Acest articol a fost arhivat şi nu mai este actualizat de Apple.

Despre actualizarea de securitate 2008-005

Acest document descrie actualizarea de securitate 2008-005, care poate fi descărcată și instalată din preferințele Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple.”

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, consultă „Actualizările de securitate Apple”.

Actualizarea de securitate 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: un utilizator local poate executa comenzi cu privilegii importante

    Descriere: există o problemă de proiectare în bibliotecile Open Scripting Architecture atunci când se stabilește dacă se încarcă sau nu plugin-uri de adăugare a scripturilor în aplicațiile care rulează cu privilegii ridicate. Trimiterea comenzilor de adăugare a scripturilor către o aplicație privilegiată poate permite executarea de cod arbitrar cu acele privilegii. Această actualizare soluționează problema prin neîncărcarea plugin-urilor de adăugare a scripturilor în aplicațiile care rulează cu privilegii de sistem. Problemele ARDAgent și SecurityAgent raportate recent sunt soluționate prin această actualizare. Îi mulțumim lui Charles Srstka pentru raportarea acestei probleme.

  • BIND

    CVE-ID: CVE-2008-1447

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: BIND este susceptibil la contaminarea cache-ului DNS și poate returna informații falsificate

    Descriere: serverul Berkeley Internet Name Domain (BIND) este distribuit cu Mac OS X și nu este activat în mod implicit. Când este activat, serverul BIND oferă traducere între numele gazdei și adresele IP. Un punct slab al protocolului DNS poate permite atacatorilor de la distanță să efectueze atacuri de contaminare a cache-ului DNS. Drept rezultat, sistemele care se bazează pe serverul BIND pentru DNS pot primi informații falsificate. Această actualizare soluționează problema prin implementarea randomizării portului sursă pentru a îmbunătăți rezistența împotriva atacurilor de contaminare a cache-ului. Pentru sistemele Mac OS X v10.4.11, BIND este actualizat la versiunea 9.3.5-P1. Pentru sistemele Mac OS X v10.5.4, BIND este actualizat la versiunea 9.4.2-P1. Îi mulțumim lui Dan Kaminsky de la IOActive pentru raportarea acestei probleme.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: procesarea numelor lungi de fișiere poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar

    Descriere: există o supraîncărcare a memoriei tampon a stivei în manipularea numelor lungi de fișiere. Procesarea numelor lungi de fișiere poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Îi mulțumim lui Thomas Raffetseder de la International Secure Systems Lab și lui Sergio Alvarez de la n.runs AG pentru raportarea acestei probleme.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: vizitarea unui site web creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar

    Descriere: CoreGraphics conține probleme de corupție a memoriei în prelucrarea argumentelor. Transmiterea unor date nesigure către CoreGraphics printr-o aplicație, cum ar fi un browser web, poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Îi mulțumim lui Michal Zalewski de la Google, pentru raportarea acestei probleme.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar

    Descriere: o depășire de numere întregi la gestionarea fișierelor PDF poate duce la o depășire a memoriei tampon. Vizualizarea unui fișier PDF creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare soluționează problema prin validarea suplimentară a fișierelor PDF. Îi mulțumim lui Pariente Kobi în colaborare cu iDefense VCP pentru raportarea acestei probleme.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Disponibilitate pentru: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: vizualizarea mesajelor create cu rea intenție cu Detectoare de date poate duce la o închidere neașteptată a aplicației

    Descriere: detectoarele de date sunt utilizate pentru a extrage informații de referință din conținutul textual sau din arhive. Există o problemă de consum de resurse în gestionarea conținutului textual de către Detectoarele de date. Vizualizarea conținutului creat cu rea intenție într-o aplicație care utilizează Detectoare de date poate duce la un refuz de serviciu, însă nu la executarea de cod arbitrar. Această problemă nu afectează sistemele anterioare față de Mac OS X v10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Impact: un utilizator local poate obține privilegii de sistem

    Descriere: instrumentul „Permisiuni de reparare” din Disk Utility generează /usr/bin/emacs setuid. După ce instrumentul Reparară permisiunile a fost rulat, un utilizator local poate folosi emacs pentru a rula comenzi cu privilegii de sistem. Această actualizare soluționează problema prin corectarea permisiunilor aplicate la emacs în instrumentul Repară permisiunile. Această problemă nu afectează sistemele care rulează Mac OS X v10.5 și versiuni ulterioare. Îi mulțumim lui Anton Rang și Brian Timares pentru raportarea acestei probleme.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației

    Descriere: există o problemă în decodarea ASN.1 BER a OpenLDAP. Procesarea unui mesaj LDAP creat cu rea intenție poate declanșa o afirmație și poate duce la o închidere neașteptată a aplicației a OpenLDAP daemon, slapd. Această actualizare soluționează problema efectuând o validare suplimentară a mesajelor LDAP.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: un atacator de la distanță poate provoca o închidere neașteptată a aplicației sau executarea de cod arbitrar

    Descriere: există o problemă de verificare a intervalului în funcția utilitar SSL_get_shared_ciphers() din OpenSSL. Într-o aplicație care utilizează această funcție, procesarea pachetelor create cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Disponibilitate pentru: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: vulnerabilități multiple în PHP 5.2.5

    Descriere: PHP este actualizat la versiunea 5.2.6 pentru a aborda mai multe vulnerabilități, cele mai grave dintre acestea putând duce la execuția de cod arbitrar. Informații suplimentare sunt disponibile pe site-ul web PHP la http://www.php.net/ Versiunea PHP 5.2.x este disponibilă doar pentru sistemele Mac OS X v10.5.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: descărcarea unui fișier Microsoft Office creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar

    Descriere: există mai multe probleme de corupție a memoriei în gestionarea de către QuickLook a fișierelor Microsoft Office. vizualizarea unui fișier Microsoft Office creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele anterioare față de Mac OS X v10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Impact: fișierele din afara rădăcinii modulului pot fi accesate sau suprascrise de la distanță

    Descriere: există probleme de validare a căii în gestionarea de către rsync a legăturilor simbolice atunci când rulează în modul daemon. Plasarea de linkuri simbolice într-un modul rsync poate permite accesarea sau suprascrierea fișierelor din afara rădăcinii modulului. Această actualizare soluționează problema prin gestionarea îmbunătățită a linkurilor simbolice. Informații suplimentare despre patch-urile aplicate sunt disponibile pe site-ul web rsync la http://rsync.samba.org/

Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Te rugăm să contactezi furnizorul pentru informații suplimentare.

Data publicării: