Om Security Update 2006-003

Dette dokumentet er en beskrivelse av Security Update 2006-003, som kan lastes ned og installeres via innstillinger under Oppdatere programvaren eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apple produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet i Slik bruker du PGP-nøkkelen for Apples produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apple sikkerhetsoppdateringer".

Security Update 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Tegn som legges inn i et sikkert tekstfelt kan leses av andre programmer i samme vindusøkt.

    Beskrivelse: Under visse forhold kan det hende at NSSecureTextField ikke reaktiverer sikker hendelsesregistrering ved bytte mellom tekstregistreringsfelter. Dette kan føre til at andre programmer i den samme vindusøkten kan se noen av tegnene og tastaturhendelsene. Denne oppdateringen løser problemet ved å sikre at sikker hendelsesregistrering aktiveres på riktig måte. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede GIF- eller TIFF-bilder kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Håndteringen av feil utformede GIF- eller TIFF-bilder kan føre til kjøring av vilkårlig kode ved analysering av ondsinnede bilder. Dette berører programmer som bruker ImageIO (Mac OS X v10.4 Tiger)- eller AppKit (Mac OS X v10.3 Panther)-rammeverket til å lese bilder. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av GIF- og TIFF-bilder.

  • BOM

    CVE-ID: CVE-2006-1985

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Utpakking av et arkiv kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Ved å opprette et arkiv (for eksempel et zip-arkiv) med lange banenavn kan en angriper utløse en heap-bufferoverflyt i BOM. Dette kan føre til kjøring av vilkårlig kode. BOM brukes til å håndtere arkiver i Finder og andre programmer. Denne oppdateringen løser dette problemet ved å håndtere grensebetingelsene på riktig måte.

  • BOM

    CVE-ID: CVE-2006-1440

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Utpakking av arkiv infisert med skadelig kode kan føre til vilkårlig oppretting eller overskriving av filer.

    Beskrivelse: Et problem med håndteringen av symbolske koblinger for katalogtraversering funnet i arkiver kan føre til at BOM oppretter eller overskriver filer på vilkårlige steder som er tilgjengelig for brukeren som pakker ut arkivet. BOM håndterer arkiver på vegne av Finder og andre programmer. Denne oppdateringen løser problemet ved å sikre at filer som pakkes ut fra et arkiv, ikke plasseres utenfor målkatalogen.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Besøk på skadelige websteder kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Heltallsoverflyt i håndteringen av pakkeoverført kode kan føre til kjøring av vilkårlig kode. CFNetwork brukes av Safari og andre programmer. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Tilgjengelig i: Mac OS X Server v10.4.6

    Virkning: Behandling av skadelig utformede e-postmeldinger med ClamAV kan føre til kjøring av vilkårlig kode.

    Beskrivelse: ClamAV-programvare for virusskanning er oppdatert for å få med sikkerhetsoppgraderinger. ClamAV ble innført i Mac OS X Server v10.4 for skanning av e-post. Det alvorligste av disse problemene kan føre til utføring av vilkårlig kode med ClamAV-rettigheter. Du finner mer informasjon på prosjektwebstedet http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Registrering av ikke-klarert pakke kan føre til kjøring av vilkårlig kode.

    Beskrivelse: I visse tilfeller registreres pakker ubetinget av programmer eller systemet. En funksjon i API-pakken tillater dynamiske biblioteker å laste og kjøre når en pakke er registrert, selv om klientprogrammet ikke ber om det eksplisitt. Resultatet er at vilkårlig kode kan utføres fra en ikke-klarert pakke uten eksplisitt brukerhandling. Denne oppdateringen løser problemet ved å bare laste og utføre biblioteker fra pakken på riktig tidspunkt.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Strengkonverteringer til filsystemrepresentasjoner kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Heltallunderflyt under behandlingen av grensebetingelser i CFStringGetFileSystemRepresentation kan føre til kjøring av vilkårlig kode. Programmer som bruker denne APIen eller en av de relaterte APIene som NSFileManagers getFileSystemRepresentation:maxLength:withPath:, kan utløse problemet og føre til kjøring av vilkårlig kode. Denne oppdateringen løser dette problemet ved å håndtere grensebetingelsene på riktig måte.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Tegn som legges inn i et sikkert tekstfelt kan leses av andre programmer i samme vindusøkt.

    Beskrivelse: Quartz Event Services gir programmer mulighet til å observere og endre brukerregistrering på lavt nivå. Vanligvis kan ikke programmer oppfange hendelser når sikker hendelsesregistrering er aktivert. Men hvis "Tillat tilgang for hjelpeenheter" er på, kan Quartz Event Services brukes til å gripe inn i hendelser selv om sikker hendelsesregistrering er aktivert. Denne oppdateringen løser problemet ved å filtrere hendelser når sikker hendelsesregistrering er aktivert. Problemet gjelder ikke for systemer før Mac OS X v10.4. En takk til Damien Bobillot som rapporterte dette problemet.

  • Finder

    CVE-ID: CVE-2006-1448

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Start av et Internett-adresseobjekt kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Internett-adresseobjekter er enkle URL-beholdere som kan referere til URLer som http://, ftp:// og file:// samt noen andre URL-oppsett. Disse ulike typene Internett-adresseobjekter er visuelt særegne og beregnet på å være trygge å laste. Men oppsettet av URLen kan være annerledes enn Internett-adressetypen. Dette kan føre til at en angriper kan overbevise en bruker om å starte et antatt godartet objekt (som en webadresse, http://), mens et annet URL-oppsett faktisk brukes. I visse tilfeller kan dette føre til kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved å begrense URL-oppsettet basert på Internett-adressetypen.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: FTP-operasjoner som utføres av autentiserte FTP-brukere, kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Flere problemer ved håndtering av banenavn til FTP-servere kan føre til bufferoverflyt. En ondsinnet autentisert bruker kan være i stand til å utløse denne overflyten, som igjen fører til kjøring av vilkårlig kode med rettighetene til FTP-serveren. Denne oppdateringen løser dette problemet ved å håndtere grensebetingelsene på riktig måte.

  • Flash Player

    CVE-ID: -2005-, CVE-2628, CVE-2006-0024

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Avspilling av Flash-innhold kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Adobe Flash Player inneholder kritiske sårbarheter som kan føre til kjøring av vilkårlig kode når spesielt utformede filer lastes. Mer informasjon er tilgjengelig via Adobes websted på /security/http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Denne oppdateringen løser problemet ved å integrere Flash Player versjon 8.0.24.0.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede JPEG-bilder kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Heltallsoverflyt i behandlingen av JPEG-metadata kan føre til heap-bufferoverflyt. Ved å opprette et bilde med feil utformede JPEG-metadata kan en angriper være i stand til å forårsake utføring av vilkårlig kode når bildet vises. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av bilder. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.4. En takk til Brent Simmons fra NewsGator Technologies, Inc. for rapportering av dette problemet.

  • Nøkkelring

    CVE-ID: CVE-2006-1446

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Et program kan bruke et nøkkelringelement når nøkkelringen er låst.

    Beskrivelse: Når en nøkkelring er låst, er det ikke mulig for programmer å få tilgang til elementene nøkkelringen inneholder uten først å be om at nøkkelringen låses opp. Men et program som har fått en referanse til et nøkkelringelement før nøkkelringen ble låst, kan i visse tilfeller fortsette å bruke nøkkelringelementet uansett om nøkkelringen er låst eller ikke. Denne oppdateringen løser problemet ved å avvise forespørsler om å bruke nøkkelringelementer når nøkkelringen er låst. En takk til Tobias Hahn fra HU Berlin for rapportering av dette problemet.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede websteder kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Filer med lange filetternavn kan hindre at Download Validation fastsetter riktig program som et element kan åpnes med. Dette kan føre til at en angriper er i stand til å omgå Download Validation og sørge for at Safari automatisk åpner usikkert innhold hvis alternativet Åpne «sikre» filer etter nedlasting er aktivert og visse programmer ikke er installert. Denne oppdateringen løser problemet gjennom forbedret kontroll av filetternavnene. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: URL-håndtering i libcurl kan føre til kjøring av vilkårlig kode.

    Beskrivelse: HTTP-biblioteket libcurl med åpen kilde inneholder bufferoverflyter i URL-håndtering. Programmer som bruker curl til URL-håndtering kan utløse problemet og føre til kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved å integrere libcurl versjon 7.15.1. Dette problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede e-postmeldinger kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Ved å opprette en spesielt utformet e-postmelding med MacMIME-innbygde vedlegg kan en angriper utløse en heltallsoverflyt. Dette kan føre til kjøring av vilkårlig kode med rettighetene til brukeren som kjører Mail. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll av meldinger.

  • Mail

    CVE-ID: CVE-2006-1450

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede e-postmeldinger kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Håndteringen av ugyldig fargeinformasjon i e-postmeldinger med rik tekst kan føre til tildeling og initialisering av vilkårlige klasser. Dette kan føre til kjøring av vilkårlig kode med rettighetene til brukeren som kjører Mail. Denne oppdateringen løser problemet ved å håndtere feil utformet rik tekst-data riktig.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Tilgjengelig i: Mac OS X Server v10.4.6

    Virkning: MySQL-database kan åpnes med tomt passord.

    Beskrivelse: Under første oppsett av en MySQL-databaseserver med MySQL Manager, kan "Nytt MySQL-rotpassord" bli oppgitt. Men dette passordet brukes ikke. Det fører til at MySQL-rotpassordet forblir tomt. En lokal bruker kan så få tilgang til MySQL-databasen med alle rettigheter. Denne oppdateringen løser problemet ved å sikre at det oppgitte passordet lagres. Dette problemet gjelder ikke systemer som kjører eldre versjoner enn Mac OS X Server v10.4. Takk til Ben Low på University of New South Wales, som meldte i fra om problemet.

  • Preview

    CVE-ID: CVE-2006-1452

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Navigering i et ondsinnet utformet kataloghierarki kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Ved navigering i svært dype kataloghierarkier kan en stabelbufferoverflyt bli utløst. Utforming av et slikt kataloghierarki kan gjøre det mulig for en angriper å forårsake kjøring av vilkårlig kode hvis katalogene åpnes i Preview. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

  • QuickDraw

    CVE-ID: -2006-, CVE-1453, CVE-2006-1454

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Visning av ondsinnede PICT-bilder kan føre til kjøring av vilkårlig kode.

    Beskrivelse: To problemer berører QuickDraw ved behandling av PICT-bilder. Feil utformet fontinformasjon kan føre til stabelbufferoverflyt, og feil utformede bildedata kan føre til heap-bufferoverflyt. Ved å opprette et PICT-bilde med ondsinnede data kan en angriper være i stand til å forårsake utføring av vilkårlig kode når bildet vises. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll og godkjenning av PICT-bilder. Takk til Mike Price ved McAfee AVERT Labs som meldte fra om dette problemet.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Tilgjengelig for: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Virkning: En feil utformet QuickTime-film kan føre til at QuickTime Streaming Server krasjer.

    Beskrivelse: En QuickTime-film som mangler et spor kan føre til et referanseproblem med nullpeker, noe som fører til at tjenerprosessen krasjer. Dette fører til at aktive klienttilkoblinger avbrytes. Men tjeneren startes på nytt automatisk. Denne oppdateringen håndterer problemet ved å opprette en feil når feil utformede filmer oppdages.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Tilgjengelig for: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Virkning: Ondsinnet utformede RTSP-forespørsler kan føre til krasj eller kjøring av vilkårlig kode.

    Beskrivelse: Ved å utforme en RTSP-forespørsel kan en angriper utløse en bufferoverflyt under meldingslogging. Dette kan føre til kjøring av vilkårlig kode med rettighetene til QuickTime Streaming Server. Denne oppdateringen løser dette problemet ved å håndtere grensebetingelsene på riktig måte. En takk til forskerteamet hos Mu Security, som meldte fra om dette problemet.

  • Ruby

    CVE-ID: CVE-2005-2337

    Tilgjengelig for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Sikkerhetsnivåbegrensninger i Ruby kan omgås.

    Beskrivelse: Prosedyrespråket i Ruby inneholder en mekanisme som kalles "sikre nivåer" som brukes til å begrense visse operasjoner. Denne mekanismen brukes vanligvis ved kjøring av privilegerte Ruby-programmer eller Ruby-nettverksprogrammer. I visse tilfeller kan en angriper omgå begrensningene i slike programmer. Programmer som ikke er avhengig av sikkerhetsnivåer, berøres ikke. Denne oppdateringen løser problemet ved å sikre at sikkerhetsnivåene ikke kan omgås.

  • Safari

    CVE-ID: CVE-2006-1457

    Tilgjengelig for: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Virkning: Besøk på skadelige websteder kan føre til filmanipulering eller kjøring av vilkårlig kode.

    Beskrivelse: Når alternativet Åpne «sikre» filer etter nedlasting i Safari er aktivert, pakkes arkiver automatisk ut. Hvis arkivet inneholder en symbolsk kobling, kan målkoblingen bli flyttet til brukerens skrivebord og åpnet. Denne oppdateringen løser problemet ved å ikke åpne nedlastede symbolske koblinger. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.4.

Publiseringsdato: