwaarde in NSXML. Door een gebruiker te verleiden om een XML-bestand te verwerken in een programma dat NSXML gebruikt, kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. Deze update verhelpt het probleem door een verbeterde logica van de foutverwerking door NSXML. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Help-viewer

    CVE-ID: CVE-2008-0060

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: het openen van een kwaadwillig vervaardigde help:-URL kan leiden tot het uitvoeren van een willekeurig Applescript

    Beschrijving: een kwaadwillige help:topic_list-URL kan willekeurige HTML of JavaScript plaatsen in de gemaakte pagina met de onderwerpenlijst, waardoor een omleiding mogelijk is naar een help:runscript-koppeling van Help-viewer dat Applescript uitvoert. Deze update verhelpt het probleem door HTML escaping uit te voeren op de URL-gegevens die worden gebruikt in de lijsten met helponderwerpen voordat de gemaakte pagina wordt gebouwd. Met dank aan Brian Mastenbrook voor het melden van dit probleem.

  • Raw-afbeelding

    CVE-ID: CVE-2008-0987

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Effect: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van kwaadwillige code

    Beschrijving: er bestaat een stackbufferoverloop bij de verwerking van Adobe Digital Negative (DNG)-afbeeldingbestanden. Door een gebruiker te verleiden om een kwaadwillig vervaardigd afbeeldingsbestand te openen, kan een aanvaller ervoor zorgen dat het programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. Deze update verhelpt dit probleem door een verbeterde validatie van DNG-afbeeldingsbestanden te verrichten. Dit probleem heeft geen invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Clint Ruoho van Laconic Security voor het melden van dit probleem.

  • Kerberos

    CVE-ID: CVE-2007-5901, CVE-2007-5971, CVE-2008-0062, CVE-2008-0063

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in MIT Kerberos 5 kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er bestaan meerdere problemen met geheugenbeschadiging in MIT Kerberos 5 die kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden. Verdere informatie over de problemen en de toegepaste patches is beschikbaar via de website van MIT Kerberos website op http://web.mit.edu/Kerberos/. CVE-2008-0062 en CVE-2008-0063 zijn niet van invloed op systemen met Mac OS X v10.5 of hoger. CVE-2007-5901 is niet van invloed op systemen ouder dan Mac OS X v10.4.

  • libc

    CVE-ID: CVE-2008-0988

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: programma's die gebruikmaken van de strnstr API zijn mogelijk kwetsbaar voor een serviceweigering

    Beschrijving: een "off by one"-probleem bestaat in de implementatie van strnstr(3) door Libsystem. Programma's die gebruikmaken van de strnstr API kunnen één byte verder dan de door de gebruiker opgegeven limiet lezen, wat kan leiden tot het onverwacht beëindigen van het programma. Deze update verhelpt dat probleem door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Met dank aan Mike Ash van Rogue Amoeba Software voor het melden van dit probleem.

  • mDNSResponder

    CVE-ID: CVE-2008-0989

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er bestaat een probleem met een structuurtekenreeks in mDNSResponderHelper. Door de lokale hostnaam in te stellen op een kwaadwillig vervaardigde tekenreeks kan een lokale gebruiker zorgen voor het weigeren van service of het uitvoeren van willekeurige code met de bevoegdheden van mDNSResponderHelper. Deze update verhelpt het probleem door een statische structuurtekenreeks te gebruiken. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • notifyd

    CVE-ID: CVE-2008-0990

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan de toegang tot meldingen weigeren

    Beschrijving: notifyd accepteert inactiviteitsmeldingen van de Mach-poort zonder na te gaan of ze afkomstig zijn van de kernel. Als een lokale gebruiker valse inactiviteitsmeldingen van de Mach-poort verzendt naar notifyd, kunnen programma's die gebruikmaken van de notify(3) API voor de registratie voor meldingen, mogelijk nooit de meldingen ontvangen. Deze update verhelpt het probleem door alleen inactiviteitsmeldingen van de Mach-poort van de kernel te accepteren. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • OpenSSH

    CVE-ID: CVE-2007-4752

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een externe aanvaller kan willekeurige code uitvoeren met verhoogde bevoegdheden

    Beschrijving: OpenSSH stuurt een vertrouwde X11-cookie door wanneer het geen niet-vertrouwde cookie kan maken. Hierdoor kan een externe aanvaller verhoogde bevoegdheden verkrijgen. Deze update verhelpt het probleem door OpenSSH bij te werken naar versie 4.7. Verdere informatie is beschikbaar via de website van OpenSSH op http://www.openssh.org/txt/release-4.7

  • pax-archiefhulpprogramma

    CVE-ID: CVE-2008-0992

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: het uitvoeren van het commando pax op een kwaadwillig vervaardigd archief kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de commandoregel pax controleert de lengte van de invoer niet voordat deze wordt gebruikt als een arrayindex, wat kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door de index te controleren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • PHP

    CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768, CVE-2007-4887

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in PHP 5.2.4

    Beschrijving: PHP is bijgewerkt naar versie 5.2.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u op de PHP-website op http://www.php.net/. PHP-versie 5.2.x wordt alleen meegeleverd bij systemen met Mac OS X v10.5.

  • PHP

    CVE-ID: CVE-2007-3378, CVE-2007-3799

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in PHP 4.4.7

    Beschrijving: PHP is bijgewerkt naar versie 4.4.8 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net.

  • Podcast Producer

    CVE-ID: CVE-2008-0993

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: Podcast Capture stelt wachtwoorden bloot aan andere lokale gebruikers

    Beschrijving: het programma Podcast Capture biedt wachtwoorden aan een subtaak via de argumenten, waardoor het de wachtwoorden mogelijk blootstelt aan andere lokale gebruikers. Deze update verhelpt het probleem door wachtwoorden via een pipe te leveren aan de subtaak. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Maximilian Reiss van Chair for Applied Software Engineering, TUM voor het melden van dit probleem.

  • Voorvertoning

    CVE-ID: CVE-2008-0994

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: het opslaan naar een gecodeerde PDF in Voorvertoning maakt bestanden die kunnen worden gelezen zonder het wachtwoord

    Beschrijving: wanneer Voorvertoning een PDF-bestand zonder codering opslaat, gebruikt het 40-bits RC4. Dit coderingsalgoritme kan worden gebroken met heel wat maar gemakkelijk te verkrijgen computervermogen. Een persoon met toegang tot het bestand kan een beveiligingstechniek toepassen om het bestand te bekijken. Deze update verbetert de codering naar 128-bits RC4.

  • Afdrukken

    CVE-ID: CVE-2008-0995

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: afdrukken naar een gecodeerde PDF maakt bestanden die kunnen worden gelezen zonder het "open" wachtwoord

    Beschrijving: bij het afdrukken naar een PDF-bestand en het instellen van een "open" wachtwoord wordt 40-bits RC4 gebruikt. Dit coderingsalgoritme kan worden gebroken met heel wat maar gemakkelijk te verkrijgen computervermogen. Een persoon met toegang tot het bestand kan een beveiligingstechniek toepassen om het bestand te bekijken. Deze update verbetert de codering naar 128-bits RC4. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • Afdrukken

    CVE-ID: CVE-2008-0996

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: afdrukken naar een gecontroleerde afdrukwachtrij kan ervoor zorgen dat inloggegevens worden vrijgegeven

    Beschrijving: er bestaat een probleem met de vrijgave van informatie bij de verwerking van gecontroleerde afdrukwachtrijen. Wanneer een taak in een gecontroleerde afdrukwachtrij wordt gestart, kunnen de gebruikte inloggegevens voor de identiteitscontrole op de schijf opgeslagen zijn. Deze update verhelpt het probleem door de gebruikersgegevens te verwijderen uit voorinstellingen voor afdruktaken voordat ze op schijf worden opgeslagen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • Systeemconfiguratie

    CVE-ID: CVE-2008-0998

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: het bevoegde hulpprogramma NetCfgTool gebruikt gedistribueerde objecten voor de communicatie met niet-vertrouwde clients op de lokale computer. Door de verzending van een kwaadwillig vervaardigd bericht kan een lokale gebruiker de identiteitscontrole omzeilen en ervoor zorgen dat willekeurige code wordt uitgevoerd met de bevoegdheden van het bevoegde programma. Deze update verhelpt het probleem door een extra validatie van gedistribueerde objecten te verrichten.

  • UDF

    CVE-ID: CVE-2008-0999

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: het openen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht uitschakelen van het systeem

    Beschrijving: er treedt een null pointer-dereferentie op bij de verwerking van Universal Disc Format (UDF)-bestandssystemen. Door een gebruiker te verleiden om een kwaadwillig vervaardigde schijfkopie te openen, kan een aanvaller ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld. Deze update verhelpt het probleem met een verbeterde validatie van UDF-bestandssystemen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Paul Wagland van Redwood Software, en Wayne Linder van Iomega voor het melden van dit probleem.

  • Wiki Server

    CVE-ID: CVE-2008-1000

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: een gebruiker met toegang om wiki-inhoud te bewerken, kan willekeurige commando's uitvoeren als de wiki-server

    Beschrijving: er treedt een 'path traversal'-probleem op in de Wiki Server van Mac OS X v10.5 Server. Aanvallers met toegang om wiki-inhoud te bewerken, kunnen bestanden uploaden die dit probleem uitbuiten om inhoud te plaatsen waar de wiki-server gegevens kan schrijven, wat kan leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de wiki-server. Deze update verhelpt het probleem door een verbeterde verwerking van bestandsnamen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Rodrigo Carvalho van het Core Security Consulting Services (CSC) team van CORE Security Technologies.

  • X11

    CVE-ID: CVE-2007-4568, CVE-2007-4990

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: meerdere kwetsbaarheden in X11 X Font Server (XFS) 1.0.4

    Beschrijving: er bestaan meerdere kwetsbaarheden in X11 X Font Server (XFS) 1.0.4, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code Deze update verhelpt het probleem door bij te werken naar versie 1.0.5. Verdere informatie is beschikbaar via de website van X.Org op http://www.x.org/wiki/Development/Security. Deze problemen zijn al verholpen in systemen met Mac OS X v10.5.2.

  • X11

    CVE-ID: CVE-2006-3334, CVE-2006-5793, CVE-2007-2445, CVE-2007-5266, CVE-2007-5267, CVE-2007-5268, CVE-2007-5269

    Beschikbaar voor: Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in libpng 1.2.8 van X11

    Beschrijving: de PNG-referentiebibliotheek (libpng) is bijgewerkt naar versie 1.2.24 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service op afstand of het uitvoeren van willekeurige code. Verdere informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html. Dit probleem is van invloed op libpng binnen X11. Het is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • X11

    CVE-ID: CVE-2007-5958, CVE-2008-0006, CVE-2007-6427, CVE-2007-6428, CVE-2007-6429

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.2, Mac OS X Server v10.5.2

    Impact: meerdere kwetsbaarheden in de X11-server

    Beschrijving: meerdere kwetsbaarheden in de X11-server zorgen voor het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker die de X11-server gebruikt als de aanvaller kan inloggen bij de X11-server. Dit is alleen een beveiligingsprobleem als de X11-server is geconfigureerd om geen identiteitscontrole te vragen, wat Apple niet aanbeveelt. Deze update verhelpt het probleem door de bijgewerkte X.Org-patches toe te passen. U vindt meer informatie via de website van X.Org op http://www.x.org/wiki/Development/Security.

Belangrijk: Informatie over producten die niet door Apple zijn vervaardigd, is alleen bedoeld voor informatieve doeleinden en impliceert niet dat Apple deze producten goedkeurt of aanbeveelt. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: