Over Security Update 2008-005

In dit document wordt Security Update 2008-005 beschreven, die u kunt downloaden en installeren via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg "De Apple PGP-sleutel voor productbeveiliging gebruiken" voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg "Apple-beveiligingsupdates" voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Security Update 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een lokale gebruiker kan opdrachten uitvoeren met verhoogde bevoegdheden

    Beschrijving: er treedt een ontwerpprobleem op in de Open Scripting Architecture-bibliotheken bij het bepalen of plugins voor scripttoevoegingen moeten worden geladen in programma's die worden uitgevoerd met verhoogde bevoegdheden. Wanneer opdrachten voor scripttoevoegingen naar een programma met bevoegdheden worden verzonden, kan willekeurige code worden uitgevoerd met deze bevoegdheden. Met deze update wordt het probleem verholpen door plugins voor scripttoevoegingen niet te laden in programma's die worden uitgevoerd met systeembevoegdheden. De onlangs gemelde problemen met ARDAgent en SecurityAgent worden met deze update verholpen. Met dank aan Charles Srstka voor het melden van dit probleem.

  • BIND

    CVE-ID: CVE-2008-1447

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: BIND is vatbaar voor besmetting van de DNS-cache en kan onjuiste informatie terugsturen

    Beschrijving: de BIND-server (Berkeley Internet Name Domain) wordt geleverd bij Mac OS X en wordt niet standaard ingeschakeld. Wanneer deze is ingeschakeld, zorgt de BIND-server voor een vertaling tussen hostnamen en IP-adressen. Door zwakke punten in de DNS-protocol kunnen externe aanvallers aanvallen uitvoeren en de DNS-cache besmetten. Als resultaat ontvangen systemen die van de BIND-server afhankelijk zijn mogelijk onjuiste informatie. Met deze update wordt het probleem verholpen door willekeurige bronpoorten in te stellen om de bescherming tegen aanvallen op de cache te verbeteren. Voor Mac OS X v10.4.11-systemen wordt BIND bijgewerkt naar versie 9.3.5-P1. Voor Mac OS X v10.5.4-systemen wordt BIND bijgewerkt naar versie 9.4.2-P1. Met dank aan Dan Kaminsky van IOActive voor het melden van dit probleem.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het verwerken van lange bestandsnamen kan leiden tot een onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treedt een stack buffer overflow op bij het verwerken van lange bestandsnamen. Het verwerken van lange bestandsnamen kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan Thomas Raffetseder van de International Secure Systems Lab en Sergio 'shadown' Alvarez van n.runs AG voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: in CoreGraphics treden problemen op met geheugenbeschadiging bij het verwerken van argumenten. Het doorsturen van onbetrouwbare invoer naar CoreGraphics via een programma, zoals een webbrowser, kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan Michal Zalewski van Google voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het weergeven van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: een integer overflow bij het verwerken van PDF-bestanden kan leiden tot een heap buffer overflow. Het weergeven van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door extra validatie van PDF-bestanden. Met dank aan Pariente Kobi, werkzaam bij iDefense VCP voor het melden van dit probleem.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Beschikbaar voor: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het weergeven van kwaadwillig vervaardigde berichten met Data Detectors kan leiden tot het onverwachts beëindigen van een programma

    Beschrijving: Data Detectors worden gebruikt om referentiegegevens op te halen uit tekstuele inhoud of archieven. Er treedt een probleem op met bronverbruik bij het verwerken van tekstuele inhoud door Data Detectors. Het weergeven van kwaadwillig vervaardigde inhoud in een programma dat gebruikmaakt van Data Detectors kan leiden tot een Denial of Service, maar niet tot het uitvoeren van willekeurige code. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5.

  • Schijfhulpprogramma

    CVE-ID: CVE-2008-2324

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: een lokale gebruiker kan beschikken over systeemrechten

    Beschrijving: het hulpprogramma "Herstel bevoegdheden" in Schijfhulpprogramma maakt /usr/bin/emacs setuid. Wanneer het hulpprogramma Herstel bevoegdheden is uitgevoerd, kan een lokale gebruiker emacs gebruiken om opdrachten uit te voeren met systeemrechten. Met deze update wordt het probleem verholpen door de bevoegdheden die op de emacs zijn toegepast, te verbeteren in het hulpprogramma Herstel bevoegdheden. Dit probleem is niet van toepassing op systemen met Mac OS X v10.5 en hoger. Met dank aan Anton Rang en Brian Timares voor het melden van dit probleem.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een extern kwaadwillend persoon kan een onverwachte beëindiging van een programma veroorzaken

    Beschrijving: er treedt een probleem op bij het decoderen van ASN.1 BER in OpenLDAP. Het verwerken van een kwaadwillig vervaardigd LDAP-bericht kan een bevestiging activeren en leiden tot het onverwacht beëindigen van een programma van de OpenLDAP-daemon, slapd. Met deze update wordt het probleem verholpen door extra validatie van LDAP-berichten uit te voeren.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: een extern kwaadwillend persoon kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: een probleem met betrekking tot het controleren van het bereik treedt op in de hulpprogrammafunctie SSL_get_shared_ciphers() in OpenSSL. Het verwerken van kwaadwillig vervaardigde pakketten in een programma dat gebruikmaakt van deze functie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt dat probleem door middel van verbeterde bounds checking.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Beschikbaar voor: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: meerdere zwakke punten in PHP 5.2.5

    Beschrijving: PHP wordt bijgewerkt naar versie 5.2.6 om meerdere zwakke punten te verhelpen, waarvan het uitvoeren van willekeurige de belangrijkste is. Meer informatie vindt u op de PHP-website op http://www.php.net/. PHP-versie 5.2.x wordt alleen geleverd bij Mac OS X v10.5-systemen.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het overwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er treden meerdere problemen met geheugenbeschadiging op bij het verwerken van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het overwachts beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: bestanden buiten de root van de module kunnen op afstand worden geopend of overschreven

    Beschrijving: er treden problemen met padvalidatie op bij het verwerken van symbolische koppelingen door rsync wanneer deze wordt uitgevoerd in daemon-modus. Het plaatsen van symbolische koppelingen in een rsync-module kan ervoor zorgen dat bestanden buiten de root van de module worden geopend of overschreven. Met deze update wordt het probleem verholpen door een verbeterde verwerking van symbolische koppelingen. Meer informatie over de beschikbare updates vindt u op de website van rsync op http://rsync.samba.org/

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van informatie of producten die op websites van derden worden gevonden. Apple verschaft deze informatie alleen als dienst aan onze gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico's verbonden aan het gebruik van informatie of producten, gevonden op internet, en Apple aanvaardt hiervoor geen aansprakelijkheid. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: