Obsah zabezpečenia v aktualizácii systému Mac OS X 10.4.7
V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii systému Mac OS X 10.4.7, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení funkcie Aktualizácia softvéru alebo zo stránky Súbory na stiahnutie spoločnosti Apple.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Aktualizácia systému Mac OS X 10.4.7
AFP
CVE-ID: CVE-2006-1468
Dostupné pre: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Dopad: Názvy súborov a priečinkov môžu byť sprístupnené neoprávneným používateľom
Popis: Problém na serveri AFP umožňuje, aby výsledky vyhľadávania obsahovali názvy súborov a priečinkov, ku ktorým používateľ vykonávajúci vyhľadávanie nemá prístup. Môže to viesť k sprístupneniu informácií, ak samotné názvy predstavujú citlivé informácie. Táto aktualizácia rieši tento problém zabezpečením, aby výsledky vyhľadávania obsahovali iba tie položky, pre ktoré má používateľ oprávnenie. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1989
Dostupné pre: Mac OS X Server 10.4.6
Dopad: Keď je vyhľadávanie vírusov nakonfigurované na automatickú aktualizáciu, škodlivá kópia databázy môže spôsobiť spustenie ľubovoľného kódu
Popis: Problém s automatickou aktualizáciou vírusovej databázy softvéru ClamAV môže mať za následok pretečenie medzipamäte zásobníka. Škodlivá alebo falošná kópia databázy softvéru ClamAV môže spôsobiť spustenie ľubovoľného kódu s oprávneniami softvéru ClamAV. Služba Mail, vyhľadávanie vírusov a automatické aktualizácie vírusovej databázy sú predvolene vypnuté. Táto aktualizácia rieši tento problém začlenením softvéru ClamAV 0.88.2. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.4.
ImageIO
CVE-ID: CVE-2006-1469
Dostupné pre: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k zlyhaniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pomocou špeciálne vytvoreného poškodeného obrázka TIFF môže útočník spôsobiť pretečenie medzipamäte zásobníka, ktoré môže viesť k zlyhaniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním obrázkov TIFF. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.4.
launchd
CVE-ID: CVE-2006-1471
Dostupné pre: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Dopad: Lokálni používatelia môžu získať oprávnenia vyššej úrovne
Popis: Nedostatočne zabezpečený formátovací reťazec vo funkcii launchd programu setuid môže umožniť overenému lokálnemu používateľovi spustiť ľubovoľný kód so systémovými oprávneniami. Tento problém sa vyskytuje v protokolovacej službe funkcie launchd. Táto aktualizácia rieši tento problém dodatočným overovaním pri protokolovaní správ. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.4. Poďakovanie za nahlásenie tohto problému si zaslúži Kevin Finisterre zo spoločnosti DigitalMunition.
OpenLDAP
CVE-ID: CVE-2006-1470
Dostupné pre: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Dopad: Vzdialení útočníci môžu spôsobiť zlyhanie servera Open Directory
Popis: Pomocou špeciálne vytvorenej neplatnej požiadavky LDAP môže byť vzdialený útočník schopný spôsobiť aktiváciu tvrdenia na serveri OpenLDAP, čo má za následok odopretie služby. Táto aktualizácia rieši tento problém ignorovaním neplatnej požiadavky. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.4. Poďakovanie za nahlásenie tohto problému si zaslúži výskumný tím spoločnosti Mu Security.