Despre conținutul de securitate din actualizarea Mac OS X 10.4.7
Acest document descrie conținutul de securitate al actualizării Mac OS X 10.4.7, care poate fi descărcat și instalat utilizând Actualizare software sau din Descărcări Apple.
Pentru protecția clienților săi, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte Actualizări de securitate, consultă „Actualizări de securitate Apple”.
Actualizare Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Disponibilitate pentru: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: numele fișierelor și ale dosarelor pot fi dezvăluite utilizatorilor neautorizați
Descriere: o problemă pe serverul AFP permite rezultatelor căutării să includă numele fișierelor și dosarelor la care utilizatorul care efectuează căutarea nu are acces. Acest lucru ar putea duce la dezvăluirea de informații dacă numele în sine sunt informații confidențiale. Această actualizare soluționează problema asigurându-se că rezultatele căutării includ numai articole pentru care utilizatorul este autorizat. Această problemă nu afectează sistemele anterioare față de Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1989
Disponibilitate pentru: Mac OS X Server v10.4.6
Impact: când scanarea virușilor este configurată să se actualizeze automat, o reproducere a bazei de date create cu rea intenție poate provoca executarea de cod arbitrar
Descriere: o problemă în actualizarea automată a bazei de date viruși a ClamAV poate duce la o depășire a memoriei tampon bazată pe stivă. O reproducere a bazei de date ClamAV creată cu rea intenție sau falsificată poate provoca execuția de cod arbitrar cu privilegiile ClamAV. Serviciul Mail, scanarea virusurilor și actualizările automate ale bazei de date de virusuri sunt dezactivate în mod implicit. Această actualizare soluționează problema prin încorporarea ClamAV 0.88.2. Această problemă nu afectează sistemele anterioare versiunii Mac OS X v10.4
ImageIO
CVE-ID: CVE-2006-1469
Disponibilitate pentru: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: vizualizarea unei imagini TIFF creată cu rea intenție poate duce la o blocare a aplicației sau la executarea de cod arbitrar
Descriere: prin crearea cu atenție a unei imagini TIFF corupte, un atacator poate declanșa o depășire a memoriei tampon bazată pe stivă, care poate duce la o blocare a aplicației sau la executarea de cod arbitrar. Această actualizare soluționează problema efectuând o validare suplimentară a imaginilor TIFF. Această problemă nu afectează sistemele anterioare față de Mac OS X v10.4.
launchd
CVE-ID: CVE-2006-1471
Disponibilitate pentru: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: utilizatorii locali pot obține privilegii mai mari
Descriere: o vulnerabilitate a șirului de format în programul de lansare setuid poate permite unui utilizator local autentificat să execute cod arbitrar cu privilegii de sistem. Problema este prezentă în facilitatea de autentificare a launchd. Această actualizare soluționează problema efectuând o validare suplimentară la înregistrarea mesajelor. Această problemă nu afectează sistemele anterioară versiunii Mac OS X v10.4. Îi mulțumim lui Kevin Finisterre de la DigitalMunition pentru raportarea acestei probleme.
OpenLDAP
CVE-ID: CVE-2006-1470
Disponibilitate pentru: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Impact: atacatorii de la distanță pot cauza blocarea serverului Open Directory
Descriere: prin crearea cu atenție a unei solicitări LDAP nevalide, un atacator aflat la distanță poate fi capabil să declanșeze o afirmație în serverul OpenLDAP, rezultând într-un refuz de serviciu. Această actualizare soluționează problema prin eliminarea cererii nevalide. Această problemă nu afectează sistemele anterioare versiunii Mac OS X v10.4. Îi mulțumim echipei de cercetare Mu Security pentru raportarea acestei probleme.