Over beveiligingsupdate 2008-007

In dit document wordt beveiligingsupdate 2008-007 beschreven, die u kunt downloaden en installeren via de voorkeur Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple productbeveiliging.

Zie Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Beveiligingsupdate 2008-007

  • Apache

    CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: meerdere kwetsbaarheden in Apache 2.2.8

    Beschrijving: Apache wordt bijgewerkt naar versie 2.2.9 om diverse kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot cross-site aanvraagvervalsing. Apache versie 2 wordt niet geleverd bij Mac OS X Client-systemen ouder dan versie 10.5. Apache versie 2 wordt geleverd bij Mac OS X Server v10.4x-systemen, maar is niet standaard geactiveerd. Nadere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/

  • Certificaten

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: basiscertificaten zijn bijgewerkt

    Beschrijving: een aantal vertrouwde certificaten is toegevoegd aan de lijst met basiscertificaten. Een aantal bestaande certificaten is bijgewerkt naar de meest recente versie. De complete lijst met erkende basiscertificaten kan worden bekeken via de toepassing Sleutelhangertoegang

  • ClamAV

    CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

    Beschikbaar voor: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impact: Meerdere kwetsbaarheden in ClamAV 0.93.3

    Beschrijving: er bestaan meerdere kwetsbaarheden in ClamAV 0.93.3, waarvan het meest serieuze kan leiden tot uitvoering van een willekeurige code. Deze update verhelpt dit probleem door bij te werken naar ClamAV 0.94. Clam AV wordt niet geleverd bij Mac OS X Client-systemen. Nadere informatie is beschikbaar via de website van ClamAV op http://www.clamav.net.

  • ColorSync

    CVE-ID: CVE-2008-3642

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van een willekeurige code.

    Beschrijving: er bestaat een bufferoverschrijding in het behandelen van afbeeldingen met een ingebed ICC-profiel. Het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ICC-profiel kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van een willekeurige code. Deze update verhelpt dit probleem door extra controle uit te voeren op ICC-profielen in afbeeldingen. Credit: Apple.

  • CUPS

    CVE-ID: CVE-2008-3641

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: een externe aanvaller zou een willekeurige codeuitvoering kunnen veroorzaken met de bevoegdheden van de 'lp-gebruiker'

    Beschrijving: er bestaat een bereikcontroleprobleem in de Hewlett-Packard Graphics Language (HPGL)-filter, waardoor er mogelijk willekeurig geheugen wordt vervangen met gereguleerde gegevens. Als printers worden gedeeld, zou een externe aanvaller een willekeurige codeuitvoering kunnen veroorzaken met de bevoegdheden van de 'lp-gebruiker Als het delen van printers niet is ingeschakeld, kan een lokale gebruiker meer bevoegdheden krijgen. Deze update verhelpt dit probleem door extra grenscontroles uit te voeren. Dank aan regenrecht in samenwerking met TippingPoint en het Zero Day Initiative voor het melden van dit probleem.

  • Finder

    CVE-ID: CVE-2008-3643

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: een bestand op het bureaublad kan leiden tot een weigering van service

    Beschrijving: er bestaat een foutherstelprobleem in Finder. Een kwaadwillig vervaardigd bestand op het bureaublad kan zorgen dat Finder constant sluit en opnieuw start doordat Finder onverwacht sluit bij het aanmaken van de pictogram van het bestand. De gebruikersaccount is niet bereikbaar via Finder totdat het bestand wordt verwijderd. Deze update verhelpt het probleem door pictogrammen aan te maken in een apart proces. Computersystemen vóór Mac OS X v10.5 hebben geen last van dit probleem. Dank aan Sergio 'shadown' Alvarez of n.runs AG voor het melden van dit probleem.

  • launchd

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: het verplaatsen van toepassingen naar een sandbox kan mislukken

    Beschrijving: deze update behandelt een probleem in Mac OS X 10.5.5. Een uitvoeringsprobleem in launchd kan leiden tot het mislukken van een aanvraag van een toepassing om in een sandbox te worden geplaatst. Dit probleem heeft geen effect op programma's die gebruik maken van de gedocumenteerde sandbox_init API. Deze update verhelpt het probleem door een bijgewerkte versie van launchd te leveren. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5.5.

  • libxslt

    CVE-ID: CVE-2008-1767

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: het verwerken van een XML-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    er bestaat een heap-bufferoverschrijdingsprobleem in de libxslt-bibliotheek. Het weergeven van een kwaadwillig vervaardigde HTML-pagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Meer informatie over de toegepaste patch vindt u via http://xmlsoft.org/XSLT/ Met dank aan Anthony de Almeida Lopes van Outpost24 AB en Chris Evans van Google Security Team voor het melden van dit probleem.

  • MySQL Server

    CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    Beschikbaar voor: Mac OS X Server v10.5.5

    Impact: meerdere kwetsbaarheden in MySQL 5.0.45

    Beschrijving: MySQL wordt bijgewerkt naar versie 5.0.67 om diverse kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot willekeurige codeuitvoering. Deze problemen hebben alleen effect op Mac OS X Server-systemen. U kunt nadere informatie vinden via de website van MySQL op http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-67.html

  • Netwerken

    CVE-ID: CVE-2008-3645

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: een lokale gebruiker kan beschikken over systeemrechten.

    Beschrijving: er bestaat een heap-bufferoverschrijding in de lokale IPC-component van de EAPOLController plugin van configd waardoor een lokale gebruiker aan systeemrechten zou kunnen komen. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Credit: Apple.

  • PHP

    CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    Impact: meerdere zwakke punten in PHP 4.4.8

    Beschrijving: PHP wordt bijgewerkt naar versie 4.4.9 om diverse kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot willekeurige codeuitvoering. Nadere informatie kunt u vinden op de website van PHP op http://www.php.net/ Deze problemen hebben alleen effect op systemen die gebruik maken van Mac OS X v10.4.x, Mac OS X Server v10.4.x, of Mac OS X Server v10.5.x.

  • Postfix

    CVE-ID: CVE-2008-3646

    Beschikbaar voor: Mac OS X v10.5.5

    Impact: een externe aanvaller kan e-mail direct naar lokale gebruikers sturen

    Beschrijving: er bestaat een probleem in de configuratiebestanden van Postfix. Postfix is toegankelijk vanuit het netwerk gedurende een minuut na het versturen van e-mail door de lokale opdrachtregelhulpprogramma. Tijdens deze periode kan er extern verbinding worden gemaakt met de SMTP-poort en e-mail worden verzonden naar lokale gebruikers of anders gebruik gemaakt van de SMTP-poort. Dit probleem veroorzaakt niet dat het systeem een open mail relay wordt. Dit probleem wordt verholpen door de Postfix-configuratie te wijzigen om SMTP-verbindingen vanuit externe machines te voorkomen. Dit probleem heeft geen effect op systemen ouder dan Mac OS X v10.5 en heeft geen effect op Mac OS X Server. Met dank aan Pelle Johansson voor het vermelden van dit probleem.

  • PSNormalizer

    CVE-ID: CVE-2008-3647

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: het weergeven van een kwaadwillig vervaardigd PostScript-bestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code

    Beschrijving: er bestaat een bufferoverschrijding in het behandelen van het begrenzingcommentaar in PostScript-bestanden door PSNormalizer. Het weergeven van een kwaadwillig vervaardigd PostScript-bestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code Deze update verhelpt dit probleem door een extra validatie van PostScript-bestanden uit te voeren. Credit: Apple.

  • QuickLook

    CVE-ID: CVE-2008-4211

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: het downloaden of weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot het onverwachts beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er bestaat een signedness-probleem in het behandelen van kolommen in Microsoft Excel-bestanden door QuickLook wat kan leiden tot een out-of-bounds geheugentoegang. Het downloaden of weergeven van een kwaadwillig vervaardigd Microsoft Excel-bestand kan leiden tot het onverwachts beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door aanvullende validatie uit te voeren voor -Microsoft Excel-bestanden. Deze kwestie heeft geen invloed op systemen ouder dan Mac OS X v10.5. Credit: Apple.

  • rlogin

    CVE-ID: CVE-2008-4212

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: systemen die handmatig zijn ingesteld om gebruik te maken van rlogin en host.equiv kunnen onverwacht rootaanmelding toestaan

    Beschrijving: de manpage voor het configuratiebestand hosts.equiv geeft aan dat invoeringen niet gelden voor root. Een uitvoeringsprobleem in rlogind zorgt echter dat deze invoeringen wel gelden voor root. Deze update verhelpt dit probleem door rlogin niet toe te staan voor de root-gebruiker als het externe systeem in hosts.equiv is. De rlogin-service is niet standaard ingeschakeld in Mac OS X en moet handmatig worden ingesteld om te worden ingeschakeld. Met dank aan Ralf Meyer voor het vermelden van dit probleem.

  • Script Editor

    CVE-ID: CVE-2008-4214

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: een lokale gebruiker kan de bevoegdheden verkrijgen van een ander gebruiker die Script Editor gebruikt

    Beschrijving:er bestaat een onveilig bestandsbehandelingsprobleem in de toepassing Script Editor bij het openen van scripting-woordenboeken. Een lokale gebruiker kan veroorzaken dat de het scripting-woordenboek wordt geschreven naar een willekeurig pad dat bereikbaar is voor de gebruiker die de toepassing in gebruik heeft. Deze update behandelt het probleem door het tijdelijke bestand in een beveiligde omgeving aan te maken. Credit: Apple.

  • Eenmalige aanmelding

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: de sso_util-opdracht accepteert nu wachtwoorden van een bestand

    Beschrijving: de sso_util-opdracht accepteert nu wachtwoorden van een bestand genoemd in de SSO_PASSWD_PATH-omgevingsvariabel. Hierdoor kunnen geautomatiseerde scripts sso_util veiliger gebruiken.

  • Tomcat

    CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    Beschikbaar voor: Mac OS X Server v10.5.5

    Impact: meerdere kwetsbaarheden in Tomcat 6.0.14

    Beschrijving: Tomcat op Mac OS X v10.5-systemen is bijgewerkt naar versie 6.0.18 om verschillende kwetsbaarheden te verhelpen, waarvan de meest ernstige kan leiden tot een aanval met cross site scripting. Deze problemen hebben alleen effect op Mac OS X SERVER-systemen. Meer informatie is te vinden op de website van Tomcat op http://tomcat.apache.org/

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    Beschikbaar voor: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    Impact: meerdere kwetsbaarheden in vim 7.0

    Beschrijving: er zijn meerdere kwetsbaarheden in vim versie 7.0, waarvan de meest ernstige kunnen leiden tot willekeurige codeuitvoering bij gebruik van kwaadwillig vervaardigde bestanden. Deze update verhelpt deze problemen door het programma bij te werken tot vim 7.2.0.22. Meer informatie is te vinden op de website van vim ophttp://www.vim.org/

  • Weblog

    CVE-ID: CVE-2008-4215

    Beschikbaar voor: Mac OS X Server v10.4.11

    Impact: toegangscontrole op weblogberichten wordt wellicht niet uitgevoerd

    Beschrijving: er bestaat een niet-gecontroleerde foutsituatie op de weblogserver. Het toevoegen van een gebruiker met meerdere korte namen op de toegangscontrolelijst voor een weblogbericht kan als gevolg hebben dat de weblogserver de toegangscontrole niet uitvoert. Dit probleem wordt verholpen door de manier waarop toegangscontrolelijsten worden opgeslagen te verbeteren. Dit probleem heeft alleen effect op systemen met Mac OS X Server v10.4. Credit: Apple.

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: