Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu zabezpieczeń 2010-003
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2010-003.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie zabezpieczeń 2010-003
ATS
Identyfikator CVE: CVE-2010-1120
Dostępne dla: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.3, Mac OS X Server 10.6.3
Zagrożenie: wyświetlenie lub pobranie dokumentu zawierającego złośliwie spreparowaną osadzoną czcionkę może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi osadzonych czcionek przez Apple Type Services występuje problem związany z brakiem sprawdzenia indeksu. Wyświetlenie lub pobranie dokumentu zawierającego specjalnie spreparowaną osadzoną czcionkę może doprowadzić do wykonania dowolnego kodu. Problem ten rozwiązano przez poprawienie mechanizmu sprawdzania indeksów. Problem zgłosił Charlie Miller w ramach programu Zero Day Initiative firmy TippingPoint.
Ważne: informacje o produktach niewyprodukowanych przez Apple są dostarczane wyłącznie w celach informacyjnych i nie stanowią rekomendacji ani poparcia Apple. Dodatkowe informacje można uzyskać, kontaktując się z dostawcą.