Despre actualizarea de securitate 2010-001

Acest document descrie actualizarea de securitate 2010-001, care poate fi descărcată și instalată din preferințele Actualizare software sau din Descărcări Apple.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizările de securitate Apple”.

Actualizarea de securitate 2010-001

• CoreAudio

  CVE-ID: CVE-2010-0036

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: redarea unui fișier audio mp4 creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

  Descriere: există o depășire a memoriei tampon în tratarea fișierelor audio mp4. Redarea unui fișier audio mp4 creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Îi mulțumim lui Tobias Klein (trapkit.de) pentru semnalarea acestei probleme.

• CUPS

  CVE-ID: CVE-2009-3553

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: un atacator de la distanță poate cauza închiderea neașteptată a aplicației în cupsd

  Descriere: o problemă de corupere a memoriei există în cupsd. Prin emiterea unei solicitări de imprimare, un atacator poate cauza o respingere de la distanță a serviciului. Acest lucru este atenuat prin repornirea automată a cupsd după închiderea acestuia. Această problemă a fost rezolvată prin îmbunătățirea urmăririi utilizării conexiunii.

• Flash Player plug-in

  CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: multiple vulnerabilități în plug-inul Adobe Flash Player

  Descriere: există probleme multiple cu plug-inul Adobe Flash Player, dintre care cele mai grave pot determina executarea unui cod arbitrar atunci când se vizualizează un site web creat cu rea intenție. Problemele sunt rezolvate prin actualizarea plug-inului Flash Player la versiunea 10.0.42. Informații suplimentare sunt disponibile pe site-ul web al Adobe, la adresa http://www.adobe.com/support/security/bulletins/apsb09-19.htmlÎi mulțumim unui cercetător anonim și lui Damian Put în colaborare cu TippingPoints Zero Day Initiative, lui Bing Liu din echipa de cercetare în domeniul securității globale FortiGuard din cadrul Fortinet, lui Will Dormann (CERT), lui Manuel Caballero and Microsoft Vulnerability Research (MSVR).

• ImageIO

  CVE-ID: CVE-2009-2285

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

  Descriere: există o depășire inferioară a memoriei tampon în tratarea de către ImageIO a imaginilor TIFF. Vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Pentru sistemele cu Mac OS X v10.6, această problemă a fost rezolvată în Mac OS X v10.6.2.

• Image RAW

  CVE-ID: CVE-2010-0037

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: vizualizarea unei imagini DNG create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

  Descriere: există o depășire a memoriei tampon în tratarea de către Image RAW a imaginilor DNG. Vizualizarea unei imagini DNG create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Îi mulțumim lui Chris Ries (Carnegie Mellon University Computing Services) pentru semnalarea acestei probleme.

• OpenSSL

  CVE-ID: CVE-2009-3555

  Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Impact: un atacator cu o poziție privilegiată în rețea poate captura date sau modifica operațiuni efectuate în sesiuni protejate de SSL

  Descriere: o vulnerabilitate intermediară există în protocoalele SSL și TLS. Informații suplimentare sunt disponibile la adresa http://www.phonefactor.com/sslgap O modificare a protocolului de renegociere este în curs în cadrul IETF. Această actualizare dezactivează renegocierea în OpenSSL ca o măsură de securitate preventivă. Problema nu afectează serviciile care utilizează Secure Transport, deoarece acesta nu acceptă renegocierea. Îi mulțumim lui Steve Dispensa și lui Marsh Ray (PhoneFactor, Inc.) pentru raportarea acestei probleme.