De beveiligingsinhoud van beveiligingsupdate 2009-003 / Mac OS X v10.5.8

In dit artikel wordt de beveiligingsinhoud van de beveiligingsupdate 2009-003 / Mac OS X v10.5.8 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.

Zie De Apple PGP-sleutel voor productbeveiliging gebruiken voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Dit artikel is gearchiveerd en wordt niet meer bijgewerkt door Apple.

Beveiligingsupdate 2009-003 / Mac OS X v10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het decomprimeren van kwaadwillig vervaardigde gegevens kan leiden tot het onverwacht beëindigen van een programma

    Beschrijving: er treedt ongeoorloofde geheugentoegang in bzip2 op. Het openen van een kwaadwillig vervaardigd gecomprimeerd bestand kan leiden tot het onverwacht beëindigen van een programma Deze update verhelpt het probleem door bzip2 bij te werken naar versie 1.0.5. Verdere informatie is beschikbaar via de bzip2-website op http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een kwaadwillige vervaardigde website kan de weergegeven URL van een website in een certificaatwaarschuwing controleren

    Beschrijving: als Safari naar een website wordt geleid via een 302-doorverwijzing en u ziet een certificaatwaarschuwing, dan bevat de waarschuwing de originele website-URL en niet de URL van de huidige website. Zo kan een kwaadwillig vervaardigde website die wordt bezocht via een open doorverwijzing op een door de gebruiker vertrouwde website, de weergegeven website-URL controleren in een certificaatwaarschuwing. Dit probleem is verholpen door de retournering van de correcte URL in het onderliggende CFNetwork-niveau. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5. Met dank aan Kevin Day van Your.Org, en Jason Mueller van Indiana University voor het melden van dit probleem.

  • ColorSync

    CVE-ID: CVE-2009-1726.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van een willekeurige code. Deze update verhelpt dit probleem door extra validatie van ColorSync-profielen uit te voeren. Met dank aan Chris Evans van het Google Security Team voor het melden van dit probleem.

  • CoreTypes

    CVE-ID: CVE-2009-1727.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: gebruikers worden niet gewaarschuwd voordat ze bepaalde mogelijk onveilige inhoudstypen openen

    Beschrijving: met deze update wordt de systeemlijst met inhoudstypen die worden gemarkeerd als mogelijk onveilig onder bepaalde omstandigheden uitgebreid, bijvoorbeeld wanneer de bestanden van een webpagina worden gedownload. Hoewel deze inhoudstypen niet automatisch worden gestart, kunnen ze leiden tot het uitvoeren van een schadelijke JavaScript payload als ze handmatig worden geopend. Deze update verbetert het vermogen van het systeem om gebruikers te waarschuwen voor de verwerking van inhoudstypen die worden gebruikt door Safari. Met dank aan Brian Mastenbrook en Clint Ruoho van Laconic Security voor het melden van dit probleem.

  • Dock

    CVE-ID: CVE-2009-0151.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een persoon met fysieke toegang tot een vergrendeld systeem kan Multi-Touch-gebaren met vier vingers gebruiken

    Beschrijving: de schermbeveiliging blokkeert geen Multi-Touch-gebaren met vier vingers. Hierdoor kan een persoon met fysieke toegang tot een vergrendeld systeem programma's beheren of Exposé gebruiken. Deze update verhelpt het probleem door Multi-Touch-gebaren gepast te blokkeren wanneer de schermbeveiliging geactiveerd is. Dit probleem is alleen van invloed op systemen met een Multi-Touch-stuurvlak.

  • RAW-afbeelding

    CVE-ID: CVE-2009-1728.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: het bekijken van een kwaadwillig vervaardigde CANON RAW-afbeelding kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een stackbufferoverloop op bij het verwerken van Canon RAW-afbeeldingen. Het bekijken van een kwaadwillig vervaardigde CANON RAW-afbeelding kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van een willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Voor Mac OS X v10.4-systemen wordt dit probleem reeds verholpen met Digital Camera RAW Compatibility Update 2.6. Met dank aan Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-1722.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code.

    Beschrijving: er treedt een heapbufferoverloop op bij het verwerken van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door OpenEXR bij te werken naar versie 1.6.1. Met dank aan Lurene Grenier van SourceFire VRT en Chris Ries van Carnegie Mellon University Computing Services voor het melden van dit probleem.

  • ImageIO

    CVE-ID: CVE-2009-1721.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code.

    Beschrijving: er is een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door een juiste geheugeninitialisatie en verdere controle van OpenEXR-afbeeldingen. Met dank aan: Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code.

    Beschrijving: er treden meerdere overlopen bij gehele getallen op bij het verwerken van OpenEXR-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde OpenEXR-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van een willekeurige code. In deze update worden deze problemen verholpen door middel van verbeterde bounds checking. Met dank aan: Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: het weergeven van een schadelijke afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er treedt een bufferoverloop op bij het verwerken van EXIF-metagegevens door ImageIO. Het weergeven van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt het probleem verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen lager dan Mac OS X v10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: het verwerken van een schadelijk vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code.

    Beschrijving: er bestaat een probleem met een niet-geïnitialiseerde aanwijzer bij de afhandeling van PNG-afbeeldingen. Het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code. In deze update wordt dit probleem verholpen door een extra validatie van PNG-afbeeldingen uit te voeren. Met dank aan Tavis Ormandy van het Google Security Team voor het melden van dit probleem.

  • Kernel

    CVE-ID: CVE-2009-1235.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een lokale gebruiker kan systeemrechten verkrijgen.

    Beschrijving: er is een implementatieprobleem bij de verwerking van fcntl-systeemaanroepen door het kernel. Een lokale gebruiker kan het kernel-geheugen overschrijven en een willekeurige code met systeemrechten uitvoeren. Deze update verhelpt het probleem door een verbeterde verwerking van fcntl-systeemaanroepen. Met dank aan Razvan Musaloiu-E. van Johns Hopkins University, HiNRG voor het melden van dit probleem.

  • launchd

    CVE-ID: CVE-2009-2190.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: het openen van vele verbindingen met een inetd-gebaseerde launchd service kan leiden tot het weigeren van service.

    Beschrijving: het openen van vele verbindingen met een inetd-gebaseerde launchd service kan leiden tot het weigeren van binnenkomende verbindingen voor die service totdat het volgende systeem herstart. In deze update wordt het probleem verholpen door een verbeterde afhandeling van fouten.

  • Aanmeldvenster

    CVE-ID: CVE-2009-2191.

    Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 t/m v10.5.7, Mac OS X Server v10.5 t/m v10.5.7.

    Impact: een probleem met een opmaaktekenreeks in Inlogvenster kan leiden tot het onverwacht afsluiten van een programma of het uitvoeren van een willekeurige code

    Beschrijving: een probleem met een opmaaktekenreeks bij het verwerken van programmanamen door Inlogvenster kan leiden tot het onverwacht afsluiten van een programma of het uitvoeren van een willekeurige code. Deze update verhelpt het probleem door een verbeterde verwerking van programmanamen. Met dank aan Alfredo Pesoli van 0xcafebabe.it voor het melden van dit probleem.

  • MobileMe

    CVE-ID: CVE-2009-2192.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: uitloggen bij MobileMe verwijdert niet alle inloggegevens

    Beschrijven: er is een probleem met de logica in het voorkeurenpaneel van MobileMe. Het uitloggen bij het voorkeurenpaneel verwijdert niet alle inloggegevens. Een persoon met toegang tot de lokale gebruikersaccount kan toegang krijgen tot een ander systeem dat gekoppeld is aan de MobileMe-account van de persoon die eerder was ingelogd voor die lokale account. Deze update verhelpt het probleem door alle inloggegevens te verwijderen bij het uitloggen.

  • Netwerken

    CVE-ID: CVE-2009-2193.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: het ontvangen van een kwaadwillig vervaardigd AppleTalk-response packet kan leiden tot het uitvoeren van een willekeurige code met systeemrechten of het uitschakelen van het systeem

    Beschrijving: er treedt een bufferoverloop op bij het verwerken van AppleTalk-response packets door het kernel. Het ontvangen van een kwaadwillig vervaardigd AppleTalk-response packet kan leiden tot het uitvoeren van een willekeurige code met systeemrechten of het uitschakelen van het systeem. Deze update verhelpt het probleem door een verbeterde validatie van AppleTalk-response packets. Met dank aan Ilja van Sprundel van IOActive voor het melden van dit probleem.

  • Netwerken

    CVE-ID: CVE-2009-2194.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: een lokale gebruiker kan een onverwachte uitschakeling van het systeem veroorzaken

    Beschrijving: er is een synchronisatieprobleem bij de verwerking van het delen van de bestandsdescriptor via lokale sockets. Een lokale gebruiker kan een onverwachte uitschakeling van het systeem veroorzaken door berichten met bestandsdescriptors te versturen naar een socket zonder ontvanger. Deze update verhelpt het probleem door een verbeterde verwerking van het delen van de bestandsdescriptor. Met dank aan Bennet Yee van Google Inc. voor het melden van dit probleem.

  • XQuery

    CVE-ID: CVE-2008-0674.

    Beschikbaar voor: Mac OS X v10.5 tot v10.5.7, Mac OS X Server v10.5 tot v10.5.7

    Impact: het verwerken van kwaadwillig vervaardigde XML-inhoud kan leiden tot het uitvoeren van een willekeurige code

    Beschrijving: er treedt een bufferoverloop op bij het verwerken van tekenklassen bij reguliere expressies in de Perl Compatible Regular Expressions (PCRE)-bibliotheek die door XQuery wordt gebruikt. Zo kan een aanvaller op afstand een willekeurige code uitvoeren via een reguliere expressie met een tekenklasse die een groot aantal tekens met Unicode-codepunten groter dan 255 telt. Deze update verhelpt dit probleem door PCRE bij te werken tot versie 7.6.

Belangrijk: de vermelding van websites en producten van derden is alleen bedoeld voor informatieve doeleinden en impliceert niet dat wij deze websites of producten goedkeuren of aanbevelen. Apple kan niet aansprakelijk worden gesteld voor de selectie, de prestaties of het gebruik van informatie of producten op websites van derden. Apple biedt deze vermeldingen alleen aan als dienst naar zijn gebruikers. Apple heeft de informatie op deze websites niet getest en geeft geen verklaring wat betreft de nauwkeurigheid en betrouwbaarheid van deze informatie. Er zijn risico’s verbonden aan het gebruik van informatie of producten die u op internet vindt, en Apple kan hiervoor niet aansprakelijk worden gesteld. Houd er rekening mee dat websites van derden niet afhankelijk zijn van Apple en dat Apple geen enkele controle heeft over de inhoud van die websites. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: