Despre conținutul de securitate din Actualizarea de securitate 2009-001
Acest document descrie Actualizarea de securitate 2009-001, care poate fi descărcată și instalată prin intermediul preferințelor Actualizare software sau din Descărcări Apple.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizările de securitate Apple.”
Actualizarea de securitate 2009-001
AFP Server
CVE-ID: CVE-2009-0142
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: un utilizator cu posibilitate de conectare la serverul AFP ar putea să declanșeze o respingere a serviciului
Descriere: o stare de flux rapid în serverul AFP poate determina o buclă infinită. Enumerarea de fișiere pe un server AFP poate determina o respingere a serviciului. Această actualizare rezolvă problema prin îmbunătățirea logicii de enumerare a fișierelor. Această problemă afectează doar sisteme pe care rulează Mac OS X v10.5.6.
Apple Pixlet Video
CVE-ID: CVE-2009-0009
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: deschiderea unui fișier video creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o problemă de corupere a memoriei la tratarea fișierelor video utilizând codecul Pixlet. Deschiderea unui fișier film creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Rezolvare: Apple.
CarbonCore
CVE-ID: CVE-2009-0020
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: deschiderea unui fișier cu o ramură de resurse creată cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o problemă de corupere a memoriei în tratarea de către Resource Manager a ramurilor de resurse. Deschiderea unui fișier cu o ramură de resurse creată cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea validării ramurilor de resurse. Rezolvare: Apple.
CFNetwork
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: restabilește funcționarea corespunzătoare a cookie-urilor cu valoare nulă a timpilor de expirare
Descriere: această actualizare rezolvă o regresie nelegată de securitate, introdusă în Mac OS X 10.5.6. Este posibil să existe cookie-uri nedeterminate corect dacă un site web încearcă să determine un cookie de sesiune prin introducerea unei valori nule în câmpul „expires” (expiră), în loc să omită câmpul respectiv. Această actualizare rezolvă problema prin ignorarea câmpului „expires” (expiră) dacă acesta are o valoare nulă.
CFNetwork
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: restabilește funcționarea corespunzătoare a cookie-urilor de sesiune în aplicații
Descriere: această actualizare rezolvă o regresie nelegată de securitate, introdusă în Mac OS X 10.5.6. Este posibil ca CFNetwork să nu salveze cookie-uri pe disc dacă mai multe aplicații deschise încearcă să determine cookie-uri de sesiune. Această actualizare rezolvă problema prin asigurarea faptului că fiecare aplicație își stochează cookie-urile de sesiune separat.
Certificate Assistant
CVE-ID: CVE-2009-0011
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: un utilizator local ar putea manipula fișiere, având privilegiile unui alt utilizator care rulează Certificate Assistant
Descriere: există o operare a fișierelor în condiții de insecuritate la tratarea de către Certificate Assistant a fișierelor temporare. Acest lucru i-ar putea permite unui utilizator local să suprascrie fișiere, având privilegiile unui alt utilizator care rulează Certificate Assistant. Această actualizare rezolvă problema prin îmbunătățirea tratării fișierelor temporare. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Mulțumiri: Apple.
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
Disponibilitate pentru: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impact: multiple vulnerabilități în ClamAV 0.94
Descriere: există multiple vulnerabilități în ClamAV 0.94, dintre care cele mai grave pot determina executarea unui cod arbitrar. Această actualizare rezolvă problemele prin actualizarea ClamAV la versiunea 0.94.2. ClamAV este distribuit doar cu sistemele Mac OS X Server. Informații suplimentare sunt disponibile pe site-ul web al ClamAV, la adresa http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: vizualizarea unui conținut Unicode creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: ar putea să apară o depășire a zonei de memorie tampon la prelucrarea șirurilor Unicode în CoreText. Utilizarea CoreText pentru a trata șirurile Unicode concepute cu rea intenție, cum ar fi atunci când se vizualizează o pagină web concepută cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Îi mulțumim lui Rosyna (Unsanity) pentru semnalarea acestei probleme.
CUPS
CVE-ID: CVE-2008-5183
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: accesarea unui site web creat cu rea intenție poate determina închiderea neașteptată a aplicației
Descriere: depășirea numărului maxim de abonări RSS determină o anulare a referinței la indicatorul nul în interfața web a CUPS. Aceasta poate determina închiderea neașteptată a aplicației atunci când se vizitează un site web creat cu rea intenție. Pentru a declanșa această problemă, acreditările valabile ale unui utilizator sunt fie cunoscute de către atacator, fie incluse în module cache din browserul web al utilizatorului. CUPS va reporni automat după declanșarea acestei probleme. Această actualizare rezolvă problema prin tratarea corespunzătoare a numărului de abonări RSS. Această problemă nu afectează sistemele anterioare față de Mac OS X v10.5.
DS Tools
CVE-ID: CVE-2009-0013
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: Parolele furnizate către dscl sunt expuse altor utilizatori locali
Descriere: instrumentul de comenzi dscl a solicitat ca parolele să îi fie transferate în argumentele sale, existând posibilitatea expunerii parolelor altor utilizatori locali. Parolele expuse le includ pe cele ale utilizatorilor și administratorilor. Această actualizare face ca parametrul parolă să fie opțional și, dacă este necesar, dscl va solicita parola. Rezolvare: Apple.
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: multiple vulnerabilități în fetchmail 6.3.8
Descriere: există multiple vulnerabilități în fetchmail 6.3.8, dintre care cele mai grave pot determina o respingere a serviciului. Această actualizare rezolvă problemele prin actualizarea la versiunea 6.3.9. Informații suplimentare sunt disponibile pe site-ul web al fetchmail, la adresa http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: alți utilizatori locali ar putea accesa dosarul Descărcări
Descriere: în Folder Manager există o problemă legată de permisiuni implicite. Atunci când un utilizator șterge dosarul Descărcări, iar Folder Manager îl recreează, dosarul este recreat cu permisiuni de citire pentru toți. Această actualizare rezolvă problema prin determinarea Folder Manager să limiteze permisiunile, astfel încât dosarul să fie accesibil doar pentru utilizator. Această problemă afectează doar aplicațiile care folosesc Folder Manager. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Îi mulțumim lui Graham Perrin (CENTRIM), University of Brighton, pentru semnalarea acestei probleme.
FSEvents
CVE-ID: CVE-2009-0015
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: utilizând cadrul FSEvents, un utilizator local ar putea să vadă activitatea filesystem, care, în alte condiții, nu ar fi fost disponibilă
Descriere: în fseventsd există o problemă de gestionare a acreditărilor. Utilizând cadrul FSEvents, un utilizator local ar putea să vadă activitatea filesystem, care, în alte condiții, nu ar fi fost disponibilă. Aici se include numele unui director pe care utilizatorul nu ar fi putut să îl vadă în alte condiții, precum și detectarea activității în director la un moment dat. Această actualizare rezolvă problema prin îmbunătățirea validării acreditărilor în fseventsd. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Îi mulțumim lui Mark Dalrymple pentru semnalarea acestei probleme.
Network Time
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: configurarea serviciului Network Time a fost actualizată
Descriere: ca o măsură de securitate proactivă, această actualizare schimbă configurarea implicită pentru serviciul Network Time. Informațiile despre timpul și versiunea sistemului nu vor mai fi disponibile în configurarea ntpd implicită. Pe sistemele Mac OS X v10.4.11, noua configurare devine valabilă după repornirea sistemului, atunci când este activat serviciul Network Time.
perl
CVE-ID: CVE-2008-1927
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: utilizarea de expresii regulate care conțin caractere UTF-8 poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o problemă de corupere a memoriei la tratarea anumitor caractere UTF-8 din expresii regulate. Analizarea unor expresii regulate create cu rea intenție poate determina închiderea neașteptată aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema printr-o validare suplimentară a expresiilor regulate.
Printing
CVE-ID: CVE-2009-0017
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: un utilizator local ar putea obține privilegii la nivel de sistem
Descriere: există o problemă de tratare a erorii în csregprinter, ceea ce poate determina o depășire a zonei de memorie tampon. Aceasta i-ar putea permite unui utilizator local să obțină privilegii la nivel de sistem. Această actualizare rezolvă problema prin îmbunătățirea tratării erorilor. Îi mulțumim lui Lars Haulin pentru semnalarea acestei probleme.
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: multiple vulnerabilități în python
Descriere: în python există multiple vulnerabilități, dintre care cele mai grave ar putea determina executarea unui cod arbitrar. Această actualizare rezolvă problemele prin aplicarea de corecții din proiectul python.
Evenimente Apple de la distanță
CVE-ID: CVE-2009-0018
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: trimiterea de evenimente Apple de la distanță poate determina divulgarea de informații sensibile
Descriere: în serverul de evenimente Apple de la distanță există o problemă de memorie tampon neinițializată, ceea ce poate determina divulgarea conținutului din memorie către clienții din rețea. Această actualizare rezolvă problema prin inițializarea corespunzătoare a memoriei. Rezolvare: Apple.
Evenimente Apple de la distanță
CVE-ID: CVE-2009-0019
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: activarea serviciului Evenimente Apple de la distanță ar putea determina închiderea neașteptată a aplicației sau divulgarea de informații sensibile
Descriere: în serviciul de Evenimente Apple de la distanță există o problemă de accesare a memoriei în afara limitelor. Activarea serviciului Evenimente Apple de la distanță poate determina închiderea neașteptată a aplicației sau divulgarea de informații sensibile către clienții din rețea. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Rezolvare: Apple.
Safari RSS
CVE-ID: CVE-2009-0137
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: accesarea unui URL feed: creat cu rea intenție poate determina executarea unui cod arbitrar
Descriere: există multiple probleme de validare a datelor de intrare în tratarea de către Safari a URL-urilor feed:. Problemele permit executarea codului arbitrar JavaScript în zona de securitate locală. Această actualizare rezolvă problemele prin îmbunătățirea tratării codurilor JavaScript integrate în URL-urile „feed:”. Îi mulțumim lui Clint Ruoho (Laconic Security), lui Billy Rios (Microsoft) și lui Brian Mastenbrook pentru semnalarea acestor probleme.
servermgrd
CVE-ID: CVE-2009-0138
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: atacatori de la distanță ar putea să acceseze Server Manager fără acreditări valabile
Descriere: o problemă legată de validarea de către Server Manager a acreditărilor de autentificare i-ar putea permite unui atacator de la distanță să modifice configurarea sistemului. Această actualizare rezolvă problema prin validarea suplimentară a acreditărilor de autentificare. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Mulțumiri: Apple.
SMB
CVE-ID: CVE-2009-0139
Disponibilitate pentru: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: conectarea la un sistem de fișiere SMB creat cu rea intenție poate determina oprirea neașteptată a sistemului sau executarea unui cod arbitrar cu privilegii la nivel de sistem
Descriere: o depășire superioară a numărului întreg în sistemul de fișiere SMB poate determina o depășire a zonei de memorie tampon. Conectarea la un sistem de fișiere SMB creat cu rea intenție poate determina oprirea neașteptată a sistemului sau executarea unui cod arbitrar cu privilegii la nivel de sistem. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5. Mulțumiri: Apple.
SMB
CVE-ID: CVE-2009-0140
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: conectarea la un server de fișiere SMB creat cu rea intenție poate determina oprirea neașteptată a sistemului
Descriere: există o problemă de epuizare a memoriei la tratarea de către sistemul de fișiere SMB a numelor din sistemul de fișiere. Conectarea la un server de fișiere SMB creat cu rea intenție poate determina oprirea neașteptată a sistemului. Această actualizare rezolvă problema prin limitarea cantității de memorie alocată de către client pentru numele din sistemul de fișiere. Rezolvare: Apple.
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
Disponibilitate pentru: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impact: multiple vulnerabilități în SquirrelMail
Descriere: SquirrelMail este actualizat la versiunea 1.4.17 pentru a rezolva mai multe vulnerabilități, dintre care cea mai gravă problemă este scriptarea între site-uri. Informații suplimentare sunt disponibile pe site-ul SquirrelMail la http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: multiple vulnerabilități în serverul X11
Descriere: în serverul X11 există multiple vulnerabilități. Cea mai gravă dintre acestea poate determina executarea unui cod arbitrar cu privilegiile utilizatorului care operează serverul X11 dacă atacatorul se poate autentifica pe serverul X11. Această actualizare rezolvă problemele prin aplicarea corecțiilor X.Org actualizate. Informații suplimentare sunt disponibile pe site-ul web al X.Org, la adresa http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impact: multiple vulnerabilități în FreeType v2.1.4
Descriere: în FreeType v2.1.4 există multiple vulnerabilități, dintre care cele mai grave pot determina executarea unui cod arbitrar atunci când se prelucrează un font creat cu rea intenție. Această actualizare rezolvă problemele prin încorporarea remedierilor de securitate din versiunea 2.3.6 a FreeType. Informații suplimentare sunt disponibile pe site-ul FreeType, la adresa http://www.freetype.org/ Problemele sunt deja rezolvate în sistemele pe care rulează Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Impact: multiple vulnerabilități în LibX11
Descriere: în LibX11 există multiple vulnerabilități, dintre care cele mai grave pot determina executarea unui cod arbitrar atunci când se prelucrează un font creat cu rea intenție. Această actualizare rezolvă problemele prin aplicarea corecțiilor X.Org actualizate. Informații suplimentare sunt disponibile pe site-ul web al X.Org, la adresa http://www.x.org/wiki/Development/Security Aceste probleme nu afectează sistemele pe care rulează Mac OS X v10.5 sau versiuni ulterioare.
XTerm
CVE-ID: CVE-2009-0141
Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Impact: un utilizator local ar putea trimite informații direct în Xterm al altui utilizator
descriere: în Xterm există o problemă legată de permisiune. Atunci când este utilizat cu luit, Xterm creează dispozitive tty accesibile tuturor. Această actualizare rezolvă problema prin determinarea Xterm să limiteze permisiunile, astfel încât dispozitivele tty să fie accesibile doar utilizatorului.
Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Pentru informații suplimentare, contactează furnizorul.