Om Security Update 2010-001

Dette dokumentet er en beskrivelse av Security Update 2010-001, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apple produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under Slik bruker du PGP-nøkkelen for Apples produktsikkerhet.

Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i Apples sikkerhetsoppdateringer.

Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Security Update 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Avspilling av en skadelig mp4 lydfil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger en bufferoverflyt i håndteringen av mp4 lydfiler. Avspilling av en skadelig mp4 lydfil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode kjøres. Dette problemet løses ved forbedret grensekontroll. En takk til Tobias Klein hos trapkit.de som meldte fra om dette problemet.

  • CUPS

    CVE-ID: CVE-2009-3553

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: En ekstern angriper kan forårsake at et program avslutter cupsd uventet

    Beskrivelse: Det er et bruk-etter-frigivelse-problem i cupsd. Ved å sende en skadelig hent-skriver-forespørsel, kan en angriper forårsake en ekstern sperring av tjeneste. Dette løses gjennom automatisk omstart av cupsd etter at det er terminert. Dette problemet løses ved forbedret tilkoblingsbruk-sporing.

  • Flash Player-pluginmodul

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Flere sårbarheter i Adobe Flash Player-pluginmodulen

    Beskrivelse: Det er flere problemer med Adobe Flash Player-pluginmodulen, og den alvorligste kan føre at vilkårlig kode kjøres ved visning av et skadelig websted. Problemene løses ved å oppdatere Flash Player pluginmodul til versjon 10.0.42. Mer informasjon er tilgjenglig på Adobes websted på http://www.adobe.com/support/security/bulletins/apsb09-19.html. Takk til en anonym forsker og Damian Put som arbeider med TippingPoints Zero Day Initiative, Bing Liu fra Fortinet's FortiGuard Global Security Research Team, Will Dormann fra CERT, Manuel Caballero og Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger bufferunderflyt i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Dette problemet løses ved forbedret grensekontroll. For Mac OS X v10.6-systemer løses dette problemet i Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: Visning av et skadelig DNG-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det finnes en buffer-overflyt i Image RAWs håndtering av DNG-bilder. Visning av et skadelig DNG-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres Dette problemet løses ved forbedret grensekontroll. Takk til Jason Carr fra Carnegie Mellon University Computing Service for rapportering av dette problemet.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Virkning: En angriper med nettverksplassering med prioritet kan fange data eller endre oppgaver utført i sesjoner beskyttet av SSL

    Beskrivelse Det eksisterer en Man-in-the-middle-sårbarhet i SSL- og TLS-protokollene. Ytterligere informasjon er tilgjengelig på http://www.phonefactor.com/sslgap. Ending på gjenforhandlingsprotokollen er på vei i IETF. Denne oppdateringen deaktiverer gjenforhandlinger i OpenSSL som et forebyggende sikkerhetstiltak. Problemet omfatter ikke tjenester som bruker sikker transport siden det ikke støtter gjenforhandlinger. Takk til Steve Dispensa og Marsh Ray fra PhoneFactor, Inc. for å ha rapportert dette problemet.

Viktig: Referanser til websider og produkter fra tredjepart er bare ment for informasjon, og innebærer ingen oppfordring eller anbefaling. Apple påtar seg ikke noe ansvar for valg, ytelse eller bruk av informasjon eller produkter som finnes på websider fra tredjepart. Apple gir denne informasjonen bare som en tjeneste til våre brukere. Apple har ikke testet informasjonen på disse websidene, og står ikke inne for nøyaktighten eller påliteligheten. Det er en iboende risiko forbundet med bruk av informasjon eller produkter som finnes på Internett, og Apple påtar seg ikke noe ansvar i denne forbindelsen. Vær oppmerksom på at en webside fra tredjepart er uavhengig av Apple og at Apple ikke har noen form for kontroll over innholdet på den websiden. Kontakt leverandøren for ytterligere informasjon.

Publiseringsdato: