Despre actualizarea de securitate 2010-001
Acest document descrie actualizarea de securitate 2010-001, care poate fi descărcată și instalată din preferințele Actualizare software sau din Descărcări Apple.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizările de securitate Apple”.
Actualizarea de securitate 2010-001
CoreAudio
CVE-ID: CVE-2010-0036
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Impact: redarea unui fișier audio mp4 creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o depășire a memoriei tampon în tratarea fișierelor audio mp4. Redarea unui fișier audio mp4 creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Îi mulțumim lui Tobias Klein (trapkit.de) pentru semnalarea acestei probleme.
CUPS
CVE-ID: CVE-2009-3553
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Impact: un atacator de la distanță poate cauza închiderea neașteptată a aplicației în cupsd
Descriere: o problemă de corupere a memoriei există în cupsd. Prin emiterea unei solicitări de imprimare, un atacator poate cauza o respingere de la distanță a serviciului. Acest lucru este atenuat prin repornirea automată a cupsd după închiderea acestuia. Această problemă a fost rezolvată prin îmbunătățirea urmăririi utilizării conexiunii.
Flash Player plug-in
CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Impact: multiple vulnerabilități în plug-inul Adobe Flash Player
Descriere: există probleme multiple cu plug-inul Adobe Flash Player, dintre care cele mai grave pot determina executarea unui cod arbitrar atunci când se vizualizează un site web creat cu rea intenție. Problemele sunt rezolvate prin actualizarea plug-inului Flash Player la versiunea 10.0.42. Informații suplimentare sunt disponibile pe site-ul web al Adobe, la adresa http://www.adobe.com/support/security/bulletins/apsb09-19.htmlÎi mulțumim unui cercetător anonim și lui Damian Put în colaborare cu TippingPoints Zero Day Initiative, lui Bing Liu din echipa de cercetare în domeniul securității globale FortiGuard din cadrul Fortinet, lui Will Dormann (CERT), lui Manuel Caballero and Microsoft Vulnerability Research (MSVR).
ImageIO
CVE-ID: CVE-2009-2285
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impact: vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o depășire inferioară a memoriei tampon în tratarea de către ImageIO a imaginilor TIFF. Vizualizarea unei imagini TIFF create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Pentru sistemele cu Mac OS X v10.6, această problemă a fost rezolvată în Mac OS X v10.6.2.
Image RAW
CVE-ID: CVE-2010-0037
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Impact: vizualizarea unei imagini DNG create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: există o depășire a memoriei tampon în tratarea de către Image RAW a imaginilor DNG. Vizualizarea unei imagini DNG create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Îi mulțumim lui Chris Ries (Carnegie Mellon University Computing Services) pentru semnalarea acestei probleme.
OpenSSL
CVE-ID: CVE-2009-3555
Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2
Impact: un atacator cu o poziție privilegiată în rețea poate captura date sau modifica operațiuni efectuate în sesiuni protejate de SSL
Descriere: o vulnerabilitate intermediară există în protocoalele SSL și TLS. Informații suplimentare sunt disponibile la adresa http://www.phonefactor.com/sslgap O modificare a protocolului de renegociere este în curs în cadrul IETF. Această actualizare dezactivează renegocierea în OpenSSL ca o măsură de securitate preventivă. Problema nu afectează serviciile care utilizează Secure Transport, deoarece acesta nu acceptă renegocierea. Îi mulțumim lui Steve Dispensa și lui Marsh Ray (PhoneFactor, Inc.) pentru raportarea acestei probleme.
Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Pentru informații suplimentare, contactează furnizorul.