Acest articol a fost arhivat şi nu mai este actualizat de Apple.

Despre Actualizarea de securitate 2008-007

Acest document descrie Actualizarea de securitate 2008-007, care poate fi descărcată și instalată prin intermediul preferințelor Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizările de securitate Apple”.

Actualizarea de securitate 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: vulnerabilități multiple în Apache 2.2.8

    • Descriere: Apache este actualizat la versiunea 2.2.9 pentru a rezolva mai multe vulnerabilități, dintre care cele mai grave pot duce la falsificarea solicitărilor între site-uri. Apache versiunea 2 nu este inclus în sistemele Mac OS X Client înainte de versiunea 10.5. Apache versiunea 2 este inclus în sistemele Mac OS X Server v10.4.x, însă nu este activ în mod implicit. Informații suplimentare sunt disponibile prin intermediul site-ului web Apache la adresa http://httpd.apache.org/

  • Certificates

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: certificatele rădăcină au fost actualizate

    • Descriere: mai multe certificate de încredere au fost adăugate la lista rădăcinilor sistemului. Mai multe certificate existente au fost actualizate la cea mai recentă versiune a acestora. Lista completă a rădăcinilor de sistem recunoscute poate fi vizualizată prin intermediul aplicației Keychain Access.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Disponibilitate pentru: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impact: vulnerabilități multiple în ClamAV 0.93.3

    • Descriere: există mai multe vulnerabilități în ClamAV 0.93.3, dintre care cea mai gravă poate cauza executarea de cod arbitrar. Această actualizare rezolvă problemele prin actualizarea la ClamAV 0.94. ClamAV nu este inclus în sistemele Mac OS X Client. Informații suplimentare sunt disponibile pe site-ul web al ClamAV, la adresa http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: vizualizarea unei imagini create cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar

    • Descriere: există o depășire de tampon de memorie la tratarea imaginilor cu un profil ICC încorporat. Deschiderea unei imagini cu profil ICC integrat, creată cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. În această actualizare, problema este rezolvată prin validarea suplimentară a profilurilor ICC din imagini. Rezolvare: Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: un atacator de la distanță poate fi capabil să provoace executarea de cod arbitrar cu privilegiile utilizatorului „lp”

    • Descriere: există o problemă de verificare a intervalului în filtrul Hewlett-Packard Graphics Language (HPGL), care poate cauza suprascrierea memoriei arbitrare cu date controlate. Dacă funcția de partajare a imprimantei este activată, un atacator de la distanță poate provoca executarea de cod arbitrar cu privilegiile utilizatorului „lp”. Dacă funcția de partajare a imprimantei nu este activată, este posibil ca un utilizator local să poată obține privilegii ridicate. Această actualizare soluționează problema prin efectuarea unei verificări suplimentare a limitelor. Îi mulțumim lui regenrecht, în colaborare cu TippingPoint's Zero Day Initiative, pentru raportarea acestei probleme.

  • Finder

    • CVE-ID: CVE-2008-3643

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Impact: un fișier de pe desktop poate duce la o refuzare a serviciului (DoS)

    • Descriere: există o problemă de recuperare după erori în Finder. Un fișier creat cu rea intenție pe desktop, care determină Finder să se închidă în mod neașteptat atunci când își generează pictograma, va determina Finder să se închidă și să repornească în mod continuu. Până când fișierul nu este eliminat, contul de utilizator nu este accesibil prin interfața de utilizare a aplicației Finder. Această actualizare rezolvă această problemă prin generarea pictogramelor într-un proces separat. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Îi mulțumim lui Sergio 'shadown' Alvarez (n.runs AG) pentru raportarea acestei probleme.

  • launchd

    • Impact: este posibil ca aplicațiile să nu reușească să intre într-un sandbox atunci când sunt solicitate

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Descriere: această actualizare rezolvă o problemă introdusă în Mac OS X v10.5.5. O problemă de implementare în launchd poate cauza eșecul solicitării unei aplicații de a intra într-un sandbox. Această problemă nu afectează programele care utilizează API-ul sandbox_init documentat. Această actualizare rezolvă această problemă prin furnizarea unei versiuni actualizate a launchd. Această problemă nu afectează sistemele anterioare Mac OS X v10.5.5.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: procesarea unui document XML poate cauza o închidere neașteptată a aplicației sau executarea de cod arbitrar

      Descriere: există o problemă de corupere a zonei de memorie tampon în biblioteca libxslt. Vizualizarea unei pagini HTML creată cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Informații suplimentare despre corecția aplicată sunt disponibile prin intermediul http://xmlsoft.org/XSLT/ Le mulțumim lui Anthony de Almeida Lopes (Outpost24 AB) și lui Chris Evans (Google Security Team) pentru raportarea acestei probleme.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Disponibilitate pentru: Mac OS X Server v10.5.5

      Impact: vulnerabilități multiple în MySQL 5.0.45

    • Descriere: MySQL este actualizat la versiunea 5.0.67 pentru a rezolva mai multe vulnerabilități, dintre care cele mai grave pot duce la scriptare între site-uri. Aceste probleme afectează doar sistemele Mac OS X Server. Informații suplimentare sunt disponibile prin intermediul site-ului web al MySQL la http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: un utilizator local poate obține privilegii de sistem

    • Descriere: există o depășire a zonei de memorie tampon în componenta IPC locală a plug-inului EAPOLController din configd, care poate permite unui utilizator local să obțină privilegii de sistem. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Rezolvare: Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Impact: vulnerabilități multiple în PHP 4.4.8

    • Descriere: PHP este actualizat la versiunea 4.4.9 pentru a rezolva mai multe vulnerabilități, dintre care cele mai grave pot duce la scriptare între site-uri. Informații suplimentare sunt disponibile prin intermediul site-ului web PHP la http://www.php.net/ Aceste probleme afectează numai sistemele care rulează Mac OS X v10.4.x, Mac OS X Server v10.4.x sau Mac OS X Server v10.5.x.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • Disponibilitate pentru: Mac OS X v10.5.5

      Impact: un atacator de la distanță poate fi capabil să trimită mesaje direct către utilizatorii locali

    • Descriere: există o problemă în fișierele de configurare Postfix. Pentru o perioadă de un minut după ce un instrument local de linie de comandă trimite corespondență, Postfix este accesibil din rețea. În acest timp, o entitate de la distanță care se poate conecta la portul SMTP poate trimite mesaje de e-mail către utilizatori locali și poate utiliza protocolul SMTP. Această problemă nu face ca sistemul să fie un releu de e-mail deschis. Această problemă este rezolvată prin modificarea configurației Postfix pentru a preveni conexiunile SMTP de la mașini aflate la distanță. Această problemă nu afectează sistemele anterioare Mac OS X v10.5 și nu afectează Mac OS X Server. Îi mulțumim lui Pelle Johansson pentru semnalarea acestei probleme.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: vizualizarea unui fișier PostScript creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar

    • Descriere: există o depășire de tampon de memorie la tratarea de către PSNormalizer a comentariilor privind casetele de delimitare din fișierele PostScript. Vizualizarea unui fișier PostScript creat cu rea intenție poate duce la o închidere neașteptată a aplicației sau la executarea de cod arbitrar. Această actualizare rezolvă problema efectuând validarea suplimentară a fișierelor PostScript.

    • Rezolvare: Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: descărcarea sau vizualizarea unui fișier Microsoft Excel creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar

    • Descriere: există o problemă de semnare la tratarea coloanelor din fișiere Microsoft Excel de către QuickLook, care poate duce la o accesare a memoriei în afara limitelor. Vizualizarea unui fișier Microsoft Excel creat cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea de cod arbitrar. Această actualizare rezolvă problema printr-o validare suplimentară a fișierelor Microsoft Excel. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Mulțumiri: Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: sistemele care au fost configurate manual pentru a utiliza rlogin și host.equiv pot permite în mod neașteptat loginul rădăcină

    • Descriere:pPagina de manual pentru fișierul de configurare hosts.equiv indică faptul că intrările nu se aplică la rădăcină. Cu toate acestea, o problemă de implementare în rlogind face ca aceste intrări să se aplice și la rădăcină. Această actualizare rezolvă problema prin nepermiterea corectă a serviciului rlogin de la utilizatorul rădăcină dacă sistemul la distanță este în hosts.equiv. Serviciul rlogin nu este activat în mod implicit în Mac OS X și trebuie să fie configurat manual pentru a fi activat. Îi mulțumim lui Ralf Meyer pentru semnalarea acestei probleme.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: un utilizator local poate obține privilegiile unui alt utilizator care utilizează Script Editor

    • Descriere: există o problemă de operare nesigură a fișierelor în aplicația Script Editor la deschiderea dicționarelor de scripturi ale aplicației. Un utilizator local poate face ca dicționarul de scriptare să fie scris pe o cale arbitrară accesibilă utilizatorului care execută aplicația. Această actualizare rezolvă problema prin crearea unui fișier temporar într-o locație securizată. Rezolvare: Apple.

  • Single Sign-On

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: comanda sso_util acceptă acum parole dintr-un fișier

    • Descriere: comanda sso_util acceptă acum parole dintr-un fișier numit în variabila de mediu SSO_PASSWD_PATH. Acest lucru permite scripturilor automate să utilizeze sso_util într-un mod mai securizat.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Disponibilitate pentru: Mac OS X Server v10.5.5

    • Impact: vulnerabilități multiple în Tomcat 6.0.14

    • Descriere: Tomcat din sisteme Mac OS X v10.5 este actualizat la versiunea 6.0.18 pentru a soluționa mai multe vulnerabilități, dintre care cea mai gravă poate duce la un atac de scriptare între site-uri. Aceste probleme afectează doar sistemele Mac OS X Server. Informații suplimentare sunt disponibile pe site-ul Tomcat la http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Disponibilitate pentru: Mac OS X v10.5.5, Mac OS X Server v10.5.5

    • Impact: vulnerabilități multiple în vim 7.0

    • Descriere: există mai multe vulnerabilități în vim 7.0, dintre care cea mai gravă poate duce la executarea de cod arbitrar atunci când se lucrează cu fișiere create cu rea intenție. Această actualizare rezolvă problemele prin actualizarea la vim 7.2.0.22. Informații suplimentare sunt disponibile prin intermediul site-ului web vim la http://www.vim.org/

  • Weblog

    • CVE-ID: CVE-2008-4215

    • Disponibilitate pentru: Mac OS X Server v10.4.11

    • Impact: controlul accesului la postările din webloguri poate să nu fie aplicat

    • Descriere: există o condiție de eroare necontrolată în serverul weblog. Adăugarea unui utilizator cu mai multe nume scurte la lista de control al accesului pentru o postare în weblog poate face ca serverul Weblog să nu aplice controlul accesului. Această problemă a fost rezolvată prin îmbunătățirea modului în care sunt salvate listele de control al accesului. Această problemă afectează numai sistemele care rulează Mac OS X Server v10.4. Rezolvare: Apple.

Data publicării: