De beveiligingsinhoud van beveiligingsupdate 2009-002 / Mac OS X v10.5.7

In dit artikel wordt de beveiligingsinhoud van de beveiligingsupdate 2009-002 / Mac OS X v10.5.7 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de Apple-downloadpagina.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet tot een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Raadpleeg de website Apple productbeveiliging voor meer informatie over de Apple productbeveiliging.

Zie 'How to use the Apple Product Security PGP Key' (Hoe gebruikt u de Apple PGP-sleutel voor productbeveiliging) voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's gebruikt om verwijzingen te bieden voor kwetsbare punten voor nadere informatie.

Ga naar 'Apple beveiligingsupdates' voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Beveiligingsupdate 2009-002 / Mac OS X v10.5.7

  • Apache

    CVE-ID: CVE-2008-2939.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11.

    Impact: een bezoek aan een kwaadwillig vervaardigde website via een proxy kan leiden tot cross-site scripting.

    Beschrijving: er bestaat een invoervalidatieprobleem bij de afhandeling door Apache van FTP-proxyverzoeken die jokertekens bevatten. Een bezoek aan een kwaadwillig vervaardigde website via een Apache-proxy kan leiden tot een aanval met cross-site scripting. In deze update wordt dit probleem verholpen door Apache-patch voor versie 2.0.63 toe te passen. Meer informatie vindt u via de website van Apache op http://httpd.apache.org/. Apache 2.0.x wordt alleen bij Mac OS X Server v10.4.x-systemen meegeleverd. Bij Mac OS X v10.5.x en Mac OS X Server v10.5.x wordt Apache 2.2.x meegeleverd.

  • Apache

    CVE-ID: CVE-2008-2939.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website via een proxy kan leiden tot cross-site scripting.

    Beschrijving: er bestaat een invoervalidatieprobleem bij de afhandeling door Apache 2.2.9 van FTP-proxyverzoeken die jokertekens bevatten. Een bezoek aan een kwaadwillig vervaardigde website via een Apache-proxy kan leiden tot een aanval met cross-site scripting. In deze update wordt het probleem verholpen door Apache bij te werken naar versie 2.2.11. Meer informatie vindt u via de website van Apache op http://httpd.apache.org/.

  • Apache

    CVE-ID: CVE-2008-0456.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: websites die toestaan dat gebruikers de naam van een aangeboden bestand bepalen, kunnen kwetsbaar zijn voor HTTP-antwoordinjectie.

    Beschrijving: in Apache bestaat een verzoekvervalsingsprobleem. Apache kan geen bestandsnamen ontwijken wanneer wordt onderhandeld over het correcte inhoudstype voor verzending naar een externe browser. Gebruikers die bestanden met speciaal vervaardigde namen kunnen publiceren naar een website, kunnen hun eigen antwoord verwisselen voor elke webpagina die op het systeem wordt gehost. In deze update wordt dit probleem verholpen door bestandsnamen te ontwijken in antwoorden bij onderhandeling over inhoud.

  • ATS

    CVE-ID: CVE-2009-0154.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het weergeven of downloaden van een document dat een kwaadwillig vervaardigd, ingebed CFF-lettertype bevat, kan leiden tot uitvoering van willekeurige code.

    Beschrijving: er bestaat een heapbufferoverloop in de afhandeling door Apple Type Services van Compact Font Format-lettertypen (CFF). Het weergeven of downloaden van een document dat een kwaadwillig vervaardigd, ingebed CFF-lettertype bevat, kan leiden tot uitvoering van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan Charlie Miller van Independent Security Evaluators voor het melden van dit probleem via het Zero Day Initiative van TippingPoint.

  • BIND

    CVE-ID: CVE-2009-0025.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: BIND is kwetsbaar voor een spoofing-aanval indien geconfigureerd voor gebruik van DNSSEC.

    Beschrijving: BIND controleert op incorrecte wijze de resultaatwaarde van de functie OpenSSL DSA_do_verify. Op systemen die gebruikmaken van het DNS Security Extensions-protocol (DNSSEC), kan een kwaadwillig vervaardigd DSA-certificaat de validatie omzeilen, wat kan leiden tot een spoofing-aanval. DNSSEC is standaard niet ingeschakeld. In deze update wordt het probleem verholpen door BIND bij te werken naar versie 9.3.6-P1 op Mac OS X v10.4, en versie 9.4.3-P1 voor Mac OS X v10.5-systemen. Meer informatie is beschikbaar via de website van ISC op https://www.isc.org/.

  • CFNetwork

    CVE-ID: CVE-2009-0144.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: programma's die gebruikmaken van CFNetwork, kunnen veilige cookies verzenden in niet-gecodeerde HTTP-verzoeken.

    Beschrijving: er bestaat een implementatieprobleem in de parsering van Set-Cookie-headers door CFNetwork, wat kan leiden tot cookies die onverwacht via een niet-gecodeerde verbinding worden verzonden. Dit probleem is van invloed op niet-RFC-compatibele Set-Cookie-headers die om compatibiliteitsredenen worden geaccepteerd. Dit kan ertoe leiden dat programma's die gebruikmaken van CFNetwork, bijvoorbeeld Safari, gevoelige informatie in niet-gecodeerde HTTP-verzoeken verzenden. In deze update wordt dit probleem verholpen door verbeterde parsering van Set-Cookie-headers. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Andrew Mortensen van de University of Michigan voor het melden van dit probleem.

  • CFNetwork

    CVE-ID: CVE-2009-0157.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij de afhandeling van veel te lange HTTP-headers in CFNetwork. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt dit probleem verholpen door extra validatie van HTTP-headers uit te voeren. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Moritz Jodeit van n.runs AG voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2009-0145.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er treden meerdere problemen met geheugenbeschadiging op bij de afhandeling van PDF-bestanden in CoreGraphics. Het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update worden deze problemen verholpen door middel van verbeterde foutcontrole.

  • CoreGraphics

    CVE-ID: CVE-2009-0155.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: een overloop bij gehele getallen in de afhandeling door CoreGraphics van PDF-bestanden kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Barry K. Nathan voor het melden van dit probleem.

  • CoreGraphics

    CVE-ID: CVE-2009-0146, CVE-2009-0147 en CVE-2009-0165.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het weergeven of downloaden van een PDF-bestand dat een kwaadwillig vervaardigd JBIG2-stroom bevat, kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er treden meerdere heap-bufferoverlopen op bij de afhandeling door CoreGraphics van PDF-bestanden die JBIG2-stromen bevatten. Het weergeven of downloaden van een PDF-bestand dat een kwaadwillig vervaardigd JBIG2-stroom bevat, kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan Apple, Alin Rad Pop van Secunia Research en Will Dormann van CERT/CC voor het melden van dit probleem.

  • Cscope

    CVE-ID: CVE-2009-0148.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het verwerken van een kwaadwillig vervaardigd bronbestand kan leiden tot het onverwacht beëindigen van de toepassing of het uitvoeren van kwaadwillige code.

    Beschrijving: er treedt een stackbufferoverloop op bij de afhandeling door Cscope van lange padnamen voor het bestandssysteem. Het gebruik van Cscope om een kwaadwillig vervaardigd bronbestand te verwerken, kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking.

  • CUPS

    CVE-ID: CVE-2009-0164.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot onbevoegde toegang tot de webinterface van CUPS.

    Beschrijving: onder bepaalde omstandigheden is de webinterface van CUPS 1.3.9 en lager mogelijk toegankelijk voor aanvallers via aanvallen met DNS-rebinding. In de standaardconfiguratie kan een kwaadwillig vervaardigde website printers starten en stoppen en toegang krijgen tot informatie over printers en taken. In deze update wordt het probleem verholpen door extra validatie van de hostheader uit te voeren. Met dank aan: Apple.

  • Schijfkopieën

    CVE-ID: CVE-2009-0150.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het activeren van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht beëindigen van een programma of uitvoeren van willekeurige code.

    Beschrijving: er treedt een stackbufferoverloop op bij de afhandeling van schijfkopieën. Het activeren van een kwaadwillig vervaardigde beperkte schijfkopie kan leiden tot het onverwacht beëindigen van een programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Tiller Beauchamp van IOActive voor het melden van dit probleem.

  • Schijfkopieën

    CVE-ID: CVE-2009-0149.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het activeren van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht beëindigen van een programma of uitvoeren van willekeurige code.

    Beschrijving: er bestaan meerdere problemen met geheugenbeschadiging bij de afhandeling van schijfkopieën. Het activeren van een kwaadwillig vervaardigde beperkte schijfkopie kan leiden tot het onverwacht beëindigen van een programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • enscript

    CVE-ID: CVE-2004-1184, CVE-2004-1185, CVE-2004-1186 en CVE-2008-3863.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in enscript.

    Beschrijving: enscript wordt bijgewerkt naar versie 1.6.4 om diverse kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van gnu op http://www.gnu.org/software/enscript/.

  • Flash Player-plugin

    CVE-ID: CVE-2009-0519, CVE-2009-0520, CVE-2009-0114.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in Adobe Flash Player-plugin.

    Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan het ernstigste kan leiden tot het uitvoeren van willekeurige code wanneer een bedrieglijke website wordt weergegeven. De problemen worden verholpen door de Flash Player-plugin op Mac OS v10.5.x-systemen bij te werken naar versie 10.0.22.87, en naar versie 9.0.159.0 op Mac OS X v10.4.11-systemen. Meer informatie vindt u via de website van Adobe op http://www.adobe.com/nl/support/security/bulletins/apsb09-01.html.

  • Help-viewer

    CVE-ID: CVE-2009-0942.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het benaderen van een kwaadwillig vervaardigde "help:"-URL kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: in de Help-viewer worden Cascading Style Sheets geladen waarnaar wordt verwezen in URL-parameters, zonder te valideren dat de desbetreffende style sheets zich binnen een geregistreerd Helpboek bevinden. Een kwaadwillig vervaardigde "help:"-URL kan worden gebruikt om willekeurige AppleScript-bestanden aan te roepen, wat kan leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door een verbeterde validatie van paden in bestandssystemen wanneer style sheets worden geladen. Met dank aan Brian Mastenbrook voor het melden van dit probleem.

  • Help-viewer

    CVE-ID: CVE-2009-0943.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het benaderen van een kwaadwillig vervaardigde "help:"-URL kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: Help-viewer valideert niet dat volledige paden naar HTML-documenten zich binnen geregistreerde Helpboeken bevinden. Een kwaadwillig vervaardigde "help:"-URL kan worden gebruikt om willekeurige AppleScript-bestanden aan te roepen, wat kan leiden tot het uitvoeren van willekeurige code. In deze update wordt dit probleem verholpen door verbeterde validatie van "help:"-URL's. Met dank aan Brian Mastenbrook voor het melden van dit probleem.

  • iChat

    CVE-ID: CVE-2009-0152.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: iChat AIM-communicatie geconfigureerd voor SSL kan worden gedeclasseerd naar platte tekst.

    Beschrijving: iChat ondersteunt Secure Sockets Layer (SSL) voor AOL Instant Messenger- en Jabber-accounts. iChat schakelt SSL voor AOL Instant Messenger-accounts automatisch uit wanneer geen verbinding kan worden gemaakt, en verzendt daaropvolgende communicatie in platte tekst tot SSL handmatig opnieuw is ingeschakeld. Een externe aanvaller die netwerkverkeer kan bekijken vanaf een aangetast systeem, kan de inhoud van AOL Instant Messenger-gesprekken verkrijgen. In deze update wordt dit probleem verholpen door het gedrag van iChat te wijzigen zodat altijd wordt geprobeerd om SSL te gebruiken en om alleen minder veilige kanalen te gebruiken als de voorkeur voor vereist gebruik van SSL niet is ingeschakeld. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5, aangezien deze systemen SSL niet ondersteunen voor iChat-accounts.

  • ICU

    CVE-ID: CVE-2009-0153.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: kwaadwillig vervaardigde inhoud kan websitefilters omzeilen en vervolgens cross-site scripting veroorzaken.

    Beschrijving: bij de afhandeling van bepaalde tekencoderingen in ICU doet zich een implementatieprobleem voor. Als ICU wordt gebruikt om ongeldige byte-reeksen te converteren naar Unicode, kan overconsumptie ontstaan, waarbij afsluitende bytes als onderdeel van het oorspronkelijke teken worden beschouwd. Een aanvaller kan hiervan misbruik maken om filters op websites te omzeilen die proberen om cross-site scripting af te wenden. In deze update wordt het probleem verholpen door een verbeterde afhandeling van ongeldige byte-reeksen. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Chris Weber van Casaba Security voor het melden van dit probleem.

  • IPSec

    CVE-ID: CVE-2008-3651 en CVE-2008-3652.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in de racoon daemon kunnen leiden tot een denial of service.

    Beschrijving: in de racoon daemon in ipsec-tools lager dan 0.7.1 kunnen geheugenlekken optreden die tot een denial of service kunnen leiden. In deze update wordt dit probleem verholpen door een verbeterd geheugenbeheer.

  • Kerberos

    CVE-ID: CVE-2009-0845.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: de verwerking van een kwaadwillig vervaardigd identiteitscontrolepakket kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld.

    Beschrijving: er bestaat een null-aanwijzerdereferentieprobleem in de Kerberos SPNEGO-ondersteuning. De verwerking van een kwaadwillig vervaardigd identiteitscontrolepakket kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld. In deze update wordt dit probleem verholpen door een controle voor een null-aanwijzer toe te voegen. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5.

  • Kerberos

    CVE-ID: CVE-2009-0846 en CVE-2009-0847.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: de verwerking van een kwaadwillig vervaardigd ASN.1-gecodeerd bericht kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld, of uitvoering van willekeurige code.

    Beschrijving: er bestaan meerdere problemen met geheugenbeschadiging bij de afhandeling door Kerberos van ASN.1-gecodeerde berichten. De verwerking van een kwaadwillig vervaardigd ASN.1-gecodeerd bericht kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld, of uitvoering van willekeurige code. Meer informatie over de problemen en de toegepaste patches vindt u via de MIT-website voor Kerberos op http://web.mit.edu/kerberos/.

  • Kerberos

    CVE-ID: CVE-2009-0844.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: de verwerking van een kwaadwillig vervaardigd Kerberos-gegevenspakket kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld.

    Beschrijving: er treedt ongeoorloofde geheugentoegang in Kerberos op. De verwerking van een kwaadwillig vervaardigd Kerberos-gegevenspakket kan leiden tot een denial of service bij een programma waarvoor Kerberos is ingeschakeld. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan: Apple.

  • Kernel

    CVE-ID: CVE-2008-1517.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een lokale gebruiker kan systeemrechten verkrijgen.

    Beschrijving: er bestaat een probleem met niet-gecontroleerde indices bij de afhandeling door de kernel van taakwachtrijen, wat kan leiden tot het onverwacht uitschakelen van het systeem of uitvoeren van willekeurige code met Kernel-rechten. In deze update wordt het probleem verholpen door middel van verbeterde controle van indices. Met dank aan een anonieme onderzoeker, actief bij VeriSign iDefense VCP, voor het melden van dit probleem.

  • Startservices

    CVE-ID: CVE-2009-0156.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het downloaden van een kwaadwillig vervaardigd uitvoerbaar Mach-O-bestand kan ervoor zorgen dat de Finder herhaaldelijk wordt beëindigd en herstart.

    Beschrijving: er treedt een ongeoorloofde geheugentoegang op bij startservices. Het downloaden van een kwaadwillig vervaardigd uitvoerbaar Mach-O-bestand kan ervoor zorgen dat de Finder herhaaldelijk wordt beëindigd en herstart. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking.

  • libxml

    CVE-ID: CVE-2008-3529.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij de afhandeling van lange namen van entiteiten in libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking.

  • Net-SNMP

    CVE-ID: CVE-2008-4309.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een externe aanvaller kan de bewerking van de SNMP-service beëindigen.

    Beschrijving: er ontstaat een overloop bij gehele getallen in de functie netsnmp_create_subtree_cache. Door een kwaadwillig vervaardigd SNMPv3-pakket te verzenden, kan een aanvaller ervoor zorgen dat de SNMP-server wordt beëindigd, waarbij service wordt geweigerd aan legitieme clients. In deze update wordt het probleem verholpen door de Net-SNMP-patches op Mac OS X v10.4.11-systemen toe te passen en door net_snmp bij te werken naar versie 5.4.2.1 op Mac OS X v10.5.x-systemen. De SNMP-service is niet standaard ingeschakeld op Mac OS X of Mac OS X Server.

  • Netwerktijd

    CVE-ID: CVE-2009-0021.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: netwerktijd is kwetsbaar voor een spoofing-aanval als NTP-identiteitscontrole is ingeschakeld.

    Beschrijving: de ntpd-daemon controleert op incorrecte wijze de resultaatwaarde van de OpenSSL-functie EVP_VerifyFinal. Op systemen waarop NTPv4-identiteitscontrole wordt gebruikt, kan met een kwaadwillig vervaardigde handtekening de validatie van de cryptografische ondertekening worden omzeild, wat kan leiden tot een spoofing-aanval op de tijd. NTP-identiteitscontrole is standaard niet ingeschakeld. In deze update wordt dit probleem verholpen door de resultaatwaarde van de functie EVP_VerifyFinal op correcte wijze te controleren.

  • Netwerktijd

    CVE-ID: CVE-2009-0159.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het gebruik van het ntpq-commando om peer-informatie aan te vragen bij een kwaadwillig vervaardigde externe tijdserver kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er treedt een stackbufferoverloop op in het ntpq-programma. Wanneer het ntpq-programma wordt gebruikt om peer-informatie bij een externe tijdserver aan te vragen, kan een kwaadwillig vervaardigde reactie leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • Netwerken

    CVE-ID: CVE-2008-3530.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een externe gebruiker kan ervoor zorgen dat een systeem onverwacht wordt uitgeschakeld.

    Beschrijving: als IPv6-ondersteuning is ingeschakeld, gebruiken IPv6-nodes ICMPv6 om fouten te melden die bij de verwerking van de pakketten zijn aangetroffen. Een implementatieprobleem bij de afhandeling van de inkomende ICMPv6-berichten "Pakket is te groot" kan ervoor zorgen dat een systeem onverwacht wordt uitgeschakeld. In deze update wordt dit probleem verholpen door een verbeterde afhandeling van ICMPv6-berichten.

  • OpenSSL

    CVE-ID: CVE-2008-5077.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een intermediaire aanvaller kan zich voordoen als een vertrouwde server of gebruiker in programma's die gebruikmaken van OpenSSL voor SSL-certificaatcontrole.

    Beschrijving: diverse functies in de OpenSSL-bibliotheek controleren op incorrecte wijze de resultaatwaarde van de functie EVP_VerifyFinal. Een intermediaire aanvaller kan zich voordoen als een vertrouwde server of gebruiker in programma's die gebruikmaken van OpenSSL voor SSL-certificaatcontrole voor DSA- en ECDSA-sleutels. In deze update wordt dit probleem verholpen door de resultaatwaarde van de functie EVP_VerifyFinal op correcte wijze te controleren.

  • PHP

    CVE-ID: CVE-2008-3659, CVE-2008-2829, CVE-2008-3660, CVE-2008-2666, CVE-2008-2371, CVE-2008-2665, CVE-2008-3658 en CVE-2008-5557.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in PHP 5.2.6.

    Beschrijving: PHP wordt bijgewerkt naar versie 5.2.8 om meerdere kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net.

  • QuickDraw Manager

    CVE-ID: CVE-2009-0160.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er bestaat een probleem met betrekking tot geheugenbeschadiging bij de afhandeling van PICT-afbeeldingen door QuickDraw. Het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Met deze update wordt het probleem verholpen door aanvullende validatie van PICT-afbeeldingsbestanden uit te voeren. Met dank aan: Apple.

  • QuickDraw Manager

    CVE-ID: CVE-2009-0010.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het openen van een kwaadwillig vervaardigd PICT-afbeeldingsbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: een negatieve overloop bij gehele getallen in de afhandeling van PICT-afbeeldingsbestanden kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigd PICT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door aanvullende validatie van PICT-afbeeldingen uit te voeren. Met dank aan Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem, alsook aan Damian Put en Sebastian Apelt voor het melden van dit probleem via Zero Day Initiative van TippingPoint.
  • ruby

    CVE-ID: CVE-2008-3443, CVE-2008-3655, CVE-2008-3656, CVE-2008-3657 en CVE-2008-3790.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in Ruby 1.8.6.

    Beschrijving: er bestaan meerdere kwetsbaarheden in Ruby 1.8.6. In deze update worden deze problemen verholpen door Ruby bij te werken naar versie 1.8.6-p287. Meer informatie vindt u via de website van Ruby op http://www.ruby-lang.org/en/security/.

  • ruby

    CVE-ID: CVE-2009-0161.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: Ruby-programma's kunnen ingetrokken certificaten accepteren.

    Beschrijving: er bestaat een onvolledige foutcontrole bij het gebruik van de OpenSSL-bibliotheek door Ruby. De OpenSSL::OCSP Ruby-module kan een ongeldig antwoord als een OCSP-validatie van een certificaat interpreteren. In deze update wordt het probleem verholpen door een verbeterde foutcontrole tijdens de verificatie van OCSP-antwoorden.

  • Safari

    CVE-ID: CVE-2009-0162.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het benaderen van een kwaadwillig vervaardigde "feed:"-URL kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: er treden meerdere invoervalidatieproblemen op bij de afhandeling van "feed:"-URL's door Safari. Het benaderen van een kwaadwillig vervaardigde "feed:"-URL kan leiden tot het uitvoeren van willekeurige JavaScript. In deze update wordt dit probleem verholpen door extra validatie van "feed:"-URL's uit te voeren. Deze problemen zijn niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Billy Rios van Microsoft Vulnerability Research (MSVR) en Alfredo Melloni voor het melden van deze problemen.

  • Spotlight

    CVE-ID: CVE-2009-0944.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    Beschrijving: er treden meerdere problemen met geheugenbeschadiging op in Mac OS X Microsoft Office Spotlight Importer. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door aanvullende validatie van Microsoft Office-bestanden uit te voeren.

  • system_cmds

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: met het commando "login" wordt altijd de standaardshell met normale prioriteit uitgevoerd.

    Beschrijving: met het commando "login" wordt een interactieve shell gestart nadat de identiteit van een lokale gebruiker is gecontroleerd. Het prioriteitsniveau voor de interactieve shell is opnieuw ingesteld op de systeemstandaard, wat ertoe kan leiden dat de shell met een onverwacht hoge prioriteit wordt uitgevoerd. In deze update wordt het probleem verholpen door de ingestelde prioriteit van het aanroepproces als de aanroeper de supergebruiker is of de gebruiker is die met succes is ingelogd.

  • telnet

    CVE-ID: CVE-2009-0158.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: wanneer verbinding wordt gemaakt met een TELNET-server met een zeer lange canonieke naam in de DNS-adresrecord, kan het programma onverwacht worden beëindigd of willekeurige code worden uitgevoerd.

    Beschrijving: er treedt een stackbufferoverloop op met het telnet-commando. Wanneer verbinding wordt gemaakt met een TELNET-server met een zeer lange canonieke naam in de DNS-adresrecord, kan het programma onverwacht worden beëindigd of willekeurige code worden uitgevoerd. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • WebKit

    CVE-ID: CVE-2009-0945.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: er bestaat een probleem met betrekking tot geheugenbeschadiging bij de afhandeling van SVGList-objecten door WebKit. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Voor Mac OS X v10.4.11 en Mac OS X Server v10.4.11 kunt u het probleem verhelpen door een update naar Safari 3.2.3 uit te voeren. Met dank aan Nils voor het melden van dit probleem via Zero Day Initiative van TippingPoint.

  • X11

    CVE-ID: CVE-2006-0747 en CVE-2007-2754.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11.

    Impact: meerdere kwetsbaarheden in FreeType v2.1.4.

    Beschrijving: er bestaan meerdere kwetsbaarheden in FreeType v2.1.4, waarvan de meest ernstige kunnen leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. In deze update worden de problemen verholpen door FreeType bij te werken naar versie 2.3.8. Meer informatie vindt u via de website van FreeType op http://www.freetype.org/. Op systemen waarop Mac OS X v10.5.6 wordt uitgevoerd, zijn deze problemen al verholpen.

  • X11

    CVE-ID: CVE-2008-2383.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: het weergeven van kwaadwillig vervaardigde gegevens in een xterm-terminal kan leiden tot het uitvoeren van willekeurige code.

    Beschrijving: het xterm-programma ondersteunt een commandoreeks bekend als DECRQSS waarmee informatie over de huidige terminal kan worden verkregen. De verkregen informatie wordt verzonden als terminalinvoer, vergelijkbaar met de toetsenbordinvoer van een gebruiker. Door in een xterm-terminal kwaadwillig vervaardigde gegevens weer te geven, kan een commando worden ingevoegd. In deze update wordt dit probleem verholpen door extra validatie van de uitvoergegevens uit te voeren. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5.

  • X11

    CVE-ID: CVE-2008-1382 en CVE-2009-0040.

    Beschikbaar voor: Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in libpng versie 1.2.26.

    Beschrijving: er bestaan meerdere kwetsbaarheden in libpng versie 1.2.26, waarvan de meest ernstige kunnen leiden tot het uitvoeren van willekeurige code. In deze update worden de problemen verholpen door libpng bij te werken naar versie 1.2.35. Meer informatie vindt u via de website van libpng op http://www.libpng.org/pub/png/libpng.html. Deze problemen zijn niet van invloed op systemen lager dan OS X v10.5.

  • X11

    CVE-ID: CVE-2009-0946.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.6, Mac OS X Server v10.5 t/m v10.5.6.

    Impact: meerdere kwetsbaarheden in FreeType v2.3.8.

    Beschrijving: er treden meerdere overlopen bij gehele getallen op in FreeType v2.3.8, wat kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. In deze update worden deze problemen verholpen door middel van verbeterde bounds checking. Met dank aan Tavis Ormandy van het Google Security Team voor het melden van deze problemen.

 

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: