Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Om sikkerhetsoppdatering 2008-005

Dette dokumentet beskriver sikkerhetsoppdatering 2008-005 som kan lastes ned og installeres via Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple-sikkerhetsoppdateringer.

Sikkerhetsoppdatering 008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: En lokal bruker kan utføre kommandoer med forhøyede privilegier

    Beskrivelse: Det eksisterer et designproblem i Open Scripting Architecture-bibliotekene når det gjelder å avgjøre om skriptingstilleggmoduler skal lastes inn i programmer som kjører med forhøyede privilegier. Å sende kommandoer for skriptingstillegg til et privilegert program kan tillate utføring av vilkårlig kode med disse privilegiene. Denne oppdateringen løser problemet ved å ikke laste inn skriptingstilleggmoduler i programmer som kjører med systemprivilegier. De nylig rapporterte problemene med ARDAgent og SecurityAgent er håndtert av denne oppdateringen. Takk til Charles Srstka for rapportering av problemet.

  • BIND

    CVE-ID: CVE-2008-1447

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: BIND er sårbar for forgifting av DNS-bufferen og kan returnere forfalsket informasjon

    Beskrivelse: Berkeley Internet Name Domain (BIND)-serveren distribueres med Mac OS X, men er ikke aktivert som standard. Når den er aktivert, gir BIND-serveren oversettelse mellom vertsnavn og IP-adresser. En sårbarhet i DNS-protokollen kan tillate eksterne angripere å utføre forsøk på forgifting av DNS-bufferen. Som et resultat kan systemer som er avhengige av BIND-serveren for DNS, motta forfalsket informasjon. Denne oppdateringen løser problemet ved å implementere tilfeldig valg av kildeport for å forbedre motstandsevnen mot forsøk på forgifting av DNS-bufferen. For Mac OS X v10.4.11-systemer blir BIND oppdatert til versjon 9.3.5-P1. For Mac OS X v10.5.4-systemer blir BIND oppdatert til versjon 9.4.2-P1. Takk til Dan Kaminsky fra IOActive for å rapportere dette problemet.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Behandling av lange filnavn kan føre til uventet avslutning av program eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer en bufferoverskridelse i stakkens behandling av lange filnavn. Behandling av lange filnavn kan føre til uventet avslutning av program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Thomas Raffetseder fra International Secure Systems Lab og Sergio «shadown» Alvarez fra n.runs AG for å rapportere dette problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Besøk på et ondsinnet utformet nettsted kan føre til uventet avslutning av program eller kjøring av vilkårlig kode

    Beskrivelse: CoreGraphics har minnekorrupsjonsproblemer i behandlingen av argumenter. Å sende upålitelig inndata til CoreGraphics via et program, for eksempel en nettleser, kan føre til uventet avslutning av program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Takk til Michal Zalewski hos Google for rapportering av dette problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Visning av en ondsinnet utformet PDF-fil kan føre til uventet avslutning av program eller utføring av vilkårlig kode

    Beskrivelse: En heltallsutfylling i behandlingen av PDF-filer kan resultere i en stakkbufferoverskridelse. Åpning av en skadelig PDF-fil kan føre til uventet avslutning av program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret validering av PDF-filer. Takk til Pariente Kobi som samarbeidet med iDefense VCP for å rapportere dette problemet.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Tilgjengelig for: Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Visning av ondsinnet utformede meldinger med Data Detectors kan føre til uventet avslutning av program

    Beskrivelse: Data Detectors brukes til å trekke ut referanseinformasjon fra tekstlig innhold eller arkiver. Det eksisterer en ressursforbruksproblem i Data Detectors' behandling av tekstlig innhold. Å se ondsinnet utformet innhold i et program som bruker Data Detectors kan føre til en tjenestenekt, men ikke utføring av vilkårlig kode. Dette problemet berører ikke eldre systemer enn Mac OS X v10.5.

  • Disk Utility

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: A local user may obtain system privileges

    Description: The "Repair Permissions" tool in Disk Utility makes /usr/bin/emacs setuid. After the Repair Permissions tool has been run, a local user may use emacs to run commands with system privileges. This update addresses the issue by correcting the permissions applied to emacs in the Repair Permissions tool. This issue does not affect systems running Mac OS X v10.5 and later. Credit to Anton Rang and Brian Timares for reporting this issue.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: En fjernangriper kan potensielt forårsake uventet avslutning av program

    Beskrivelse: Det eksisterer et problem i OpenLDAPs ASN.1 BER-dekoding. Behandling av en ondsinnet utformet LDAP-melding kan utløse en påstand (assertion) og føre til uventet avslutning av OpenLDAP-daemonen, slapd. Denne oppdateringen løser problemet ved å utføre ytterligere validering av LDAP-meldinger.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: En fjernangriper kan potensielt forårsake uventet avslutning av program eller utføring av vilkårlig kode

    Beskrivelse: Det eksisterer en problem med områdekontroll i SSL_get_shared_ciphers()-verktøyfunksjonen innenfor OpenSSL. I et program som bruker denne funksjonen kan behandling av ondsinnet utformede pakker føre til uventet avslutning av program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Tilgjengelig for: Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Flere sårbarheter i PHP 5.2.5

    Beskrivelse: PHP er oppdatert til versjon 5.2.6 for å håndtere flere sårbarheter, hvorav den mest alvorlige kan føre til utføring av vilkårlig kode. Ytterligere informasjon er tilgjengelig via PHP-nettstedet på http://www.php.net/. PHP-versjon 5.2.x leveres kun med Mac OS X v10.5-systemer.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4 og Mac OS X Server v10.5.4

    Virkning: Nedlasting av en ondsinnet utformet Microsoft Office-fil kan føre til uventet avslutning av program eller utføring av vilkårlig kode

    Beskrivelse: Flere minnekorrupsjonsproblemer eksisterer i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av skadelige Microsoft Office-filer kan føre til at uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Dette problemet berører ikke eldre systemer enn Mac OS X v10.5.

  • rsync

    .

    Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: Files outside the module root may be accessed or overwritten remotely

    Description: Path validation issues exist in rsync's handling of symbolic links when running in daemon mode. Placing symbolic links in an rsync module may allow files outside of the module root to be accessed or overwritten. This update addresses the issue through improved handling of symbolic links. Further information on the patches applied is available via the rsync web site at http://rsync.samba.org/

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Vennligst kontakt leverandøren for ytterligere informasjon.

Publiseringsdato: