Zawartość związana z zabezpieczeniami w uaktualnieniu systemu Mac OS X 10.4.7
Ten dokument zawiera opis zawartości związanej z zabezpieczeniami w uaktualnieniu systemu Mac OS X 10.4.7, którą można pobrać i zainstalować za pomocą funkcji Uaktualnienia oprogramowania lub z witryny Apple z materiałami do pobrania.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie Mac OS X 10.4.7
AFP
Identyfikator CVE: CVE-2006-1468
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: nazwy plików i folderów mogą zostać ujawnione nieautoryzowanym użytkownikom.
Opis: błąd na serwerze AFP powoduje, że wyniki wyszukiwania mogą zawierać nazwy plików i folderów, do których użytkownik przeprowadzający wyszukiwanie nie ma dostępu. Może to spowodować ujawnienie informacji, jeśli same nazwy są poufnymi informacjami. To uaktualnienie rozwiązuje ten problem, zapewniając, że wyniki wyszukiwania zawierają tylko elementy, do których użytkownik jest autoryzowany. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
ClamAV
Identyfikator CVE: CVE-2006-1989
Dostępne dla: systemu Mac OS X Server 10.4.6
Zagrożenie: gdy skanowanie antywirusowe jest skonfigurowane tak, aby było aktualizowane automatycznie, złośliwa kopia lustrzana bazy danych może spowodować wykonanie dowolnego kodu.
Opis: problem pojawiający się podczas automatycznej aktualizacji bazy wirusów ClamAV może skutkować przepełnieniem buforu stosu. Złośliwa lub sfałszowana kopia lustrzana bazy danych ClamAV może spowodować wykonanie dowolnego kodu z uprawnieniami ClamAV. Usługa Poczta, skanowanie antywirusowe i automatyczne uaktualnienia bazy wirusów są domyślnie wyłączone. To uaktualnienie rozwiązuje ten problem przez wprowadzenie ClamAV w wersji 0.88.2. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
ImageIO
Identyfikator CVE: CVE-2006-1469
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu TIFF może doprowadzić do awarii aplikacji lub wykonania dowolnego kodu.
Opis: poprzez staranne spreparowanie uszkodzonego obrazu TIFF atakujący może wywołać przepełnienie buforu stosu, co może skutkować awarią aplikacji lub wykonaniem dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzenie obrazów TIFF. Problem nie dotyczy systemów starszych niż Mac OS X 10.4.
launchd
Identyfikator CVE: CVE-2006-1471
Dostępne dla: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: użytkownicy lokalni mogą uzyskać podwyższone uprawnienia.
Opis: luka w zabezpieczeniach łańcucha formatów w komponencie launchd programu setuid może pozwolić uwierzytelnionemu użytkownikowi lokalnemu na wykonanie dowolnego kodu z uprawnieniami systemowymi. Problem jest obecny w mechanizmie rejestrowania launchd. To uaktualnienie rozwiązuje ten problem przez dodatkowe sprawdzanie podczas rejestrowania wiadomości. Ten problem nie dotyczy systemów starszych niż Mac OS X 10.4. Problem zgłosił Kevin Finisterre z firmy DigitalMunition.
OpenLDAP
Identyfikator CVE: CVE-2006-1470
Dostępne dla: systemów Mac OS X 10.4.6, Mac OS X Server 10.4.6
Zagrożenie: osoby atakujące zdalnie mogą spowodować awarię serwera Open Directory.
Opis: poprzez staranne spreparowanie nieprawidłowego żądania LDAP osoba atakująca zdalnie może być w stanie wywołać asercję w serwerze OpenLDAP, co skutkuje atakiem typu „odmowa usługi”. To uaktualnienie rozwiązuje ten problem przez odrzucenie nieprawidłowego żądania. Ten problem nie dotyczy systemów starszych niż Mac OS X 10.4. Problem zgłosił zespół badawczy Mu Security.