Despre Actualizarea de securitate 2010-005

Acest document descrie Actualizarea de securitate 2010-005.

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.

Pentru informații despre cheia PGP pentru securitatea produselor Apple, accesează „Utilizarea cheii PGP pentru securitatea produselor Apple”.

Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.

Pentru a afla mai multe despre alte actualizări de securitate, accesează „Actualizări de securitate Apple”.

Actualizarea de securitate 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: vizualizarea sau descărcarea unui document care conține un font integrat creat cu rea intenție poate cauza executarea de cod arbitrar

    Descriere: există o depășire a tamponului de stivă la tratarea fonturilor încorporate de către Apple Type Services. Vizualizarea sau descărcarea unui document care conține fonturi integrate, create cu rea intenție, poate determina executarea unui cod arbitrar. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Disponibilitate pentru: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: un atacator cu o poziție privilegiată în rețea poate intercepta acreditările utilizatorilor sau alte informații sensibile.

    Descriere: CFNetwork permite conexiuni TLS/SSL anonime. Astfel, un atacator care utilizează atacuri de tip „man-in-the-middle” poate să redirecționeze conexiunile și să intercepteze datele de autentificare ale utilizatorilor sau alte informații confidențiale. Această problemă nu afectează aplicația Mail. Această problemă este rezolvată prin dezactivarea conexiunilor TLS/SSL anonime. Această problemă nu afectează sistemele anterioare Mac OS X v10.6.3. Mulțumim lui Aaron Sigel (vtty.com), lui Jean-Luc Giraud (Citrix), lui Tomas Bjurman (Sirius IT) și lui Wan-Teh Chang (Google, Inc.) pentru raportarea acestei probleme.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Disponibilitate pentru: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Impact: vulnerabilități multiple în ClamAV

    Descriere: există vulnerabilități multiple în ClamAV, cea mai gravă putând cauza executarea de cod arbitrar. Această actualizare rezolvă problemele prin actualizarea ClamAV la versiunea 0.96.1. ClamAV este distribuit doar cu sistemele Mac OS X Server. Informații suplimentare sunt disponibile pe site-ul web al ClamAV, la adresa http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: deschiderea unui fișier PDF creat cu rea intenție poate cauza o închidere neașteptată a aplicației sau executarea de cod arbitrar.

    Descriere: există o depășire de zonă de memorie tampon la tratarea fișierelor PDF de către CoreGraphics. deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor. Mulțumim lui Rodrigo Rubira Branco (Check Point Vulnerability Discovery Team (VDT)) pentru raportarea acestei probleme.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: un atacator aflat într-o poziție privilegiată în rețea care poate obține un nume de domeniu care diferă doar prin ultimele caractere de numele unui domeniu legitim poate să se dea drept gazdă în acel domeniu.

    Descriere: există o problemă la tratarea numelor de gazdă ale certificatelor. Pentru numele de gazdă care conțin trei sau mai multe componente, ultimele caractere nu sunt comparate în mod corespunzător. În cazul unui nume care conține exact trei componente, numai ultimul caracter nu este verificat. De exemplu, dacă un atacator aflat într-o poziție privilegiată în rețea ar putea obține un certificat pentru www.example.con, atacatorul ar putea să se dea drept www.example.com. Această problemă este rezolvată prin îmbunătățirea trtaării numelor de gazdă ale certificatelor. Mulțumim lui Peter Speck pentru raportarea acestei probleme.

  • PHP

    CVE-ID: CVE-2010-1205

    Disponibilitate pentru: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: încărcarea unei imagini PNG create cu rea intenție poate cauza o închidere neașteptată a aplicației sau la executarea de cod arbitrar

    Descriere: există o depășire de tampon în biblioteca libpng din PHP. Încărcarea unei imagini PNG create cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea de cod arbitrar. Această problemă este rezolvată prin actualizarea libpng din PHP la versiunea 1.4.3. Această problemă nu afectează sistemele anterioare Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Disponibilitate pentru: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: vulnerabilități multiple în PHP 5.3.1

    Descriere: PHP este actualizat la versiunea 5.3.2 pentru a rezolva mai multe vulnerabilități, dintre care cea mai gravă poate cauza executarea de cod arbitrar. Informații suplimentare sunt disponibile pe site-ul web al PHP, la adresa http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Disponibilitate pentru: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Impact: UN atacator neautentificat AFLAT la distanță poate cauza o refuzare a serviciului (DoS) sau executarea de cod arbitrar.

    Descrere: există o depășire de tampon în Samba. Un atacator neautentificat aflat la distanță poate cauza o refuzare a serviciului (DoS) sau executarea de cod arbitrar prin trimiterea unui pachet creat cu rea intenție. Această problemă este rezolvată prin efectuarea unei validări suplimentare a pachetelor în Samba.

Important: menționarea site-urilor web și produselor terțe are doar scop informativ și nu constituie o aprobare sau o recomandare. Apple nu își asumă nicio responsabilitate cu privire la selectarea, performanța sau utilizarea informațiilor sau produselor găsite pe site-urile web ale unor terțe părți. Apple oferă aceste informații doar în scopul de a ajuta utilizatorii. Apple nu a testat informațiile găsite pe aceste site-uri și nu face nicio declarație cu privire la acuratețea sau fiabilitatea acestora. Există riscuri inerente utilizării oricăror informații sau produse găsite pe internet, iar Apple nu își asumă nicio responsabilitate în acest sens. Reține că un site terț este independent de Apple și că Apple nu are niciun control asupra conținutului de pe site-ul respectiv. Pentru informații suplimentare, contactează furnizorul.

Data publicării: