Проблемы системы безопасности, устраняемые обновлением Mac OS X 10.4.7

В этом документе описываются проблемы системы безопасности, устраняемые обновлением Mac OS X 10.4.7, которое можно загрузить и установить с помощью раздела Обновление ПО или страницы Загрузки на сайте Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Для получения дополнительных сведений об обеспечении безопасности продуктов Apple перейдите на страницу Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Обновление Mac OS X 10.4.7

• AFP

  CVE-ID: CVE-2006-1468

  Целевые продукты: Mac OS X 10.4.6, Mac OS X Server 10.4.6

  Воздействие. Имена файлов и папок могут быть раскрыты неавторизованным пользователям.

  Описание. Проблема на сервере AFP позволяет включать в результаты поиска имена файлов и папок, для просмотра которых у пользователя, выполняющего поиск, нет прав доступа. Это может приводить к раскрытию информации в случае, если имена файлов и папок сами по себе являются конфиденциальной информацией. В этом обновлении проблема устранена за счет того, что теперь результаты поиска могут включать только те элементы, для просмотра которых у пользователя достаточно прав. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4.

• ClamAV

  CVE-ID: CVE-2006-1989

  Целевые продукты: Mac OS X Server 10.4.6

  Воздействие. Если настроено автоматическое обновление ПО для сканирования системы на наличие вирусов, вредоносное зеркало базы данных может вызывать выполнение произвольного кода.

  Описание. Проблема с автоматическим обновлением базы данных вирусов в ClamAV может приводить к переполнению буфера на основе стека. Вредоносное или подмененное зеркало базы данных ClamAV может вызывать выполнение произвольного кода с разрешениями ClamAV. Служба Почты, сканирование системы на вирусы и автоматическое обновление базы данных вирусов выключены по умолчанию. В этом обновлении проблема устранена за счет внедрения ClamAV 0.88.2. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4.

• ImageIO

  CVE-ID: CVE-2006-1469

  Целевые продукты: Mac OS X 10.4.6, Mac OS X Server 10.4.6

  Воздействие. Просмотр вредоносного изображения в формате TIFF может вызывать неожиданный сбой в работе приложения или выполнение произвольного кода.

  Описание. В результате тщательной подготовки поврежденного изображения в формате TIFF злоумышленник может спровоцировать переполнение буфера на основе стека, что в свою очередь может привести к неожиданному сбою в работе приложения или выполнению произвольного кода. В этом обновлении проблема устранена за счет выполнения дополнительной проверки изображений в формате TIFF. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4.

• launchd

  CVE-ID: CVE-2006-1471

  Целевые продукты: Mac OS X 10.4.6, Mac OS X Server 10.4.6

  Воздействие. Локальные пользователи могут получать расширенные права.

  Описание. Из-за уязвимости строки формата в setuid-программе launchd неавторизованный локальный пользователь может выполнять произвольный код с системными правами. Данная проблема возникает в средстве ведения журнала launchd. В этом обновлении проблема устранена за счет выполнения дополнительной проверки при внесении записей о сообщениях в журнал. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4. Выражаем благодарность Kevin Finisterre из DigitalMunition за сообщение об этой проблеме.

• OpenLDAP

  CVE-ID: CVE-2006-1470

  Целевые продукты: Mac OS X 10.4.6, Mac OS X Server 10.4.6

  Воздействие. Удаленные злоумышленники могут вызвать неожиданный сбой в работе сервера Open Directory.

  Описание. В результате тщательной подготовки недействительного LDAP-запроса удаленный злоумышленник может спровоцировать генерацию утверждения на сервере OpenLDAP, что приведет к отказу в обслуживании. В этом обновлении проблема устранена за счет отклонения недействительных запросов. Эта проблема не возникает в операционных системах, предшествующих Mac OS X 10.4. Выражаем благодарность команде исследователей Mu Security за сообщение об этой проблеме.