De beveiligingsinhoud van beveiligingsupdate 2009-001

In dit artikel wordt beveiligingsupdate 2009-001 beschreven. Deze kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de webpagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple productbeveiliging.

Zie De Apple PGP-sleutel voor productbeveiliging gebruiken voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Ga naar Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Beveiligingsupdate 2009-001

  • AFP-server

    CVE-ID: CVE-2009-0142.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een gebruiker die verbinding kan maken met een AFP-server, kan een denial of service veroorzaken.

    Beschrijving: een racevoorwaarde op een AFP-server kan leiden tot een oneindige lus. Het inventariseren van bestanden op een AFP-server kan leiden tot een denial of service. In deze update wordt het probleem opgelost door middel van een verbeterde logica voor het inventariseren van bestanden. Dit probleem is alleen van invloed op systemen met Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code.

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de afhandeling van filmbestanden met de Pixlet-codec. Het openen van een kwaadwillig vervaardigd filmbestand kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigde resource fork kan leiden dat de onverwachte beëindiging van het programma of uitvoering van willekeurige code.

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de afhandeling van resource forks door Resource Manager. Het openen van een kwaadwillig vervaardigde resource fork kan leiden dat de onverwachte beëindiging van het programma of uitvoering van willekeurige code. In deze update wordt het probleem verholpen met een verbeterde validatie van resource forks. Met dank aan: Apple.

  • CFNetwork

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: correcte werking van cookies zonder verlooptijden wordt hersteld.

    Beschrijving: in deze update wordt een niet-beveiligingsregressie verholpen die in Mac OS X 10.5.6 is geïntroduceerd. Cookies worden mogelijk niet correct ingesteld als een website probeert een sessiecookie in te stellen door een Null-waarde in het veld "verloopt" op te geven, in plaats van het veld weg te laten. In deze update wordt het probleem verholpen door het veld "verloopt" te negeren als het een Null-waarde bevat.

  • CFNetwork

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: correcte werking van sessiecookies in diverse programma's wordt hersteld.

    Beschrijving: in deze update wordt een niet-beveiligingsregressie verholpen die in Mac OS X 10.5.6 is geïntroduceerd. CFNetwork kan mogelijk geen cookies op schijf bewaren als meerdere geopende programma's proberen sessiecookies in te stellen. In deze update wordt het probleem verholpen door sessiescookies voor elk programma apart te bewaren.

  • Certificaatassistent

    CVE-ID: CVE-2009-0011.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een lokale gebruiker kan bestanden manipuleren met de bevoegdheden van een andere gebruiker die Certificaatassistent gebruikt.

    Beschrijving: onveilige bestandsbewerking bij de afhandeling van tijdelijke bestanden door Certificaatassistent. Hierdoor kan een lokale gebruiker bestanden overschrijven met de bevoegdheden van een andere gebruiker die Certificaatassistent uitvoert. In deze update wordt het probleem verholpen met een verbeterde afhandeling van tijdelijke bestanden. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan: Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050 en CVE-2008-5314.

    Beschikbaar voor: Mac OS X Server v10.4.11 en Mac OS X Server v10.5.6.

    Impact: meerdere kwetsbaarheden in ClamAV 0.94.

    Beschrijving: er bestaan meerdere kwetsbaarheden in ClamAV 0.94, waarvan de meest ernstige kunnen leiden tot de uitvoering van willekeurige code. In deze update worden de problemen verholpen door ClamAV bij te werken naar versie 0.94.2. ClamAV wordt alleen bij Mac OS X Server-systemen meegeleverd. U vindt meer informatie via de website van ClamAV op http://www.clamav.net.

  • CoreText

    CVE-ID: CVE-2009-0012.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het weergeven van kwaadwillig vervaardigde Unicode-inhoud kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code.

    Beschrijving: er kan een heap-bufferoverloop optreden bij de verwerking van Unicode-tekenreeksen in CoreText. Het gebruik van CoreText om kwaadwillig vervaardigde Unicode-tekenreeksen af te handelen, bijvoorbeeld wanneer u een kwaadwillig vervaardigde webpagina weergeeft, kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Rosyna van Unsanity voor het melden van dit probleem.

  • CUPS

    CVE-ID: CVE-2008-5183.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de onverwachte beëindiging van het programma.

    Beschrijving: overschrijding van het maximum aantal RSS-abonnementen leidt tot Null-aanwijzerdeferentie in de CUPS-webinterface. Dit kan leiden tot de onverwachte beëindiging van het programma wanneer u een kwaadwillig vervaardigde website bezoekt. Om dit probleem te activeren, moeten de inloggegevens van de gebruiker bekend zijn voor de aanvaller of in de cache van de webbrowser van de gebruiker zijn opgeslagen. CUPS wordt automatisch opnieuw gestart nadat dit probleem is geactiveerd. In deze update wordt dit probleem verholpen door een correcte afhandeling van het aantal RSS-abonnementen. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5.

  • DS-programma's

    CVE-ID: CVE-2009-0013.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: wachtwoorden die voor dscl worden opgegeven, worden zichtbaar voor andere lokale gebruikers.

    Beschrijving: het commandoregelprogramma dscl vereist dat wachtwoorden aan het programma worden doorgegeven in de bijbehorende argumenten. Hierdoor worden de wachtwoorden mogelijk zichtbaar voor andere lokale gebruikers. Zowel gebruikers- als beheerderswachtwoorden kunnen zichtbaar worden. In deze update wordt de wachtwoordparameter optioneel gemaakt en in dscl wordt alleen indien nodig om het wachtwoord gevraagd. Met dank aan: Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565 en CVE-2008-2711.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: meerdere kwetsbaarheden in fetchmail 6.3.8.

    Beschrijving: fetchmail 6.3.8 bevat meerdere kwetsbaarheden, waarvan de meest ernstige kunnen leiden tot een denial of service. In deze update wordt het probleem verholpen door een update naar versie 6.3.9 uit te voeren. Ga voor meer informatie naar de website van fetchmail op http://fetchmail.berlios.de.

  • Folder Manager

    CVE-ID: CVE-2009-0014.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: andere lokale gebruikers krijgen mogelijk toegang tot de map voor downloads.

    Beschrijving: in Folder Manager bestaat een probleem met standaardbevoegdheden. Wanneer een gebruiker de map voor downloads verwijdert en deze vervolgens door Folder Manager opnieuw wordt gemaakt, wordt de map gemaakt met leesbevoegdheden voor alle gebruikers. In deze update wordt dit probleem verholpen met de beperking van bevoegdheden in Folder Manager, zodat de map alleen toegankelijk is voor de desbetreffende gebruiker. Dit probleem is alleen van invloed op programma's die gebruikmaken van Folder Manager. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Graham Perrin van CENTRIM, University of Brighton voor het melden van dit probleem.

  • FSEvents

    CVE-ID: CVE-2009-0015.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een lokale gebruiker kan het FSEvents-framework gebruiken om de activiteiten van het bestandssysteem te volgen, die anders niet beschikbaar zouden zijn.

    Beschrijving: er bestaat een probleem met het beheer van inloggegevens in fseventsd. Een lokale gebruiker kan het FSEvents-framework gebruiken om de activiteiten van het bestandssysteem te volgen, die anders niet beschikbaar zouden zijn. Zo wordt bijvoorbeeld de naam van een directory zichtbaar en kunnen de activiteiten in die directory op een bepaald moment worden gedetecteerd. In deze update wordt dit probleem verholpen met een verbeterde validatie van inloggegevens in fseventsd. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Mark Dalrymple voor het melden van dit probleem.

  • Netwerktijd

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: de configuratie van de service Netwerktijd is bijgewerkt.

    Beschrijving: als een proactieve beveiligingsmaatregel wordt in deze update de standaardconfiguratie van de service Netwerktijd gewijzigd. Informatie over de systeemtijd en -versie is niet langer beschikbaar in de standaardconfiguratie voor ntpd. In Mac OS X v10.4.11-systemen wordt de nieuwe configuratie van kracht als het systeem opnieuw wordt opgestart wanneer de service Netwerktijd is ingeschakeld.

  • perl

    CVE-ID: CVE-2008-1927.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het gebruik van reguliere expressies die UTF-8-tekens bevatten, kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code.

    Beschrijving: er treedt een probleem met geheugenbeschadiging op bij de afhandeling van bepaalde UTF-8-tekens in reguliere expressies. De analyse van kwaadwillig vervaardigde reguliere expressies kan leiden tot de onverwachte beëindiging van het programma of uitvoering van willekeurige code. In deze update wordt het probleem verholpen door extra validaties van reguliere expressies uit te voeren.

  • Afdrukken

    CVE-ID: CVE-2009-0017.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een lokale gebruiker kan systeemrechten verkrijgen.

    Beschrijving: er treedt een probleem met foutafhandeling op in csregprinter, dat kan leiden tot een heap-bufferoverloop. Hierdoor kan een lokale gebruiker mogelijk systeemrechten verkrijgen. In deze update wordt het probleem verholpen door een verbeterde afhandeling van fouten. Met dank aan Lars Haulin voor het melden van dit probleem.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965 en CVE-2008-5031.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: meerdere kwetsbaarheden in python.

    Beschrijving: er bestaan meerdere kwetsbaarheden in python, waarvan de meest ernstige kunnen leiden tot de uitvoering van willekeurige code. In deze update worden de problemen verholpen door patches van het python-project toe te passen.

  • Externe Apple events

    CVE-ID: CVE-2009-0018.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het versturen van externe Apple events kan leiden tot de bekendmaking van gevoelige informatie.

    Beschrijving: er treedt een probleem met een niet-geïnitialiseerde buffer op de server voor externe Apple events op, dat kan leiden tot de bekendmaking van geheugeninhoud aan netwerkclients. In deze update wordt het probleem verholpen door een juiste geheugeninitialisatie. Met dank aan: Apple.

  • Externe Apple events

    CVE-ID: CVE-2009-0019.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: de inschakeling van externe Apple events kan leiden tot de onverwachte beëindiging van het programma of bekendmaking van gevoelige informatie.

    Beschrijving: er treedt ongeoorloofde geheugentoegang op bij externe Apple events. De inschakeling van externe Apple events kan leiden tot de onverwachte beëindiging van het programma of bekendmaking van gevoelige informatie aan netwerkclients. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het benaderen van een kwaadwillig vervaardigde kanaal-URL kan leiden tot de uitvoering van willekeurige code.

    Beschrijving: er treden meerdere invoervalidatieproblemen op bij de afhandeling van feed-URL's door Safari. Vanwege deze problemen kan willekeurig JavaScript in de lokale beveiligingszone worden uitgevoerd. In deze update worden de problemen verholpen door een verbeterde afhandeling van ingebed JavaScript in kanaal-URL's. Met dank aan Clint Ruoho van Laconic Security, Billy Rios van Microsoft en Brian Mastenbrook voor het melden van deze problemen.

  • servermgrd

    CVE-ID: CVE-2009-0138.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: externe aanvallers krijgen mogelijk zonder geldige inloggegevens toegang tot Server Manager.

    Beschrijving: vanwege een probleem bij de validatie van de inloggegevens voor identiteitscontrole in Server Manager kan een externe aanvaller de systeemconfiguratie wijzigen. In deze update wordt het probleem verholpen door extra validaties van de inloggegevens voor identiteitscontrole uit te voeren. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan: Apple.

  • SMB

    CVE-ID: CVE-2009-0139.

    Beschikbaar voor: Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het maken van verbinding met een kwaadwillig vervaardigd SMB-bestandssysteem kan leiden tot de uitschakeling van het systeem of uitvoering van willekeurige code met systeemrechten.

    Beschrijving: een overloop bij gehele getallen in het SMB-bestandssysteem kan leiden tot een heap-bufferoverloop. Het maken van verbinding met een kwaadwillig vervaardigd SMB-bestandssysteem kan leiden tot de uitschakeling van het systeem of uitvoering van willekeurige code met systeemrechten. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan: Apple.

  • SMB

    CVE-ID: CVE-2009-0140.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: het maken van verbinding met een kwaadwillig vervaardigde SMB-bestandsserver kan leiden tot de onverwachte uitschakeling van het systeem.

    Beschrijving: er bestaat een probleem met geheugenuitputting bij de afhandeling van bestandssysteemnamen door het SMB-bestandssysteem. Het maken van verbinding met een kwaadwillig vervaardigde SMB-bestandsserver kan leiden tot de onverwachte uitschakeling van het systeem. In deze update wordt het probleem verholpen door de beperking van de hoeveelheid geheugen die aan de client voor bestandssysteemnamen wordt toegewezen. Met dank aan: Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379 en CVE-2008-3663.

    Beschikbaar voor: Mac OS X Server v10.4.11 en Mac OS X Server v10.5.6.

    Impact: meerdere kwetsbaarheden in SquirrelMail.

    Beschrijving: SquirrelMail wordt bijgewerkt naar versie 1.4.17 om diverse kwetsbaarheden op te lossen, waarvan de meest ernstige kunnen leiden tot een problemen met scripts die naar andere sites verwijzen. U vindt meer informatie via de website van SquirrelMail op http://www.SquirrelMail.org.

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361 en CVE-2008-2362.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: meerdere kwetsbaarheden in X11-server.

    Beschrijving: er bestaan meerdere kwetsbaarheden in X11-server. De meeste ernstige kwetsbaarheden kunnen leiden tot de uitvoering van willekeurige code met de bevoegdheden van de gebruiker die de X11-server uitvoert, als de aanvaller kan inloggen bij de X11-server. In deze update worden de problemen verholpen door de bijgewerkte X.Org-patches toe te passen. U vindt meer informatie via de website van X.Org op http://www.x.org/wiki/Development/Security.

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807 en CVE-2008-1808.

    Beschikbaar voor: Mac OS X v10.4.11 en Mac OS X Server v10.4.11.

    Effect: meerdere kwetsbaarheden in FreeType v2.1.4.

    Beschrijving: er zijn meerdere kwetsbaarheden in FreeType v2.1.4, waarvan de meest ernstige kunnen leiden tot de uitvoering van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. In deze update worden de problemen verholpen door de beveiligingsverbeteringen van versie 2.3.6 van FreeType toe te passen. U vindt meer informatie via de website van FreeType op http://www.freetype.org. In systemen waarop Mac OS X v10.5.6 wordt uitgevoerd, zijn deze problemen al verholpen.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352 en CVE-2007-1667.

    Beschikbaar voor: Mac OS X v10.4.11 en Mac OS X Server v10.4.11.

    Impact: meerdere kwetsbaarheden in LibX11.

    Beschrijving: er bestaan meerdere kwetsbaarheden in LibX11, waarvan de meest ernstige kunnen leiden tot de uitvoering van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. In deze update worden de problemen verholpen door de bijgewerkte X.Org-patches toe te passen. U vindt meer informatie via de website van X.Org op http://www.x.org/wiki/Development/Security. Deze problemen zijn niet van invloed op systemen waarop Mac OS X v10.5 of hoger wordt uitgevoerd.

  • xterm

    CVE-ID: CVE-2009-0141.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 en Mac OS X Server v10.5.6.

    Impact: een lokale gebruiker kan informatie rechtstreeks naar Xterm van een andere gebruiker versturen.

    Beschrijving: er bestaat een probleem met bevoegdheden in Xterm. Wanneer Xterm met luit wordt gebruikt, maakt Xterm tty-apparaten voor iedereen toegankelijk. In deze update wordt het probleem verholpen door beperking van de bevoegdheden in Xterm zodat tty-apparaten alleen toegankelijk zijn voor de desbetreffende gebruiker.

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: