Om Sikkerhetsoppdatering 2010-005

Dette dokumentet er en beskrivelse av Sikkerhetsoppdatering 2010-005, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på webstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet i Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apples sikkerhetsoppdateringer."

Denne artikkelen har blitt arkivert og oppdateres ikke lenger av Apple.

Sikkerhetsoppdatering 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det finnes en en stakk-bufferoverflyt i Apple Type Services håndtering av innebygde fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres. Dette problemet løses ved forbedret grensekontroll.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Tilgjengelig for: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: En angriper med en nettverksposisjon med privilegier kan fange opp påloggingsopplysninger eller annen sensitiv informasjon.

    Beskrivelse: CFNetwork tillater anonyme TLS-/SSL-tilkoblinger. Dette kan føre til at en angriper underveis kan omdirigere tilkoblinger og fange opp påloggingsopplysninger eller annen sensitiv informasjon. Dette har ingen innvirkning på Mail-programmet. Problemet løses ved å deaktivere anonyme TLS-/SSL-tilkoblinger. Dette problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.6.3. Takk til Aaron Sigel hos vtty.com, Jean-Luc Giraud hos Citrix, Tomas Bjurman hos Sirius IT og Wan-Teh Chang hos Google, Inc. for å ha meldt fra om dette problemet.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Tilgjengelig for: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Virkning: Flere sårbarheter i ClamAV

    Beskrivelse: Det er mange svakheter i ClamAV, og den alvorligste kan forårsake kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved å oppdatere ClamAV til versjon 0.96.1. ClamAV distribueres bare sammen med Mac OS X Server-systemer. Ytterligere informasjon er tilgjengelig via ClamAV-webstedet på http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger heap-bufferoverflyt i CoreGraphics håndtering av PDF-filer. Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved forbedret grensekontroll. Takk til Rodrigo Rubira Branco hos Check Point Vulnerability Discovery Team (VDT) for å ha meldt fra om dette problemet.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: En angriper med en nettverksposisjon med privilegier som har et domenenavn som bare skiller seg fra navnet til et ekte domene med noen av de få siste tegnene i navnet, kan opptre som verter for det domenet

    Beskrivelse: Det foreligger et problem i håndteringen av sertifikatvertsnavnene. De siste tegnene i vertsnavn som bare inneholder tre eller flere komponenter sammenlignes ikke på riktig måte. I tilfeller der navnet inneholder nøyaktig tre komponenter, er det bare det siste tegnet som ikke kontrolleres. Hvis for eksempel en angriper i en nettverksposisjon med privilegier kan få tak i et sertifikat for www.example.con, kan angriperen opptre som www.example.com. Problemet løses ved forbedret håndtering av sertifikatvertsnavn. Takk til Peter Speck for å ha meldt fra om dette problemet.

  • PHP

    CVE-ID: CVE-2010-1205

    Tilgjengelig for: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: Lasting av et skadelig PNG-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger en bufferoverflyt i PHPs libpng-bibliotek. Lasting av et skadelig PNG-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet løses ved å oppdatere libpng innen PHP til versjon 1.4.3. Dette problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2531, CVE-2010-2484

    Tilgjengelig for: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: Flere sårbarheter i PHP 5.3.1

    Beskrivelse: PHP oppdateres til versjon 5.3.2 for å rette flere sårbarheter, der den mest alvorlige kan føre til at vilkårlig kode kjøres. Mer informasjon er tilgjengelig på PHP-webstedet på http://www.php.net/.

  • Samba

    CVE-ID: CVE-2010-2063

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Virkning: En uverifisert ekstern angriper kan forårsake sperring av tjeneste eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger en bufferoverflyt i Samba. En uverifisert ekstern angriper kan forårsake sperring av tjeneste eller at vilkårlig kode kjøres ved å sende en skadelig pakke. Problemet løses ved å utføre ytterligere validering av pakker i Samba.

Viktig: Referanser til websider og produkter fra tredjepart er bare ment for informasjon, og innebærer ingen oppfordring eller anbefaling. Apple påtar seg ikke noe ansvar for valg, ytelse eller bruk av informasjon eller produkter som finnes på websider fra tredjepart. Apple gir denne informasjonen bare som en tjeneste til våre brukere. Apple har ikke testet informasjonen på disse websidene, og står ikke inne for nøyaktighten eller påliteligheten. Det er en iboende risiko forbundet med bruk av informasjon eller produkter som finnes på Internett, og Apple påtar seg ikke noe ansvar i denne forbindelsen. Vær oppmerksom på at en webside fra tredjepart er uavhengig av Apple og at Apple ikke har noen form for kontroll over innholdet på den websiden. Kontakt leverandøren for ytterligere informasjon.

Publiseringsdato: