Over de beveiligingsinhoud van beveiligingsupdate 2009-001
In dit document wordt beveiligingsupdate 2009-001 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Beveiligingsupdate 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: een gebruiker met de mogelijkheid om verbinding te maken met de AFP-server kan een denial of service veroorzaken
Beschrijving: een racevoorwaarde op de AFP-server kan een oneindige lus tot gevolg hebben. Het inventariseren van bestanden op een AFP-server kan leiden tot een denial of service. Deze update verhelpt het probleem door verbeterde logica voor het inventariseren van bestanden. Dit probleem geldt alleen voor systemen met Mac OS X v10.5.6.
CoreGraphics
CVE-ID: CVE-2009-0009
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: Het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van verschillende problemen met geheugenbeschadiging bij de verwerking van pdf-bestanden door CoreGraphics. Het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.
CarbonCore
CVE-ID: CVE-2009-0020
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het openen van een een bestand met een kwaadwillig vervaardigd bronfork kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er bestaat een geheugenbeschadigingsprobleem bij de verwerking van bronforks door Resource Manager. Het openen van een kwaadwillig vervaardigde bronfork kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update lost het probleem op door verbeterde validatie van bronforks uit te voeren. Met dank aan Apple.
CFNetwork
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: herstelt de juiste werking van cookies met lege verlooptijden
Beschrijving: deze update herstelt een niet-beveiligingsregressie die is geïntroduceerd in Mac OS X 10.5.6. Cookies worden mogelijk niet goed ingesteld als een website probeert een sessiecookie in te stellen door een null waarde op te geven in het veld 'expires', in plaats van het veld weg te laten. Deze update lost het probleem op door het veld 'expires' te negeren als dit een null waarde bevat.
CFNetwork
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: herstelt de juiste werking van sessiecookies tussen apps
Beschrijving: deze update herstelt een niet-beveiligingsregressie die is geïntroduceerd in Mac OS X 10.5.6. Cookies worden mogelijk niet op schijf bewaard door CFNetwork als verschillende geopende apps proberen om sessiecookies in te stellen. Deze update lost het probleem op door ervoor te zorgen dat elke app de eigen sessiecookies afzonderlijk opslaat.
Certificate Assistant
CVE-ID: CVE-2009-0011
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: een lokale gebruiker kan bestanden manipuleren met de bevoegdheden van een andere gebruiker die Certificaatassistent uitvoert
Beschrijving: er is sprake van een onveilige bestandsbewerking in de manier waarop Certificaatassistent omgaat met tijdelijke bestanden. Hierdoor bestaat de kans dat een lokale gebruiker bestanden overschrijft met de bevoegdheden van een andere gebruiker die Certificaatassistent uitvoert. Deze update lost het probleem op door een verbeterde verwerking van tijdelijke bestanden. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Beschikbaar voor: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impact: verschillende kwetsbaarheden in ClamAV 0.94
Beschrijving: er is sprake van verschillende kwetsbaarheden in ClamAV 0.94, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door ClamAV bij te werken naar versie 0.94.2. ClamAV wordt alleen geleverd bij systemen met Mac OS X Server. Ga voor meer informatie naar de website van ClamAV op http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het bekijken van kwaadwillig vervaardigde Unicode-inhoud kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er kan sprake zijn van overloop van een heapbuffer bij de verwerking van Unicode-tekenreeksen in CoreText. Als CoreText wordt gebruikt voor het verwerken van kwaadwillig vervaardigde Unicode-tekenreeksen, zoals bij het bekijken van een kwaadwillig vervaardigde webpagina, kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door verbeterde bereikcontrole. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.5. Met dank aan Rosyna van Unsanity voor het melden van dit probleem.
CUPS
CVE-ID: CVE-2008-5183
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma
Beschrijving: een overschrijding van het maximum aantal resultaten voor RSS-abonnementen heeft een null pointer dereference tot gevolg in de CUPS-webinterface. Dit kan leiden tot onverwachte beëindiging van het programma tijdens een bezoek aan een kwaadwillig vervaardigde website. Om dit probleem te kunnen misbruiken, moet de aanvaller beschikken over geldige inloggegevens van een gebruiker of moeten deze zijn opgeslagen in de cache van de webbrowser van de gebruiker. CUPS wordt automatisch opnieuw gestart zodra dit probleem optreedt. Deze update lost het probleem op door het aantal RSS-abonnementen op de juiste manier te verwerken. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5.
DS Tools
CVE-ID: CVE-2009-0013
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: wachtwoorden aangeleverd aan dscl worden vrijgegeven aan andere lokale gebruikers
Beschrijving: voor het commandoregelprogramma dscl was het noodzakelijk dat wachtwoorden werden doorgegeven via argumenten, met als mogelijk risico dat de wachtwoorden zichtbaar worden voor andere lokale gebruikers. Onder de vrijgegeven wachtwoorden zitten wachtwoorden van gebruikers en beheerders. Deze update zorgt ervoor dat de wachtwoordparameter optioneel is en dat dscl indien nodig om het wachtwoord vraagt. Met dank aan Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: verschillende kwetsbaarheden in fetchmail 6.3.8
Beschrijving: er is sprake van verschillende kwetsbaarheden in fetchmail 6.3.8, waarvan de ernstigste een denial of service kan veroorzaken. Deze update lost de problemen op door bij te werken naar versie 6.3.9. Meer informatie is beschikbaar via de website van fetchmail op http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: andere lokale gebruikers hebben mogelijk toegang tot de map 'Downloads'
Beschrijving: er is een probleem met machtigingen in Folder Manager. Wanneer een gebruiker de map 'Downloads' verwijdert en Folder Manager deze opnieuw aanmaakt, wordt de map aangemaakt met leesmachtigingen voor iedereen. Deze update lost het probleem op door de machtigingen te beperken die Folder Manager toekent, zodat de map alleen toegankelijk is voor de gebruiker. Dit probleem geldt alleen voor apps die Folder Manager gebruiken. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Graham Perrin van CENTRIM, University of Brighton, voor het melden van dit probleem.
FSEvents
CVE-ID: CVE-2009-0015
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: met behulp van het FSEvents-framework kan een lokale gebruiker activiteit in het bestandssysteem zien die anders onzichtbaar is
Beschrijving: er is een probleem met het beheer van inloggegevens in fseventsd. Met behulp van het FSEvents-framework kan een lokale gebruiker activiteit in het bestandssysteem zien die anders onzichtbaar is. Het betreft hier onder andere de naam van een directory die de gebruiker anders niet zou kunnen zien, en de detectie van activiteit in de directory op enig moment. Deze update lost het probleem op door verbeterde validatie van inloggegevens in fseventsd. Dit probleem heeft geen gevolgen voor systemen ouder dan Mac OS X v10.5. Met dank aan Mark Dalrymple voor het melden van dit probleem.
Network Time
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: de configuratie van de service Netwerktijd is bijgewerkt
Beschrijving: als een proactieve veiligheidsmaatregel wordt met deze update de standaardconfiguratie voor de service Netwerktijd gewijzigd. De systeemtijd en versiegegevens zijn niet meer beschikbaar in de standaardconfiguratie van ntpd. Op systemen met Mac OS X v10.4.11 wordt de nieuwe configuratie van kracht nadat het systeem opnieuw is opgestart en de service Netwerktijd is ingeschakeld.
perl
CVE-ID: CVE-2008-1927
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het gebruik van reguliere uitdrukkingen met UTF-8-tekens kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er is sprake van een probleem met geheugenbeschadiging bij de verwerking van bepaalde UTF-8-tekens in reguliere uitdrukkingen. Het parseren van kwaadwillig vervaardigde reguliere uitdrukkingen kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van reguliere uitdrukkingen.
Printing
CVE-ID: CVE-2009-0017
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: een lokale gebruiker kan systeembevoegdheden verkrijgen
Beschrijving: er is een probleem met foutafhandeling in csregprinter, wat overloop van de heapbuffer kan veroorzaken. Hierdoor kan een lokale gebruiker systeemrechten verkrijgen. Deze update lost het probleem op door verbeterde foutafhandeling. Met dank aan Lars Haulin voor het melden van dit probleem.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: verschillende kwetsbaarheden in python
Beschrijving: er is sprake van meerdere kwetsbaarheden in python, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. Deze update lost de problemen op door patches van het Python-project toe te passen.
Remote Apple Events
CVE-ID: CVE-2009-0018
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het verzenden van Remote Apple Events kan leiden tot het vrijgeven van gevoelige informatie
Beschrijving: er is sprake van een probleem met een niet-geïnitialiseerde buffer op de Remote Apple Events-server, wat kan leiden tot het vrijgeven van geheugeninhoud aan netwerkclients. Deze update lost het probleem op door een juiste initialisatie van het geheugen. Met dank aan Apple.
Remote Apple Events
CVE-ID: CVE-2009-0019
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het inschakelen van Remote Apple Events kan leiden tot onverwachte beëindiging van het programma of het vrijgeven van gevoelige informatie
Beschrijving: er is sprake van toegang buiten het geheugenbereik in Remote Apple Events. Het inschakelen van Remote Apple Events kan leiden tot onverwachte beëindiging van het programma of het vrijgeven van gevoelige informatie aan netwerkclients. Deze update verhelpt het probleem door verbeterde bereikcontrole. Met dank aan Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het openen van een kwaadwillig vervaardigde feed-URL kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er zijn meerdere problemen met de validatie van invoer tijdens de verwerking van feed-URL's door Safari. Door deze problemen kan willekeurige JavaScript worden uitgevoerd in de lokale beveiligingszone. Met deze update worden de problemen opgelost door een verbeterde afhandeling van ingesloten JavaScript in feed-URL's. Met dank aan Clint Ruoho van Laconic Security, Billy Rios van Microsoft en Brian Mastenbrook voor het melden van deze problemen.
servermgrd
CVE-ID: CVE-2009-0138
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: externe aanvallers kunnen mogelijk toegang krijgen tot Server Manager zonder geldige inloggegevens
Beschrijving: een probleem met de validatie door Server Manager van inloggegevens voor authenticatie kan een externe aanvaller de kans bieden de systeemconfiguratie te wijzigen. Deze update verhelpt het probleem door aanvullende validatie van inloggegevens voor authenticatie uit te voeren. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Apple.
SMB
CVE-ID: CVE-2009-0139
Beschikbaar voor: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het maken van verbinding met een kwaadwillig vervaardigd SMB-bestandssysteem kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: een overloop van hele getallen in het SMB-bestandssysteem kan leiden tot een overloop van de heapbuffer. Het maken van verbinding met een kwaadwillig vervaardigd SMB-bestandssysteem kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code met systeembevoegdheden. Deze update verhelpt het probleem door verbeterde bereikcontrole. Dit probleem is niet van toepassing op systemen ouder dan Mac OS X v10.5. Met dank aan Apple.
SMB
CVE-ID: CVE-2009-0140
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: het maken van verbinding met een kwaadwillig vervaardigde SMB-server kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten
Beschrijving: er is een probleem met onvoldoende geheugen bij de verwerking van bestandssysteemnamen door het SMB-bestandssysteem. Het maken van verbinding met een kwaadwillig vervaardigde SMB-server kan tot gevolg hebben dat het systeem onverwacht wordt afgesloten. Deze update lost het probleem op door de hoeveelheid geheugen te beperken die door de client wordt toegewezen voor bestandssysteemnamen. Met dank aan Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Beschikbaar voor: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impact: meerdere kwetsbaarheden in SquirrelMail
Beschrijving: SquirrelMail is bijgewerkt naar versie 1.4.17 om verschillende kwetsbaarheden weg te nemen, waarvan de ernstigste een probleem met cross-site scripting is. Verdere informatie is beschikbaar via de SquirrelMail-website op http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: meerdere kwetsbaarheden op de X11-server
Beschrijving: er is sprake van meerdere kwetsbaarheden op de X11-server. In het ernstigste geval kan dit leiden tot het uitvoeren van willekeurige code met de bevoegdheden van de gebruiker die is ingelogd op de X11-server, als de aanvaller kan authenticeren bij de X11-server. Deze update lost de problemen op door de bijgewerkte patches van X.Org toe te passen. Ga voor meer informatie naar de website van X.Org ophttp://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impact: meerdere kwetsbaarheden in FreeType v2.1.4
Beschrijving: er is sprake van meerdere kwetsbaarheden in FreeType v2.1.4, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code tijdens de verwerking van een kwaadwillig vervaardigd lettertype. Deze update verhelpt de problemen door het integreren van de beveiligingsverbeteringen van versie 2.3.6 van FreeType. Ga voor meer informatie naar de site van FreeType op http://www.freetype.org/ De problemen zijn al opgelost op systemen met Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impact: meerdere kwetsbaarheden in LibX11
Beschrijving: er is sprake van meerdere kwetsbaarheden in LibX11, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code tijdens de verwerking van een kwaadwillig vervaardigd lettertype. Deze update lost de problemen op door de bijgewerkte patches van X.Org toe te passen. Ga voor meer informatie naar de website van X.Org op http://www.x.org/wiki/Development/Security Deze problemen gelden niet voor systemen met Mac OS X v10.5 of nieuwer.
XTerm
CVE-ID: CVE-2009-0141
Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: een lokale gebruiker kan rechtstreeks gegevens verzenden naar de Xterm van een andere gebruiker
Beschrijving: er is een probleem met machtigingen in Xterm. Bij gebruik met luit maakt Xterm tty-apparaten aan die voor iedereen toegankelijk zijn. Deze update lost het probleem op door de machtigingen te beperken die Xterm afgeeft, zodat tty-apparaten alleen toegankelijk zijn door de gebruiker.
Belangrijk: De vermelding van websites en producten van derden is alleen bedoeld ter informatie en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple aanvaardt geen verantwoordelijkheid met betrekking tot de selectie, prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt dit alleen aan voor het gemak van onze gebruikers. Apple heeft de informatie op deze sites niet getest en doet geen uitspraken over de juistheid of betrouwbaarheid ervan. Er zijn risico's verbonden aan het gebruik van informatie of producten die op internet worden gevonden en Apple aanvaardt in dit verband geen enkele verantwoordelijkheid. Het is belangrijk om je te realiseren dat een site van derden onafhankelijk is van Apple en dat Apple geen controle heeft over het materiaal op die website. Neem voor meer informatie contact op met de leverancier.