Acest articol a fost arhivat şi nu mai este actualizat de Apple.

Despre Actualizarea de securitate 2009-005

Acest document descrie Actualizarea de securitate 2009-005.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizările de securitate Apple.”

Actualizarea de securitate 2009-005

  • Alias Manager

    CVE-ID: CVE-2009-2800

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: deschiderea unui fișier alias creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: există o depășire a memoriei tampon la tratarea fișierelor alias. Deschiderea unui fișier alias creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele Mac OS X v10.6. Rezolvare: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-2803

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: deschiderea unui fișier cu o ramură de resurse creată cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: există o problemă de corupere a memoriei la tratarea de către Resource Manager a ramurilor de resurse. Deschiderea unui fișier cu o ramură de resurse creată cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea validării ramurilor de resurse. Această problemă nu afectează sistemele Mac OS X v10.6. Rezolvare: Apple.

  • ClamAV

    CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    Disponibilitate pentru: Mac OS X Server v10.5.8

    Impact: multiple vulnerabilități în ClamAV 0.94.2

    Descriere: în ClamAV 0.94.2 există multiple vulnerabilități, dintre care cele mai grave ar putea duce la executarea unui cod arbitrar. Această actualizare rezolvă problemele prin actualizarea ClamAV la versiunea 0.95.2. ClamAV este distribuit doar cu sistemele Mac OS X Server. Informații suplimentare sunt disponibile pe site-ul web al ClamAV, la adresa http://www.clamav.net/ Aceste probleme nu afectează sistemele Mac OS X v10.6.

  • ColorSync

    CVE-ID: CVE-2009-2804

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: vizualizarea unei imagini cu profil ColorSync integrat, creată cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: există o depășire superioară a numărului întreg la tratarea imaginilor cu profil ColorSync integrat, ceea ce poate duce la o depășire a zonei de memorie tampon. Vizualizarea unei imagini cu profil ColorSync integrat, creată cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema printr-o validare suplimentară a profilurilor ColorSync. Această problemă nu afectează sistemele Mac OS X v10.6. Rezolvare: Apple.

  • CoreGraphics

    CVE-ID: CVE-2009-2805

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: o depășire superioară a numărului întreg în tratarea de către CoreGraphics a fișierelor PDF poate duce la depășirea zonei de memorie tampon. Deschiderea unui fișier PDF care conține un flux JBIG2 creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Îi mulțumim lui Will Dormann de la CERT/CC pentru semnalarea acestei probleme. Această problemă nu afectează sistemele Mac OS X v10.6.

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: accesarea unui site web creat cu rea intenție poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: există o depășire a zonei de memorie tampon în trasarea șirurilor de text lungi. Accesarea unui site web creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod arbitrar. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele Mac OS X v10.6. Îi mulțumim lui Will Drewry (Google Inc.) pentru semnalarea acestei probleme.

  • CUPS

    CVE-ID: CVE-2009-0949

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: un atacator de la distanță poate fi capabil să respingă accesul la serviciul Printer Sharing

    Descriere: în CUPS există o anulare a referinței la indicatorul nul. Prin trimiterea repetată a unor solicitări create cu rea intenție la instrumentul de planificare, un atacator de la distanță ar putea fi capabil să respingă accesul la serviciul Printer Sharing. Această actualizare rezolvă problema prin îmbunătățirea validării solicitărilor la instrumentul de planificare. Această problemă nu afectează sistemele Mac OS X v10.6. Îi mulțumim lui Anibal Sacco, din cadrul CORE IMPACT Exploit Writing Team (EWT) (Core Security Technologies), pentru semnalarea acestei probleme.

  • CUPS

    CVE-ID: CVE-2009-2807

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: un utilizator local fără privilegii ar putea să obțină privilegii la nivel de sistem

    Descriere: în backendul CUPS USB există o depășire a zonei de memorie tampon. Aceasta i-ar putea permite unui utilizator local să obțină privilegii la nivel de sistem. Această actualizare rezolvă problema prin îmbunătățirea verificării limitelor. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5, nici sistemele Mac OS X v10.6.

  • Flash Player plug-in

    CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: multiple vulnerabilități în plug-inul Adobe Flash Player

    Descriere: există probleme multiple cu plug-inul Adobe Flash Player, dintre care cele mai grave pot determina executarea unui cod arbitrar atunci când se vizualizează un site web creat cu rea intenție. Problemele sunt rezolvate prin actualizarea plug-inului Flash Player pe Mac OS v10.5.8, la versiunea 10.0.32.18, și pe sistemele Mac OS X v10.4.11, la versiunea 9.0.246.0. Pentru sistemele Mac OS X v10.6, aceste probleme sunt rezolvate în Mac OS X v10.6.1. Informații suplimentare sunt disponibile pe site-ul web al Adobe, la adresa http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID: CVE-2009-2809

    Disponibilitate pentru: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: vizualizarea unei imagini TIFF codificate PixarFilm, creată cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar

    Descriere: există multiple proleme de corupere a memoriei în tratarea de către ImageIO a imaginilor TIFF codificate PixarFilm. Vizualizarea unei imagini TIFF codificate PixarFilm, creată cu rea intenție, poate determina închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această actualizare rezolvă problema prin validarea suplimentară a imaginilor TIFF codificate PixarFilm. Această problemă nu afectează sistemele Mac OS X v10.6. Rezolvare: Apple.

  • Launch Services

    CVE-ID: CVE-2009-2811

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: este posibil ca, la încercarea de a deschide un conținut nesigur descărcat, să nu apară un avertisment

    Descriere: această actualizare adaugă „.fileloc” la lista sistemului cu tipurile de conținut care vor fi semnalate ca fiind potențial nesigure în anumite situații, cum ar fi atunci când acestea sunt descărcate dintr-un e-mail. Deși aceste tipuri de conținut nu se deschid automat, deschiderea lor manuală ar putea duce la executarea unei sarcini create cu rea intenție. Această actualizare îmbunătățește capacitatea sistemului de a notifica utilizatorii înainte de a trata fișierele „.fileloc”. Această problemă nu afectează sistemele Mac OS X v10.6. Rezolvare: Apple.

  • Launch Services

    CVE-ID: CVE-2009-2812

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: accesarea unui site web creat cu rea intenție poate determina executarea unui cod arbitrar

    Descriere: când se descarcă o aplicație, Launch Services analizează tipurile de documente exportate ale acesteia. O problemă de concepție în tratarea tipurilor de documente exportate poate face ca Launch Services să asocieze o extensie de fișier sigură cu un identificator nesigur de tipul Uniform Type Identifier (UTI). Accesarea unui site web creat cu rea intenție poate duce la deschiderea automată a unui tip de fișier nesigur. Această actualizare rezolvă problema prin îmbunătățirea tratării tipurilor de documente exportate care provin de la aplicații suspecte. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5, nici sistemele Mac OS X v10.6. Rezolvare: Apple.

  • MySQL

    CVE-ID: CVE-2008-2079

    Disponibilitate pentru: Mac OS X Server v10.5.8

    Impact: MySQL este actualizat la versiunea 5.0.82

    Descriere: MySQL este actualizat la versiunea 5.0.82 pentru a rezolva o problemă de implementare care îi permite unui utilizator local să obțină privilegii de nivel înalt. Această problemă afectează doar sistemele Mac OS X Server. Această problemă nu afectează sistemele Mac OS X v10.6. Informații suplimentare sunt disponibile pe site-ul web al MySQL, la adresa http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    Disponibilitate pentru: Mac OS X v10.5, Mac OS X Server v10.5.8

    Impact: multiple vulnerabilități în PHP 5.2.8

    Description: PHP este actualizat la versiunea 5.2.10 pentru a rezolva multiple vulnerabilități, dintre care cele mai grave pot determina executarea unui cod arbitrar. Informații suplimentare sunt disponibile pe site-ul web al PHP, la adresa http://www.php.net/ Aceste probleme nu afectează sistemele Mac OS X v10.6.

  • SMB

    CVE-ID: CVE-2009-2813

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: prin activarea funcției Windows File Sharing, este posibilă partajarea neașteptată de dosare

    Descriere: în Samba există o situație de eroare neverificată. Un utilizator care nu are un director de reședință configurat și se conectează la serviciul Windows File Sharing, va putea accesa conținutul sistemului de fișiere sub rezerva permisiunilor locale asociate sistemului de fișiere. Această actualizare rezolvă problema prin îmbunătățirea tratării erorilor legate de rezolvarea căilor. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5, nici sistemele Mac OS X v10.6. Îi mulțumim lui J. David Hester (LCG Systems National Institutes of Health) pentru semnalarea acestei probleme.

  • Wiki Server

    CVE-ID: CVE-2009-2814

    Disponibilitate pentru: Mac OS X Server v10.5.8

    Impact: un atacator de la distanță poate dobândi acces la conturile de utilizator din Wiki Server

    Descriere: există o problemă de scriptare între site-uri la tratarea de către Wiki Server a solicitărilor de căutare care conțin date codificate altfel decât UTF-8. Aceasta i-ar putea permite unui atacator de la distanță să acceseze serverul Wiki cu acreditările utilizatorului Wiki Server, care efectuează căutarea. Această actualizare rezolvă problema prin configurarea UTF-8 ca set de caractere implicit în răspunsurile HTTP. Această problemă nu afectează sistemele anterioare sistemului Mac OS X v10.5, nici sistemele Mac OS X v10.6. Rezolvare: Apple.

Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Pentru informații suplimentare, contactează furnizorul.

Data publicării: