Om sikkerhetsinnholdet i Sikkerhetsoppdatering 2009-001

Dette dokumentet beskriver sikkerhetsoppdatering 2009-001, som kan lastes ned og installeres med Programvareoppdatering, eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

Sikkerhetsoppdatering 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: En bruker med mulighet til å koble til AFP-tjener kan være i stand til å utløse en tjenestenekt

    Beskrivelse: En «race»-tilstand i AFP Server kan føre til en uendelig sløyfe. Opptelling av filer på en AFP Server kan føre til tjenestenekt. Denne oppdateringen løser problemet med forbedret filopptellingslogikk. Problemet gjelder bare for systemer som kjører Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Åpning av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det er et problem med skadet minne i håndteringen av filmfiler som bruker Pixlet-kodeken. Åpning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Kreditert: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Åpning av en skadelig ressursdel kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med skadet minne i Resource Managers håndtering av ressursdeler. Åpning av en fil med en skadelig ressursdel kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret validering av ressursdeler. Kreditert: Apple.

  • CFNetwork

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Gjenoppretter riktig operasjon av informasjonskapsler med null utløpstider

    Beskrivelse: Denne oppdateringen retter opp i en ikke-sikkerhetsregresjon som ble introdusert i Mac OS X 10.5.6. Informasjonskapsler kan bli uriktig fastsatt hvis et nettsted forsøker å sette en sesjonskapsel ved å bruke en nullverdi i «expires»-feltet i stedet for å utelate feltet. Denne oppdateringen løser problemet ved å ignorere «expires»-feltet hvis det har en nullverdi.

  • CFNetwork

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Gjenoppretter riktig operasjon for øktinformasjonskapsler på tvers av programmer

    Beskrivelse: Denne oppdateringen retter opp i en ikke-sikkerhetsregresjon som ble introdusert i Mac OS X 10.5.6. Det kan hende at CFNetwork ikke lagrer informasjonskapsler til disk hvis flere åpne programmer prøver å angi øktinformasjonskapsler. Denne oppdateringen løser problemet ved å sikre at hvert program lagrer øktinformasjonskapsler separat.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: En lokal bruker kan manipulere filer med tilgangsrettighetene til en annen bruker som kjører Sertifikatassistent

    Beskrivelse: Sertifikatassistents håndtering av midlertidige filer innebærer en usikret filoperasjon. Dette kan tillate at en lokal bruker overskriver filer med rettighetene til en annen bruker som kjører Sertifikatassistent. Denne oppdateringen løser problemet gjennom forbedret håndtering av midlertidige filer. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.5. Takk: Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    Tilgjengelig for: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Virkning: Flere sårbarheter i ClamAV 0.94

    Beskrivelse: Det er mange sårbarheter i ClamAV 0.94, og den alvorligste kan forårsake utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å oppdatere ClamAV til versjon 0.94.2. ClamAV distribueres bare sammen med Mac OS X Server-systemer. Ytterligere informasjon er tilgjengelig via ClamAV-nettstedet på http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Visning av skadelig Unicode-innhold kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det kan oppstå heap-bufferoverflyt under behandling av Unicode-strenger i CoreText. Bruk av CoreText til å håndtere skadelige Unicode-strenger, som ved visning av en skadelig nettside, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.5. Takk til Rosyna fra Unsanity som meldte fra om dette problemet.

  • CUPS

    CVE-ID: CVE-2008-5183

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Besøk på et skadelig nettsted kan føre til at et program avsluttes uventet

    Beskrivelse: Overskridelse av maksimalt antall RSS-abonnementer resulterer i en nullpeker-dereferanse i CUPS-nettgrensesnittet. Dette kan føre til uventet avslutning av et program ved besøk på et skadelig nettsted. For å kunne utløse dette problemet må gyldig brukeridentifikasjon enten være kjent for angriperen eller være bufret i brukerens nettleser. CUPS vil automatisk startes på nytt etter at dette problemet er utløst. Denne oppdateringen løser problemet ved riktig håndtering av antall RSS-abonnementer. Dette problemet berører ikke eldre systemer enn Mac OS X v10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Passord som oppgis til dscl, er synlige for andre lokale brukere

    Beskrivelse: Kommandolinje-verktøyet for dscl krevde at passord ble overført i argumentene, og dette innebar en potensiell fare for eksponering av passord til andre lokale brukere. Eksponerte passord inkluderer passordene for brukere og administratorer. Denne oppdateringen sørger for at passordparameteren er valgfri, og dscl ber om passord når det er nødvendig. Kreditert: Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Flere sårbarheter i fetchmail 6.3.8

    Beskrivelse: Det finnes flere sårbarheter i fetchmail 6.3.8, og den mest alvorlige kan føre til tjenestenekt. Denne oppdateringen løser problemet ved å oppdatere til versjon 6.3.9. Ytterligere informasjon er tilgjengelig via fetchmail-nettstedet http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Andre lokale brukere kan få tilgang til Nedlastinger-mappen

    Beskrivelse: Det er et problem med standardtillatelser i Folder Manager. Når en bruker sletter Nedlastinger-mappen sin og Folder Manager oppretter den på nytt, opprettes mappen med lesetillatelser for alle. Denne oppdateringen løser problemet ved å få Folder Manager til å begrense tillatelser slik at mappen er tilgjengelig bare for brukeren. Dette problemet gjelder bare for programmer som bruker Folder Manager. Dette problemet gjelder ikke systemer som kjører eldre versjoner enn Mac OS X v10.5. Takk til Graham Perrin fra CENTRIM, University of Brighton, for rapportering av dette problemet.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Ved bruk av FSEvents-rammeverket kan en lokal bruker bli i stand til å se filsystemaktivitet som ellers ikke ville være tilgjengelig

    Beskrivelse: Det er et problem med akkreditivhåndtering i fseventsd. Ved bruk av FSEvents-rammeverket kan en lokal bruker bli i stand til å se filsystemaktivitet som ellers ikke ville være tilgjengelig. Dette inkluderer navnet på en katalog som brukeren ellers ikke ville kunne se, og oppdaging av aktiviteten i katalogen på et gitt tidspunkt. Denne oppdateringen løser problemet gjennom forbedret akkreditivgodkjenning i fseventsd. Problemet gjelder ikke for systemer før Mac OS X v10.5. Takk til Mark Dalrymple for rapportering av dette problemet.

  • Network Time

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Konfigurasjonen av Nettverkstid-tjenesten har blitt oppdatert

    Beskrivelse: Som et proaktivt sikkerhetstiltak endrer denne oppdateringen standardkonfigurasjonen for Nettverkstid-tjenesten. Systemtid og versjonsinformasjon vil ikke lenger være tilgjengelig i standardkonfigurasjonen av ntpd. På Mac OS X v10.4.11-systemer vil den nye konfigurasjonen tre i kraft etter omstart av systemet når Nettverkstid-tjenesten er aktivert.

  • perl

    CVE-ID: CVE-2008-1927

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Bruk av regulære uttrykk som inneholder UTF-8-tegn, kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med skadet hukommelse i håndteringen av visse UTF-8-tegn i regulære uttrykk. Behandling av et skadelig regulært uttrykk kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet ved å utføre ytterligere validering av vanlige uttrykk.

  • Printing

    CVE-ID: CVE-2009-0017

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: En lokal bruker kan oppnå systemrettigheter

    Beskrivelse: Det er et feilbehandlingsproblem i csregprinter, som kan føre til en heap-bufferoverflyt. Dette kan føre til at en lokal bruker får systemrettigheter. Denne oppdateringen løser problemet gjennom forbedret feilhåndtering. Takk til Lars Haulin for rapportering av dette problemet.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Flere sårbarheter i python

    Beskrivelse: Det er mange svakheter i python, og den alvorligste kan forårsake utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å bruke rettelser fra python-prosjektet.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Sending av eksterne Apple Events kan føre til fremlegging av sensitiv informasjon

    Beskrivelse: Det er et problem med uinitialisert buffer i Eksterne Apple Events-tjeneren, som kan føre til fremlegging av minneinnhold for nettverksklienter. Denne oppdateringen løser problemet gjennom riktig initialisering av hukommelsen. Kreditert: Apple.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Aktivering av Eksterne Apple Events kan føre til at et program avsluttes uventet eller at sensitiv informasjon fremlegges

    Beskrivelse: Det er et problem med tilgang utenfor minneområdet i Eksterne Apple Events. Aktivering av Eksterne Apple Events kan føre til at et program avsluttes uventet eller at sensitiv informasjon fremlegges for nettverksklienter. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Kreditert: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Tilgang til en skadelig URL for strøm kan føre til at vilkårlig kode utføres

    Beskrivelse: Det er flere valideringsproblemer for inndata i Safaris håndtering av URLer for strømmer. Problemene tillater utføring av vilkårlig JavaScript-kode i den lokale sikkerhetssonen. Denne oppdateringen løser problemene gjennom forbedret håndtering av innebygd JavaScript innenfor URLer for strømmer. Takk til Clint Ruoho fra Laconic Security, Billy Rios fra Microsoft og Brian Mastenbrook for rapportering av disse problemene.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Eksterne angripere kan få tilgang til Server Manager uten gyldige akkreditiver

