Om sikkerhetsinnholdet i oppdateringen for Mac OS X 10.4.7

Dette dokumentet beskriver sikkerhetsinnholdet i for Mac OS X 10.4.7, som kan lastes ned og installeres med Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til våre kunder vil ikke Apple avdekke, diskutere eller bekrefte sikkerhetsproblemer før en fullstendig undersøkelse har funnet sted, og eventuelle nødvendige oppdateringer eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på Apple-produktsikkerhet-nettstedet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet».

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple».

Mac OS X v10.4.7-oppdatering

• AFP

  CVE-ID: CVE-2006-1468

  Tilgjengelig for: Mac OS X v10.4.6 og Mac OS X Server v10.4.6

  Virkning: Fil- og mappenavn kan bli avslørt for uautoriserte brukere

  Beskrivelse: Et problem i AFP-serveren tillater at søkeresultater inkluderer navnene på filer og mapper som brukeren som utfører søket ikke har tilgang til. Dette kan resultere i informasjonsoverføring dersom navnene i seg selv er sensitiv informasjon. Denne oppdateringen løser problemet ved å sikre at søkeresultatene bare inkluderer elementer som brukeren har autorisasjon for. Dette problemet berører ikke eldre systemer enn Mac OS X v10.4.

• ClamAV

  CVE-ID: CVE-2006-1989

  Tilgjengelig for: Mac OS X Server v10.4.6

  Virkning: Når virusskanning er konfigurert til å oppdateres automatisk, kan et ondsinnet database-speil forårsake utføring av vilkårlig kode

  Beskrivelse: Et problem i ClamAVs automatiske oppdatering av virusdatabaser kan føre til en bufferoverskridelse med stakkbasert lagring. Et ondsinnet eller forfalsket ClamAV-databasespeil kan potensielt forårsake utføring av vilkårlig kode med ClamAV-rettigheter. Mail-tjenesten, virusskanning og automatiske oppdateringer av virusdatabaser er som standard deaktivert. Denne oppdateringen løser problemet ved å inkorporere ClamAV 0.88.2. Dette problemet påvirker ikke systemer før Mac OS X v10.4.

• ImageIO

  CVE-ID: CVE-2006-1469

  Tilgjengelig for: Mac OS X v10.4.6 og Mac OS X Server v10.4.6

  Virkning: Å se på et ondsinnet utformet TIFF-bilde kan føre til at et program krasjer eller utføring av vilkårlig kode

  Beskrivelse: Ved å nøye utforme et ødelagt TIFF-bilde, kan en angriper utløse en stakkbasert bufferoverskridelse som kan føre til at et program krasjer eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å validere TIFF-bilder ytterligere. Dette problemet berører ikke eldre systemer enn Mac OS X v10.4.

• launchd

  CVE-ID: CVE-2006-1471

  Tilgjengelig for: Mac OS X v10.4.6 og Mac OS X Server v10.4.6

  Virkning: Lokale brukere kan få forhøyede rettigheter

  Beskrivelse: En sårbarhet i formatstrenger i setuid-programmet launchd kan tillate en pålogget lokal bruker å utføre vilkårlig kode med systemprivilegier. Problemet er tilstede i launchds loggføringssystem. Denne oppdateringen løser problemet ved å utføre ekstra validering når det logges meldinger. Problemet påvirker ikke systemer før Mac OS X v10.4. Takk til Kevin Finisterre hos DigitalMunition for rapportering av dette problemet.

• OpenLDAP

  CVE-ID: CVE-2006-1470

  Tilgjengelig for: Mac OS X v10.4.6 og Mac OS X Server v10.4.6

  Virkning: Eksterne angripere kan forårsake at Open Directory-serveren krasjer

  Beskrivelse: Ved nøye utforming av en ugyldig LDAP-forespørsel kan en ekstern angriper utløse en påstand i OpenLDAP-serveren, noe som resulterer i en tjenestenekt. Denne oppdateringen løser problemet ved å forkaste den ugyldige forespørselen. Dette problemet berører ikke systemer før Mac OS X v10.4. Takk til Mu Security-sikkerhetsteamet som meldte fra om dette problemet.