De beveiligingsinhoud van beveiligingsupdate 2008-008 / Mac OS X v10.5.6

In dit artikel wordt de beveiligingsinhoud van de beveiligingsupdate 2008-008 / Mac OS X v10.5.6 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de Apple-downloadpagina.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet tot een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Ga naar 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Beveiligingsupdate 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: het weergeven of downloaden van een PDF-bestand met een schadelijk ingebed lettertype kan leiden tot een denial of service.

    Beschrijving: er kan een oneindige lus ontstaan bij de afhandeling van ingebedde lettertypen in PDF-bestanden door de Apple Type Services-server. Het weergeven of downloaden van een PDF-bestand met een schadelijk ingebed lettertype kan leiden tot een denial of service. Deze update verhelpt het probleem door een extra controle van ingebedde lettertypen uit te voeren. Computersystemen vóór Mac OS X v10.5 hebben geen last van dit probleem. Met dank aan Michael Samarin en Mikko Vihonen van Futurice Ltd. voor het melden van dit probleem.

  • BOM

    CVE-ID: CVE-2008-4217

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: het downloaden of weergeven van een schadelijk CPIO-archief kan ertoe leiden dat een programma onverwacht wordt beëindigd of willekeurige code wordt uitgevoerd.

    Beschrijving: er bestaat een probleem met ondertekening bij de afhandeling van CPIO-kopteksten door BOM, wat kan leiden tot een stackbufferoverloop. Het downloaden of weergeven van een schadelijk CPIO-archief kan ertoe leiden dat een programma onverwacht wordt beëindigd of willekeurige code wordt uitgevoerd. Deze update verhelpt dit probleem door extra validatie van CPIO-kopteksten uit te voeren. Met dank aan: Apple.

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: het weergeven van een schadelijke afbeelding kan ertoe leiden dat een programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd.

    Beschrijving: er treedt een heapbufferoverloop op bij de afhandeling van kleurruimten binnen CoreGraphics. Het weergeven van een schadelijke afbeelding kan ertoe leiden dat een programma onverwacht wordt beëindigd of dat willekeurige code wordt uitgevoerd. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • CoreServices

    CVE-ID: CVE-2008-3170

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: bezoek aan een bedrieglijke website kan ertoe leiden dat gebruikersgegevens openbaar worden gemaakt.

    Beschrijving: Safari staat toe dat websites cookies instellen voor landspecifieke topniveaudomeinen, waardoor een externe aanvaller een sessiefixatieaanval kan uitvoeren en de gegevens van een gebruiker kan hijacken. Deze update verhelpt dit probleem door een extra validatie van domeinnamen uit te voeren. Met dank aan Alexander Clauss van iCab.de voor het melden van dit probleem.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: bij een poging om onveilige gedownloade inhoud te starten, wordt mogelijk geen waarschuwing weergegeven.

    Beschrijving: Mac OS X biedt functionaliteit voor downloadvalidatie om mogelijk onveilige bestanden te identificeren. Programma's zoals Safari maken gebruik van downloadvalidatie om gebruikers te waarschuwen voordat zij bestanden openen die als mogelijk onveilig zijn gemarkeerd. Deze update breidt de lijst met mogelijk onveilige typen uit. De lijst wordt uitgebreid met het inhoudstype voor bestanden die uitvoerbevoegdheden hebben, maar waaraan geen specifiek programma is gekoppeld. Deze bestanden zijn mogelijk onveilig, omdat ze in Terminal worden gestart en de inhoud als commando's wordt uitgevoerd. Hoewel deze bestanden niet automatisch worden gestart, kunnen ze wel leiden tot de uitvoering van willekeurige code als ze handmatig worden geopend. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5.

  • Flash Player-plugin

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: meerdere kwetsbaarheden in Adobe Flash Player-plugin

    Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan het ernstigste kan leiden tot de uitvoering van willekeurige code wanneer een bedrieglijke website wordt weergegeven. De problemen worden verholpen door de Flash Player-plugin bij te werken naar versie 9.0.151.0. Meer informatie is verkrijgbaar via de website van Adobe op http://www.adobe.com/nl/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: een lokale gebruiker kan beschikken over systeemrechten.

    Beschrijving: er bestaan problemen met overloop bij gehele getallen in de systeemaanroepen i386_set_ldt en i386_get_ldt, waardoor een lokale gebruiker willekeurige code kan uitvoeren met systeemrechten. In deze update worden deze problemen verholpen door middel van verbeterde bounds checking. Deze problemen zijn niet van invloed op PowerPC-systemen. Met dank aan Richard Vaneeden van IOActive, Inc. voor het melden van dit probleem.

  • Kernel

    CVE-ID: CVE-2008-4219

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: uitvoering van een uitvoerbaar bestand met koppeling naar dynamische bibliotheken op een NFS-share kan ertoe leiden dat het systeem onverwacht wordt uitgeschakeld.

    Beschrijving: er kan een oneindige lus ontstaan wanneer een programma op een NFS-share een uitzondering ontvangt. Het systeem kan hierdoor onverwacht worden uitgeschakeld. In deze update wordt het probleem verholpen dankzij een verbeterde afhandeling van uitzonderingen. Met dank aan Ben Loer van Princeton University voor het melden van dit probleem.

  • Libsystem

    CVE-ID: CVE-2008-4220

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: programma's die gebruik maken van de API inet_net_pton zijn mogelijk kwetsbaar voor de uitvoering van willekeurige code of de onverwachte beëindiging van het programma.

    Beschrijving: er ontstaat een overloop bij gehele getallen in de API inet_net_pton van Libsystem, wat kan leiden tot de uitvoering van willekeurige code of de onverwachte beëindiging van het programma dat gebruik maakt van de API. In deze update wordt dat probleem verholpen door middel van verbeterde bounds checking. Deze API wordt gewoonlijk niet aangeroepen met niet-vertrouwde gegevens en momenteel zijn geen misbruiken van dit probleem bekend. Deze update wordt geboden om mogelijke aanvallen tegen een programma dat gebruik maakt van deze API, te helpen afwenden.

  • Libsystem

    CVE-ID: CVE-2008-4221

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: programma's die gebruik maken van de API strptime zijn mogelijk kwetsbaar voor de uitvoering van willekeurige code of de onverwachte beëindiging van het programma.

    Beschrijving: er bestaat een probleem met geheugenbeschadiging in de API strptime van Libsystem. Parsering van een schadelijke datumtekenreeks kan leiden tot de uitvoering van willekeurige code of de onverwachte beëindiging van een programma. In deze update wordt dit probleem verholpen door een verbeterde geheugentoewijzing. Met dank aan: Apple.

  • Libsystem

    CVE-ID: CVE-2008-1391

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: programma's die gebruik maken van de API strfmon, worden mogelijk blootgesteld aan de onverwachte beëindiging van het programma of de uitvoering van willekeurige code.

    Beschrijving: er treedt overloop bij gehele getallen op bij de implementatie van strfmon van Libsystem. Een programma dat strfmon aanroept met grote waarden van bepaalde velden met gehele getallen in het opmaaktekenreeksargument, kan onverwacht worden beëindigd of kan leiden tot de uitvoering van willekeurige code. In deze update worden deze problemen verholpen door middel van verbeterde bounds checking.

  • Beheerde client

    CVE-ID: CVE-2008-4237

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: de beheerde instellingen van de schermbeveiliging worden niet toegepast.

    Beschrijving: de methode waarmee de software op een beheerd clientsysteem hostspecifieke configuratiegegevens installeert, identificeert het systeem niet altijd correct. Op een incorrect geïdentificeerd systeem worden hostspecifieke instellingen niet toegepast, waaronder ook de vergrendeling van de schermbeveiliging. In deze update wordt het probleem verholpen door ervoor te zorgen dat de beheerde client de correcte systeemidentificatie gebruikt. Dit probleem is niet van invloed op systemen met ingebouwd Ethernet. Met dank aan John Barnes van ESRI en Trevor Lalish-Menagh van Tamman Technologies Inc. voor het melden van dit probleem.

  • network_cmds

    CVE-ID: CVE-2008-4222

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: een externe aanvaller kan een denial of service veroorzaken als Internetdeling is ingeschakeld.

    Beschrijving: er kan een oneindige lus ontstaan bij de afhandeling van TCP-pakketten in natd. Door een schadelijk TCP-pakket te versturen, kan een externe aanvaller een denial of service veroorzaken als Internetdeling is ingeschakeld. In deze update wordt dit probleem verholpen door extra validatie van TCP-pakketten uit te voeren. Met dank aan Alex Rosenberg van Ohmantics en Gary Teter van Paizo Publishing voor het melden van dit probleem.

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    Beschikbaar voor: Mac OS X Server v10.5 t/m v10.5.5

    Impact: een externe aanvaller kan toegang krijgen tot de beheerfuncties van Podcast Producer.

    Beschrijving: er bestaat een probleem met de omzeiling van de identiteitscontrole op de Podcast Producer-server, waardoor een onbevoegde gebruiker toegang krijgt tot de beheerfuncties op de server. In deze update wordt het probleem verholpen dankzij een verbeterde afhandeling van toegangsbeperkingen. Podcast Producer is geïntroduceerd in Mac OS X Server v10.5.

  • UDF

    CVE-ID: CVE-2008-4224

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.5, Mac OS X Server v10.5 t/m v10.5.5

    Impact: het openen van een ISO-bestand kan ertoe leiden dat het systeem onverwacht wordt uitgeschakeld.

    Beschrijving: er bestaat een invoervalidatieprobleem bij de afhandeling van onjuist gevormde UDF-volumes. Het openen van een schadelijk ISO-bestand kan ertoe leiden dat het systeem onverwacht wordt uitgeschakeld. In deze update wordt dit probleem verholpen door een verbeterde invoervalidatie. Met dank aan Mauro Notarianni van PCAX Solutions voor het melden van dit probleem.

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: