Informacje o uaktualnieniu zabezpieczeń 2006-003
W tym dokumencie opisano uaktualnienie zabezpieczeń 2006-003, które można pobrać i zainstalować za pośrednictwem preferencji funkcji Uaktualnienia oprogramowania lub z witryny Apple z materiałami do pobrania.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Informacje o uaktualnieniu zabezpieczeń 2006-003
AppKit
Identyfikator CVE: CVE-2006-1439
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: znaki wprowadzone do zabezpieczonego pola tekstowego mogą być odczytywane przez inne aplikacje w tej samej sesji okna.
Opis: w pewnych okolicznościach podczas przełączania się między polami wprowadzania tekstu NSSecureTextField może nie włączyć ponownie bezpiecznego wprowadzania zdarzeń. W wyniku tego inne aplikacje w tej samej sesji okna mogą widzieć niektóre wprowadzane znaki i zdarzenia klawiatury. To uaktualnienie rozwiązuje ten problem, zapewniając prawidłowe włączenie bezpiecznego wprowadzania zdarzeń. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
AppKit, ImageIO
Identyfikatory CVE: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu GIF lub TIFF może doprowadzić do wykonania dowolnego kodu.
Opis: obsługa zniekształconego obrazu GIF lub TIFF może doprowadzić do wykonania dowolnego kodu podczas analizowania złośliwie spreparowanego obrazu. Ma to wpływ na aplikacje, które używają struktury ImageIO (Mac OS X 10.4 Tiger) lub AppKit (Mac OS X 10.3 Panther) do odczytu obrazów. To uaktualnienie rozwiązuje ten problem przez wykonywanie dodatkowego sprawdzania poprawności obrazów GIF i TIFF.
BOM
Identyfikator CVE: CVE-2006-1985
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: rozszerzenie archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: poprzez staranne spreparowanie archiwum (takiego jak archiwum Zip) zawierającego długie nazwy ścieżek atakujący może być w stanie wywołać przepełnienie buforu sterty w BOM. Może to spowodować wykonanie dowolnego kodu. BOM służy do obsługi archiwów w Finderze i innych aplikacjach. To uaktualnienie rozwiązuje ten problem przez prawidłową obsługę warunków brzegowych.
BOM
Identyfikator CVE: CVE-2006-1440
Dostępne dla: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: rozszerzenie złośliwego archiwum może spowodować utworzenie lub nadpisanie dowolnych plików.
Opis: problem związany z obsługą dowiązań symbolicznych typu traversal do katalogów napotkanych w archiwach może spowodować, że BOM utworzy lub nadpisze pliki w dowolnych lokalizacjach dostępnych dla użytkownika rozwijającego archiwum. BOM obsługuje archiwa w imieniu Findera i innych aplikacji. To uaktualnienie rozwiązuje ten problem, zapewniając, że pliki rozszerzone z archiwum nie są umieszczane poza katalogiem docelowym.
CFNetwork
Identyfikator CVE: CVE-2006-1441
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: odwiedzanie złośliwych witryn internetowych może doprowadzić do wykonania dowolnego kodu.
Opis: błąd przepełnienia całkowitoliczbowego podczas obsługi kodowania transferu fragmentarycznego może doprowadzić do wykonania dowolnego kodu. Przeglądarka Safari i inne aplikacje korzystają z CFNetwork. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
ClamAV
Identyfikatory CVE: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Dostępne dla: systemu Mac OS X Server 10.4.6
Zagrożenie: przetwarzanie złośliwie spreparowanych wiadomości e-mail za pomocą ClamAV może doprowadzić do wykonania dowolnego kodu.
Opis: oprogramowanie do skanowania antywirusowego ClamAV zostało uaktualnione w celu wprowadzenia poprawek zabezpieczeń w najnowszej wersji. Oprogramowanie ClamAV zostało wprowadzone w systemie Mac OS X Server 10.4 na potrzeby skanowania poczty e-mail. Najpoważniejszy z tych problemów może doprowadzić do wykonania dowolnego kodu z uprawnieniami ClamAV. Więcej informacji można znaleźć w witrynie internetowej projektu pod adresem http://www.clamav.net.
CoreFoundation
Identyfikator CVE: CVE-2006-1442
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: rejestracja niezaufanego pakietu może doprowadzić do wykonania dowolnego kodu.
Opis: w pewnych okolicznościach pakiety są niejawnie rejestrowane przez aplikacje lub system. Funkcja interfejsu API pakietu umożliwia dynamicznym bibliotekom ładowanie i wykonywanie, gdy pakiet jest zarejestrowany, nawet jeśli aplikacja kliencka wyraźnie tego nie żąda. W rezultacie możliwe jest wykonanie dowolnego kodu z poziomu niezaufanego pakietu bez wyraźnej interakcji z użytkownikiem. To uaktualnienie rozwiązuje ten problem przez ładowanie i wykonywanie bibliotek z pakietu tylko w odpowiednim czasie.
CoreFoundation
Identyfikator CVE: CVE-2006-1443
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: konwersja ciągów znaków na reprezentację systemu plików może doprowadzić do wykonania dowolnego kodu.
Opis: błąd niedomiaru całkowitoliczbowego podczas przetwarzania warunku brzegowego w CFStringGetFileSystemRepresentation może doprowadzić do wykonania dowolnego kodu. Aplikacje korzystające z tego interfejsu API lub jednego z powiązanych interfejsów API, takich jak getFileSystemRepresentation:maxLength:withPath: w NSFileManager, mogą wywołać błąd i doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez prawidłową obsługę warunków brzegowych.
CoreGraphics
Identyfikator CVE: CVE-2006-1444
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: znaki wprowadzone do zabezpieczonego pola tekstowego mogą być odczytywane przez inne aplikacje w tej samej sesji okna.
Opis: rozwiązanie Quartz Event Services zapewnia aplikacjom możliwość obserwowania i zmieniania zdarzeń wejściowych użytkownika na niskim poziomie. Zwykle aplikacje nie mogą przechwytywać zdarzeń, gdy włączone jest bezpieczne wprowadzanie zdarzeń. Jeśli jednak włączona jest opcja Włącz obsługę urządzeń wspomagających, rozwiązania Quartz Event Services można używać do przechwytywania zdarzeń, nawet jeśli włączone jest ich bezpieczne wprowadzanie. To uaktualnienie rozwiązuje ten problem, zapewniając filtrowanie zdarzeń, gdy włączone jest ich bezpieczne wprowadzanie. Problem nie dotyczy systemów starszych niż Mac OS X 10.4. Zgłosił go Damien Bobillot.
Finder
Identyfikator CVE: CVE-2006-1448
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: uruchomienie elementu Adres w Internecie może doprowadzić do wykonania dowolnego kodu.
Opis: elementy Adres w Internecie to proste kontenery adresów URL, które mogą odwoływać się do adresów URL http://, ftp:// i file://, a także kilku innych schematów adresów URL. Te różne typy elementów Adres w Internecie różnią się wizualnie i z założenia powinny być bezpieczne do bezpośredniego uruchomienia. Schemat adresu URL może być jednak inny niż typ elementu Adres w Internecie. W rezultacie atakujący może być w stanie przekonać użytkownika do uruchomienia rzekomo niegroźnego elementu (takiego jak adres www w Internecie, http://), w wyniku czego w rzeczywistości używany jest inny schemat adresu URL. W pewnych okolicznościach może to doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje te problemy, ograniczając schemat adresów URL w oparciu o typ elementu Adres w Internecie.
FTPServer
Identyfikator CVE: CVE-2006-1445
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: operacje FTP wykonywane przez uwierzytelnionych użytkowników FTP mogą doprowadzić do wykonania dowolnego kodu.
Opis: liczne błędy w obsłudze nazw ścieżek serwera FTP mogą doprowadzić do przepełnienia buforu. Złośliwy uwierzytelniony użytkownik może być w stanie wywołać to przepełnienie, co może doprowadzić do wykonania dowolnego kodu z uprawnieniami serwera FTP. To uaktualnienie rozwiązuje ten problem przez prawidłową obsługę warunków brzegowych.
Flash Player
Identyfikatory CVE: CVE-2005-2628, CVE-2006-0024
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: odtwarzanie zawartości Flash może doprowadzić do wykonania dowolnego kodu.
Opis: Adobe Flash Player zawiera krytyczne luki w zabezpieczeniach, które mogą doprowadzić do wykonania dowolnego kodu po załadowaniu specjalnie spreparowanych plików. Więcej informacji można znaleźć w witrynie internetowej Adobe pod adresem http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. To uaktualnienie rozwiązuje ten problem przez wprowadzenie programu Flash Player w wersji 8.0.24.0.
ImageIO
Identyfikator CVE: CVE-2006-1552
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu JPEG może doprowadzić do wykonania dowolnego kodu.
Opis: błąd przepełnienia całkowitoliczbowego podczas przetwarzania metadanych JPEG może spowodować przepełnienie buforu sterty. Poprzez staranne spreparowanie obrazu ze zniekształconymi metadanymi JPEG atakujący może być w stanie spowodować wykonanie dowolnego kodu podczas przeglądania obrazu. To uaktualnienie rozwiązuje ten problem, przeprowadzając dodatkowe sprawdzanie poprawności obrazów. Problem nie dotyczy systemów starszych niż Mac OS X 10.4. Zgłosił go Brent Simmons z NewsGator Technologies, Inc.
Keychain
Identyfikator CVE: CVE-2006-1446
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: aplikacja może korzystać z elementów pęku kluczy, gdy jest on zablokowany.
Opis: gdy pęk kluczy jest zablokowany, aplikacje nie mogą uzyskać dostępu do zawartych w nim elementów bez uprzedniego zażądania jego odblokowania. Jednak aplikacja, która uzyskała odniesienie do elementu pęku kluczy przed zablokowaniem pęku kluczy, może w pewnych okolicznościach kontynuować korzystanie z tego elementu niezależnie od tego, czy pęk kluczy jest zablokowany czy odblokowany. To uaktualnienie rozwiązuje ten problem, odrzucając żądania użycia elementów pęku kluczy, gdy jest on zablokowany. Problem zgłosił Tobias Hahn z HU Berlin.
LaunchServices
Identyfikator CVE: CVE-2006-1447
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwej witryny internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: długie rozszerzenia nazw plików mogą uniemożliwić funkcji sprawdzania poprawności pobierania prawidłowe określenie aplikacji, za pomocą której można otworzyć element. W rezultacie atakujący może być w stanie ominąć funkcję sprawdzania poprawności pobierania i spowodować, że Safari automatycznie otworzy niebezpieczną zawartość, jeśli opcja Otwieraj „bezpieczne” pliki po pobraniu jest włączona, a niektóre aplikacje nie są zainstalowane. To uaktualnienie rozwiązuje ten problem przez poprawę sprawdzania rozszerzenia nazw plików. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
libcurl
Identyfikator CVE: CVE-2005-4077
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: obsługa adresów URL w libcurl może doprowadzić do wykonania dowolnego kodu.
Opis: w bibliotece HTTP open source o nazwie libcurl występuje przepełnienie buforu podczas obsługi adresów URL. Aplikacje wykorzystujące curl do obsługi adresów URL mogą wywołać błąd i doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez wprowadzenie libcurl w wersji 7.15.1. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
Mail
Identyfikator CVE: CVE-2006-1449
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwej wiadomości pocztowej może doprowadzić do wykonania dowolnego kodu.
Opis: przygotowując specjalnie spreparowaną wiadomość e-mail z załącznikami w enkapsulacji MacMIME, atakujący może wywołać przepełnienie całkowitoliczbowe. Może to doprowadzić do wykonania dowolnego kodu z uprawnieniami użytkownika uruchamiającego aplikację Poczta. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności wiadomości.
Mail
Identyfikator CVE: CVE-2006-1450
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwej wiadomości pocztowej może doprowadzić do wykonania dowolnego kodu.
Opis: obsługa nieprawidłowych informacji o kolorze we wzbogaconych tekstowych wiadomościach e-mail może spowodować alokację i inicjalizację dowolnych klas. Może to doprowadzić do wykonania dowolnego kodu z uprawnieniami użytkownika uruchamiającego aplikację Poczta. To uaktualnienie rozwiązuje ten problem przez prawidłową obsługę zniekształconych wzbogaconych danych tekstowych.
MySQL Manager
Identyfikator CVE: CVE-2006-1451
Dostępne dla: systemu Mac OS X Server 10.4.6
Zagrożenie: można uzyskać dostęp do bazy danych MySQL z użyciem pustego hasła.
Opis: podczas początkowej konfiguracji serwera bazy danych MySQL za pomocą programu MySQL Manager można podać nowe hasło root MySQL. Hasło to nie jest jednak w rzeczywistości używane. W rezultacie hasło root MySQL pozostanie puste. Użytkownik lokalny może wtedy uzyskać dostęp do bazy danych MySQL z pełnymi uprawnieniami. To uaktualnienie rozwiązuje ten problem, zapewniając, że wprowadzone hasło zostanie zapisane. Problem nie dotyczy systemów starszych niż Mac OS X Server 10.4. Zgłosił go Ben Low z Uniwersytetu Nowej Południowej Walii.
Preview
Identyfikator CVE: CVE-2006-1452
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: nawigowanie po złośliwie spreparowanej hierarchii katalogów może doprowadzić do wykonania dowolnego kodu.
Opis: podczas nawigowania po bardzo głębokich hierarchiach katalogów w aplikacji Podgląd może dojść do przepełnienia buforu stosu. Starannie tworząc taką hierarchię katalogów, atakujący może spowodować wykonanie dowolnego kodu, jeśli katalogi zostaną otwarte w aplikacji Podgląd. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
QuickDraw
Identyfikatory CVE: CVE-2006-1453, CVE-2006-1454
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PICT może doprowadzić do wykonania dowolnego kodu.
Opis: podczas przetwarzania obrazów PICT w QuickDraw występują dwa problemy. Zniekształcone informacje o czcionce mogą spowodować przepełnienie buforu stosu, a zniekształcone dane obrazu mogą doprowadzić do przepełnienia buforu sterty. Poprzez staranne spreparowanie złośliwego obrazu PICT atakujący może być w stanie spowodować wykonanie dowolnego kodu podczas przeglądania obrazu. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie poprawności obrazów PICT. Problem zgłosił Mike Price z McAfee AVERT Labs.
QuickTime Streaming Server
Identyfikator CVE: CVE-2006-1455
Dostępne dla: systemów Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Zagrożenie: zniekształcony film QuickTime może spowodować awarię serwera QuickTime Streaming Server.
Opis: film QuickTime z brakującą ścieżką może wywołać dereferencję wskaźnika null, powodując awarię procesu serwera. Powoduje to przerwanie aktywnych połączeń z klientem. Serwer jest jednak automatycznie uruchamiany ponownie. To uaktualnienie rozwiązuje ten problem przez generowanie błędu w przypadku napotkania zniekształconych filmów.
QuickTime Streaming Server
Identyfikator CVE: CVE-2006-1456
Dostępne dla: systemów Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Zagrożenie: złośliwie spreparowane żądania RTSP mogą doprowadzić do awarii lub wykonania dowolnego kodu.
Opis: poprzez staranne spreparowanie żądania RTSP atakujący może być w stanie wywołać przepełnienie buforu podczas rejestrowania wiadomości. Może to doprowadzić do wykonania dowolnego kodu z uprawnieniami serwera QuickTime Streaming Server. To uaktualnienie rozwiązuje ten problem przez prawidłową obsługę warunków brzegowych. Problem zgłosił zespół badawczy Mu Security.
Ruby
Identyfikator CVE: CVE-2005-2337
Dostępne dla: systemów Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: możliwe jest ominięcie ograniczeń bezpiecznego poziomu języka Ruby.
Opis: język skryptowy Ruby zawiera mechanizm zwany bezpiecznymi poziomami, który służy do ograniczania niektórych operacji. Mechanizm ten jest najczęściej używany podczas uruchamiania uprzywilejowanych aplikacji Ruby lub aplikacji sieciowych Ruby. W pewnych okolicznościach atakujący może być w stanie ominąć ograniczenia w takich aplikacjach. Problem nie dotyczy aplikacji, które nie polegają na bezpiecznych poziomach. To uaktualnienie rozwiązuje ten problem przez zapewnienie, że nie da się ominąć bezpiecznych poziomów.
Safari
Identyfikatory CVE: CVE-2006-1457
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: odwiedzanie złośliwych witryn internetowych może doprowadzić do manipulacji plikami lub wykonania dowolnego kodu.
Opis: gdy w przeglądarce Safari włączona jest opcja Otwieraj „bezpieczne pliki” po pobraniu, archiwa będą automatycznie rozszerzane. Jeśli archiwum zawiera dowiązanie symboliczne, docelowe dowiązanie symboliczne może zostać przeniesione na pulpit użytkownika i uruchomione. To uaktualnienie rozwiązuje ten problem przez nierozwiązywanie pobranych dowiązań symbolicznych. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.