    Beskrivelse: Et problem i Server Managers godkjenning av autentiseringsakkreditiver kan åpne muligheten for at en ekstern angriper kan endre systemkonfigurasjonen. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av autentiseringsakkreditiver. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.5. Takk: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Tilgjengelig for: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Tilkobling til et skadelig SMB-filsystem kan føre til at systemet avsluttes uventet eller at vilkårlig kode utføres med systemrettigheter

    Beskrivelse: En heltallsoverflyt i SMB File System kan føre til heap-bufferoverflyt. Tilkobling til et skadelig SMB-filsystem kan føre til at systemet avsluttes uventet eller at vilkårlig kode utføres med systemrettigheter. Denne oppdateringen løser problemet gjennom forbedret grensekontroll. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.5. Takk: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Tilkobling til en skadelig SMB-filtjener kan føre til uventet avslutning av systemet

    Beskrivelse: Det er et problem med skadet minne i SMB File Systems' håndtering av filsystemnavn. Tilkobling til en skadelig SMB-filtjener kan føre til uventet avslutning av systemet. Denne oppdateringen løser problemet ved å begrense mengden minne som tildeles klienten for filsystemnavn. Kreditert: Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Tilgjengelig for: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Virkning: Flere sårbarheter i SquirrelMail

    Beskrivelse: SquirrelMail oppdateres til versjon 1.4.17 for å korrigere flere sårbarheter, der den mest alvorlige er et problem med skripting på tvers av nettsteder. Mer informasjon finnes her: http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: Flere sårbarheter i X11-tjener

    Beskrivelse: Det er flere sårbarheter i X11-tjeneren. Den mest alvorlige av disse kan føre til utføring av vilkårlig kode med rettighetene til brukeren som kjører X11-tjeneren, hvis angriperen kan autentisere for X11-tjeneren. Denne oppdateringen løser problemet ved å bruke de oppdaterte X.Org-rettelsene. Ytterligere informasjon er tilgjengelig via X.Org-nettstedet på http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Virkning: Flere sårbarheter i FreeType v2.1.4

    Beskrivelse: Det foreligger flere sårbarheter i FreeType v2.1.4, og den mest alvorlige kan føre til vilkårlig utføring av kode ved tilgang til en skadelig font. Denne oppdateringen løser problemene ved å inkludere sikkerhetsrettelsene fra versjon 2.3.6 av FreeType. Ytterligere informasjon er tilgjengelig via FreeType-nettstedet på http://www.freetype.org/ Problemene er allerede løst i systemer som kjører Mac OS X v10.5.6.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Virkning: Flere sårbarheter i LibX11

    Beskrivelse: Det foreligger flere sårbarheter i LibX11, og den mest alvorlige kan føre til vilkårlig utføring av kode ved behandling av en skadelig font. Denne oppdateringen løser problemet ved å bruke de oppdaterte X.Org-rettelsene. Ytterligere informasjon er tilgjengelig via X.Org-nettstedet på http://www.x.org/wiki/Development/Security Disse problemene påvirker ikke systemer som kjører Mac OS X v10.5 eller nyere.

  • XTerm

    CVE-ID: CVE-2009-0141

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Virkning: En lokal bruker kan sende informasjon direkte til en annen brukers Xterm

    Beskrivelse: Det er et problem med tillatelser i Xterm. Ved bruk sammen med luit oppretter Xterm tty-enheter som er tilgjengelig for alle. Denne oppdateringen løser problemet ved å få Xterm til å begrense tillatelsene slik at tty-enheter er tilgjengelige bare for brukeren.

Viktig: Nevnte tredjepartsnettsteder og -produkter er bare for informasjonsformål og utgjør ingen godkjenning eller anbefaling. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av informasjon eller produkter som finnes på tredjepartsnettsteder. Apple oppgir denne informasjonen kun som en praktisk tjeneste for brukerne våre. Apple har ikke testet informasjonen som finnes på disse nettstedene, og gir ingen garanti angående nøyaktigheten eller påliteligheten. Det er alltid risiko involvert når det gjelder bruk av informasjon eller produkter som finnes på internett, og Apple påtar seg ikke noe ansvar i forbindelse med dette. Vær oppmerksom på at tredjepartsnettsteder er uavhengig av Apple, og at Apple ikke har kontroll over innholdet på disse nettstedene. Du kan kontakte leverandøren for å få mer informasjon.

Publiseringsdato: