Over de beveiligingsinhoud van Security Update 2008-003 / Mac OS X 10.5.3

In dit document wordt de beveiligingsinhoud van Security Update 2008-003 / Mac OS X 10.5.3 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de Apple-downloadpagina.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet tot een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg "Apple-beveiligingsupdates" voor meer informatie over overige beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Security Update 2008-003 / Mac OS X v10.5.3

  • AFP-server

    CVE-ID: CVE-2008-1027

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: bestanden die niet zijn aangewezen voor delen, kunnen extern worden geopend

    Beschrijving: AFP-server heeft niet gecontroleerd of een aan te bieden bestand of directory zich in een map bevond die was aangewezen voor delen. Een verbonden gebruiker of gast kan alle bestanden of mappen openen waarvoor hij of zij toestemming heeft, zelfs als deze zich niet in mappen bevinden die zijn aangewezen voor delen. Deze update verhelpt het probleem door de toegang tot bestanden en mappen te weigeren die zich niet in een map bevinden die is aangewezen voor delen. Met dank aan Alex deVries en Robert Rich voor het melden van dit probleem.

  • Apache

    CVE-ID: CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-2007-5000, CVE-2007-6388

    Beschikbaar voor: Mac OS X Server v10.4.11

    Impact: meerdere kwetsbaarheden in Apache 2.0.55

    Beschrijving: Apache wordt bijgewerkt naar versie 2.0.63 om diverse kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot cross-site scripting. Nadere informatie is beschikbaar via de website van Apache op http://httpd.apache.org. Apache 2.0.x wordt alleen geleverd bij systemen met Mac OS X Server v10.4.x. Mac OS X v10.5.x en Mac OS X Server v10.5.x worden geleverd met Apache 2.2.x. De problemen die van invloed waren op Apache 2.2.x, zijn opgelost in Security Update 2008-002 voor Mac OS X v10.5.2 en Mac OS X Server v10.5.2.

  • AppKit

    CVE-ID: CVE-2008-1028

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het openen van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een implementatieprobleem bij de verwerking van documentbestanden door AppKit. Het openen van een kwaadwillig vervaardigd bestand in een editor waarin AppKit wordt gebruikt (zoals Teksteditor), kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dit probleem door een verbeterde controle van documentbestanden uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of hoger. Met dank aan Rosyna van Unsanity voor het melden van dit probleem.

  • Apple Pixlet Video

    CVE-ID: CVE-2008-1577

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: bij de verwerking van bestanden met de Pixlet-codec doen zich meerdere problemen met geheugenbeschadiging voor. Het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dat probleem door middel van verbeterde bounds checking.

  • ATS

    CVE-ID: CVE-2008-1575

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het afdrukken van een PDF-document dat een kwaadwillig vervaardigd ingebed lettertype bevat, kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met geheugenbeschadiging bij de verwerking van ingebedde lettertypen in PDF-bestanden op de ATS-server. Het afdrukken van een PDF-document dat een kwaadwillig vervaardigd lettertype bevat, kan leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra controle van ingebedde lettertypen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Melissa O'Neill van het Harvey Mudd College voor het melden van dit probleem.

  • CFNetwork

    CVE-ID: CVE-2008-1580

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van vertrouwelijke informatie

    Beschrijving: er bestaat een probleem met de vrijgave van informatie bij de verwerking van SSL-clientcertificaten in Safari. Wanneer een webserver een clientcertificaatverzoek doet, wordt het eerste clientcertificaat dat wordt gevonden in de sleutelhanger automatisch verzonden, wat mogelijk kan leiden tot vrijgave van de informatie in het certificaat. Deze update verhelpt het probleem door de gebruiker te vragen om een bevestiging voordat het certificaat wordt verzonden.

  • CoreFoundation

    CVE-ID: CVE-2008-1030

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het gebruik van de CFData-API op bepaalde manieren in toepassingen kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: een integer overflow bij de verwerking van CFData-objecten in CoreFoundation kan leiden tot een heap buffer overflow. Wanneer een toepassing CFDataReplaceBytes aanroept met een ongeldig lengteargument, kan dit leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dit probleem door extra controle van lengteparameters uit te voeren.

  • CoreGraphics

    CVE-ID: CVE-2008-1031

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met een niet-geïnitialiseerde variabele bij de verwerking van PDF-bestanden in CoreGraphics. Het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een juiste initialisatie van pointers.

  • CoreTypes

    CVE-ID: CVE-2008-1032

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: gebruikers worden niet gewaarschuwd voordat bepaalde mogelijk onveilige inhoudstypen worden geopend

    Beschrijving: met deze update wordt de systeemlijst met inhoudstypen die worden gemarkeerd als mogelijk onveilig onder bepaalde omstandigheden uitgebreid, bijvoorbeeld wanneer de bestanden van een webpagina worden gedownload. Hoewel deze inhoudstypen niet automatisch worden gestart, kunnen ze wel leiden tot het uitvoeren van een schadelijke payload als ze handmatig worden geopend. Deze update verbetert het vermogen van het systeem om gebruikers te waarschuwen voordat inhoudstypen worden verwerkt die worden gebruikt door Automator, Help, Safari en Terminal. In Mac OS X v10.4 wordt deze functionaliteit geleverd door de functie voor downloadvalidatie. In Mac OS X v10.5 wordt deze functionaliteit geleverd door de quarantainefunctie. Met dank aan Brian Mastenbrook voor het melden van dit probleem.

  • CUPS

    CVE-ID: CVE-2008-1033

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het afdrukken via printers met wachtwoordbeveiliging terwijl het bijhouden van logbestanden voor foutopsporing is ingeschakeld, kan mogelijk leiden tot de bekendmaking van vertrouwelijke informatie

    Beschrijving: bij de controle van de omgevingsvariabelen voor identiteitscontrole in de CUPS-planningsfunctie doet zich een fout voor wanneer het bijhouden van logbestanden voor foutopsporing is ingeschakeld. Dit kan leiden tot de vrijgave van de gebruikersnaam, het domein en het wachtwoord bij het afdrukken via een printer met wachtwoordbeveiliging. Deze update verhelpt het probleem door omgevingsvariabelen correct de controleren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5 waarop Security Update 2008-002 is geïnstalleerd.

  • Flash Player-plugin

    CVE-ID: CVE-2007-5275, CVE-2007- 6243, CVE-2007- 6637, CVE-2007-6019, CVE-2007-0071, CVE-2008-1655, CVE-2008-1654

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: wanneer u Flash-inhoud opent die met verkeerde intenties is geschreven, kan dat leiden tot het uitvoeren van willekeurige code

    Beschrijving: de Flash Player-plugin bevat meerdere problemen, waarvan het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code. Deze update verhelpt het probleem door het programma bij te werken naar versie 9.0.124.0. Meer informatie is verkrijgbaar via de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb08-11.html

  • Help-viewer

    CVE-ID: CVE-2008-1034

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een kwaadwillige help:topic-URL kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: een negatieve overloop bij gehele getallen bij de verwerking van help:topic-URL's in de Help-viewer kan leiden tot een bufferoverloop. Het openen van een kwaadwillige help:topic-URL kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dat probleem door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of hoger. Met dank aan Paul Haddad van PTH Consulting voor het melden van dit probleem.

  • iCal

    CVE-ID: CVE-2008-1035

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het openen van een kwaadwillig vervaardigd iCalendar-bestand in iCal kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een 'use-after-free'-probleem bij de verwerking van iCalendar-bestanden (meestal met de extensie '.ics') door het iCal-programma. Het openen van een kwaadwillig vervaardigd iCalendar-bestand in iCal kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door reference counting in de betreffende code te verbeteren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Rodrigo Carvalho van Core Security Technologies voor het melden van dit probleem.

  • ICU

    CVE-ID: CVE-2008-1036

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: het bezoeken van bepaalde websites kan mogelijk leiden tot de vrijgave van vertrouwelijke informatie

    Beschrijving: er bestaat een conversieprobleem bij de verwerking van bepaalde tekencoderingen in ICU. Bepaalde ongeldige tekenreeksen worden mogelijk niet weergegeven in de geconverteerde uitvoer, en dit kan van invloed zijn op inhoudsfilters. Het bezoeken van een kwaadwillig vervaardigde website kan leiden tot cross-site scripting en de vrijgave van vertrouwelijke informatie. Deze update verhelpt het probleem door ongeldige tekenreeksen te vervangen door een terugvalteken.

  • Fotolader

    CVE-ID: CVE-2008-1571

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het openen van een kwaadwillig vervaardigde URL kan leiden tot de vrijgave van informatie

    Beschrijving: op de ingesloten webserver van Fotolader doet zich een pad-traversal-probleem voor. Dit kan leiden tot de vrijgave van lokale bestanden op het serversysteem. Deze update verhelpt dat probleem door middel van een verbeterde verwerking van URL's. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • Fotolader

     

    CVE-ID: CVE-2008-1572

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan bestanden manipuleren met de bevoegdheden van een andere gebruiker die Fotolader gebruikt

    Beschrijving: er treedt een onveilige bestandsbewerking op bij de verwerking van tijdelijke bestanden in Fotolader. Hierdoor kan een lokale gebruiker mogelijk bestanden overschrijven met de bevoegdheden van een andere gebruiker die Fotolader gebruikt, of toegang krijgen tot de inhoud van afbeeldingen waarvan het formaat wordt gewijzigd. Deze update verhelpt dit probleem door een verbeterde verwerking van tijdelijke bestanden. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger.

  • ImageIO

     

    CVE-ID: CVE-2008-1573

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: de weergave van een kwaadwillig vervaardigde BMP- of GIF-afbeelding kan leiden tot de vrijgave van informatie

    Beschrijving: er kan een geheugenlezing buiten het bereik plaatsvinden in de decoderings-engine voor BMP- en GIF-afbeeldingen, wat mogelijk kan leiden tot de vrijgave van inhoud in het geheugen. Deze update verhelpt het probleem door een extra validatie van DMP- en GIF-afbeeldingen uit te voeren. Met dank aan Gynvael Coldwind van Hispasec voor het melden van dit probleem.

  • ImageIO

     

    CVE-ID: CVE-2007-5266, CVE-2007-5268, CVE-2007-5269

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: meerdere kwetsbaarheden in libpng versie 1.2.18

    Beschrijving: libpng versie 1.2.18 bevat meerdere kwetsbaarheden, waarvan het ernstigste probleem kan leiden tot een externe denial-of-service. Deze update verhelpt dit probleem door het programma bij te werken naar versie 1.2.24. Meer informatie is verkrijgbaar via de website van libpng op http://www.libpng.org/pub/png/libpng.html

  • ImageIO

     

    CVE-ID: CVE-2008-1574

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: de weergave van een kwaadwillig vervaardigde JPEG2000-afbeelding kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code

    Beschrijving: een overloop bij gehele getallen bij de verwerking van JPEG2000-afbeeldingen kan leiden tot een heapbufferoverloop. De weergave van een kwaadwillig vervaardigde JPEG2000-afbeelding kan leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door een extra controle van JPEG2000-afbeeldingen.

  • Kernel

     

    CVE-ID: CVE-2008-0177

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: een externe aanvaller kan ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld

    Beschrijving: er treedt een niet-gedetecteerde fouttoestand op bij de verwerking van pakketten met een IPComp-header. Door een kwaadwillig vervaardigd pakket te versturen naar een systeem dat is geconfigureerd voor het gebruik van IPSec of IPv6, kan een aanvaller mogelijk ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld. Deze update verhelpt het probleem door de fouttoestand correct te detecteren.

  • Kernel

     

    CVE-ID: CVE-2007-6359

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: een lokale gebruiker kan ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld

    Beschrijving: bij de verwerking van codehandtekeningen in de functie cs_validate_page van de kernel doet zich een null pointer-dereferentie voor. Hierdoor kan een lokale gebruiker het systeem onverwacht uitschakelen. Deze update verhelpt het probleem door een extra validatie van codehandtekeningen uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5.

  • LoginWindow

     

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: de voorkeuren van de beheerde client worden mogelijk niet toegepast

    Beschrijving: deze update verhelpt een probleem dat werd geïntroduceerd in Security Update 2007-004, dat geen verband houdt met de beveiliging. Vanwege een race-conditie worden bepaalde voorkeuren in LoginWindow mogelijk niet toegepast op systemen die worden beheerd met de beheerde client voor Mac OS X (MCX). Deze update verhelpt het probleem door de race-conditie weg te nemen bij de verwerking van beheerde voorkeuren. Dit probleem is niet van invloed op systemen met Mac OS X v10.5.

  • Mail

     

    CVE-ID: CVE-2008-1576

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: het versturen van e-mail via een SMTP-server via IPv6 kan leiden tot het onverwacht afsluiten van het programma, het vrijgeven van informatie of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een probleem met een niet-geïnitialiseerde buffer in Mail. Bij het versturen van e-mail via een SMTP-server via IPv6 kan in Mail een buffer worden gebruikt die gedeeltelijk niet-geïnitialiseerd geheugen bevat, wat kan leiden tot de vrijgave van vertrouwelijke informatie aan de ontvangers van berichten en beheerders van mailservers. Dit kan ook leiden tot het onverwacht afsluiten van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door de variabele correct te initialiseren. Dit probleem is niet van invloed op systemen met Mac OS X v10.5 of hoger. Met dank aan Derek Morr van de Pennsylvania State University voor het melden van dit probleem.

  • ruby

     

    CVE-ID: CVE-2007-6612

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: een externe aanvaller kan mogelijk willekeurige bestanden lezen

    Beschrijving: Mongrel wordt bijgewerkt naar versie 1.1.4 om een probleem met directory-traversal in DirHandler op te lossen wat kan leiden tot de vrijgave van vertrouwelijke informatie. Meer informatie is beschikbaar via de website van Mongrel op http://rubyforge.org/projects/mongrel/.

  • Eenmalige aanmelding

     

    CVE-ID: CVE-2008-1578

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.2, Mac OS X Server v10.5 t/m v10.5.2

    Impact: wachtwoorden die worden verstrekt aan sso_util zijn zichtbaar voor andere lokale gebruikers

    Beschrijving: de opdrachtregeltool sso_util vereist dat wachtwoorden aan de tool worden doorgegeven in de bijbehorende argumenten, waardoor de wachtwoorden mogelijk zichtbaar zijn voor andere lokale gebruikers. De zichtbare wachtwoorden zijn onder andere de wachtwoorden van gebruikers, beheerders en het wachtwoord voor KDC-beheer. Deze update maakt de wachtwoordparameter optioneel en zorgt ervoor dat sso_util indien nodig om het wachtwoord vraagt. Met dank aan Geoff Franks van het Hauptman Woodward Institute voor het melden van dit probleem.

  • Wiki Server

     

    CVE-ID: CVE-2008-1579

    Beschikbaar voor: Mac OS X Server v10.5 t/m v10.5.2

    Impact: een externe aanvaller kan geldige gebruikersnamen bepalen op servers waarop Wiki Server is geactiveerd

    Beschrijving: er bestaat een probleem met de vrijgave van informatie in Wiki Server wanneer een niet-bestaand blog wordt geopend. Door de informatie in het foutbericht te gebruiken, kan een aanvaller het bestaan van lokale gebruikersnamen afleiden. Deze update verhelpt dit probleem door een verbeterde verwerking van foutberichten. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.5. Met dank aan Don Rainwater van de University of Cincinnati voor het melden van dit probleem.

 

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: