Obsah zabezpečenia v aktualizácii zabezpečenia 2009-001

V tomto dokumente je opísaná aktualizácia zabezpečenia 2009-001, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo zo stránky Súbory na stiahnutie spoločnosti Apple.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia zabezpečenia 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Používateľ s možnosťou pripojenia k serveru AFP môže byť schopný spôsobiť odmietnutie služby

    Popis: Problém s postupnosťou vykonania procesov na serveri AFP môže viesť k nekonečnému cyklu. Vymenovanie súborov na serveri AFP môže viesť k odmietnutiu služby. Táto aktualizácia rieši tento problém vylepšením logiky vymenovania. Tento problém sa týka iba systémov používajúcich verziu Mac OS X 10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Otvorenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov pomocou kodeku Pixlet dochádza k problému súvisiacemu s poškodením pamäte. Dopad: Otvorenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie patrí spoločnosti Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní sekcií zdrojov súčasťou Resource Manager dochádza k problému súvisiacemu s poškodením pamäte. Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením overovania sekcií zdrojov. Poďakovanie patrí spoločnosti Apple.

  • CFNetwork

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Obnovenie správneho fungovania súborov cookie s hodnotou null pre čas vypršania platnosti

    Popis: Táto aktualizácia rieši regresiu nesúvisiacu so zabezpečením, ktorá bola zavedená v systéme Mac OS X 10.5.6. Súbory cookie nemusia byť správne nastavené, ak sa webová stránka pokúsi nastaviť súbor cookie relácie poskytnutím hodnoty null v poli „expires“ namiesto vynechania tohto poľa. Táto aktualizácia rieši tento problém ignorovaním poľa „expires“, ak má hodnotu null.

  • CFNetwork

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Obnovuje správne fungovanie súborov cookie relácie vo všetkých aplikáciách

    Popis: Táto aktualizácia rieši regresiu nesúvisiacu so zabezpečením, ktorá bola zavedená v systéme Mac OS X 10.5.6. CFNetwork nemusí uložiť súbory cookie na disk, ak sa viacero otvorených aplikácii pokúsi nastaviť súbory cookie relácie. Táto aktualizácia rieši tento problém zabezpečením toho, že každá aplikácia uchováva svoje súbory cookie relácie osobitne.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Lokálny používateľ môže manipulovať so súbormi s oprávneniami iného používateľa, ktorý používa Sprievodcu certifikátmi

    Popis: Pri spracúvaní dočasných súborov Sprievodcom certifikátmi dochádza k nezabezpečenej operácii so súbormi. Lokálnemu používateľovi to mohlo umožniť prepísať súbory s oprávneniami iného používateľa, ktorý používa Sprievodcu certifikátmi. Táto aktualizácia rieši tento problém vylepšením spracovania dočasných súborov. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie patrí spoločnosti Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    Dostupné pre: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6

    Dopad: Viacero nedostatočne zabezpečených miest v softvéri ClamAV 0.94

    Popis: V softvéri ClamAV 0.94 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aktualizáciou softvéru ClamAV na verziu 0.94.2. ClamAV sa distribuuje len so systémami Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke softvéru ClamAV na adrese http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Zobrazenie obsahu s kódovaním Unicode so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní reťazcov s kódovaním Unicode súčasťou CoreText môže dôjsť k pretečeniu medzipamäte haldy. Použitie súčasti CoreText na spracovanie reťazcov s kódovaním Unicode so škodlivým kódom, napríklad pri zobrazení webovej stránky so škodlivým kódom, môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie za nahlásenie tohto problému si zaslúži Rosyna (Unsanity).

  • CUPS

    CVE-ID: CVE-2008-5183

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

    Popis: Prekročenie maximálneho počtu odberov RSS vedie k dereferencii smerníka s hodnotou NULL vo webovom rozhraní CUPS. Môže to viesť k neočakávanému ukončeniu aplikácie pri návšteve webovej stránky so škodlivým kódom. Na spôsobenie tohto problému musí útočník poznať platné prihlasovacie údaje používateľa alebo musia byť tieto prihlasovacie údaje uložené vo vyrovnávacej pamäti webového prehliadača používateľa. Po výskyte tohto problému sa CUPS automaticky reštartuje. Táto aktualizácia rieši tento problém správnym spracovaním počtu odberov RSS. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Heslá odovzdávané nástroju dscl sú vystavené ostatným lokálnym používateľom

    Popis: Nástroj príkazového riadka dscl vyžadoval, aby sa mu v argumentoch odovzdávali heslá, čím ich potenciálne vystavoval ostatným lokálnym používateľom. Medzi vystavené heslá patrili heslá používateľov a správcov. Táto aktualizácia mení parameter hesla na voliteľný. Ak bude nástroj dscl vyžadovať heslo, zobrazí výzvu. Poďakovanie patrí spoločnosti Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Viacero nedostatočne zabezpečených miest v súčasti fetchmail 6.3.8

    Popis: V súčasti fetchmail 6.3.8 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k odmietnutiu služby. Táto aktualizácia rieši tento problém aktualizáciou na verziu 6.3.9. Ďalšie informácie sú k dispozícii na webovej stránke súčasti fetchmail na adrese http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Ostatní lokálni používatelia môžu mať prístup k priečinku Stiahnuté

    Popis: V súčasti Folder Manager dochádza k problému s predvolenými právami. Keď používateľ vymaže priečinok Stiahnuté a Folder Manager ho znova vytvorí, priečinok sa vytvorí s právami na čítanie pre všetkých. Táto aktualizácia rieši tento problém tým, že Folder Manager obmedzuje práva tak, aby mal k priečinku prístup len príslušný používateľ. Tento problém sa týka len tých aplikácií, ktoré používajú Folder Manager. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie za nahlásenie tohto problému si zaslúži Graham Perrin (CENTRIM, University of Brighton).

  • FSEvents

    CVE-ID: CVE-2009-0015

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Pomocou rámca FSEvents môže byť lokálny používateľ schopný zobraziť aktivitu súborového systému, ktorá by inak nebola dostupná

    Popis: V procese fseventsd dochádza k problému so správou prihlasovacích údajov. Pomocou rámca FSEvents môže byť lokálny používateľ schopný zobraziť aktivitu súborového systému, ktorá by inak nebola dostupná. Zahŕňa to názov adresára, ktorý by používateľ inak nemohol vidieť, a detekciu aktivity v adresári v danom čase. Táto aktualizácia rieši tento problém vylepšením overovania prihlasovacích údajov v procese fseventsd. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie za nahlásenie tohto problému si zaslúži Mark Dalrymple.

  • Network Time

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Konfigurácia služby Sieťový čas bola aktualizovaná

    Popis: Ako proaktívne bezpečnostné opatrenie táto aktualizácia mení predvolenú konfiguráciu pre službu Sieťový čas. V predvolenej konfigurácii procesu ntpd už nebudú k dispozícii informácie o systémovom čase a verzii. V systémoch Mac OS X 10.4.11 sa nová konfigurácia prejaví po reštarte systému, ak je povolená služba Sieťový čas.

  • perl

    CVE-ID: CVE-2008-1927

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Používanie regulárnych výrazov obsahujúcich znaky UTF-8 môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní určitých znakov UTF-8 characters v regulárnych výrazoch dochádza k problému súvisiacemu s poškodením pamäte. Analýza regulárnych výrazov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním regulárnych výrazov.

  • Printing

    CVE-ID: CVE-2009-0017

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Lokálny používateľ môže získať systémové oprávnenia

    Popis: V programe csregprinter dochádza k problému súvisiacemu so spracúvaním chýb, ktorý môže viesť k pretečeniu medzipamäte haldy. Lokálnemu používateľovi to môže umožniť získať systémové oprávnenia. Táto aktualizácia rieši tento problém vylepšením spracovania chýb. Poďakovanie za nahlásenie tohto problému si zaslúži Lars Haulin.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Viacero nedostatočne zabezpečených miest v súčasti python

    Popis: V súčasti python existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aplikovaním opráv z projektu Samba.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Odosielanie vzdialených udalostí Apple môže viesť k úniku citlivých informácií

    Popis: Na serveri Remote Apple Events dochádza k problému s neinicializovanou medzipamäťou, ktorý môže viesť k sprístupneniu obsahu pamäte sieťovým klientom. Táto aktualizácia rieši tento problém správnou inicializáciou pamäte. Poďakovanie patrí spoločnosti Apple.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Povolenie vzdialených udalostí Apple môže viesť k neočakávanému ukončeniu aplikácie alebo úniku citlivých informácií

    Popis: Vo vzdialených udalostiach Apple dochádza k problému s prístupom k pamäti v zakázaných oblastiach. Povolenie vzdialených udalostí Apple môže viesť k neočakávanému ukončeniu aplikácie alebo sprístupneniu citlivých informácií sieťovým klientom. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie patrí spoločnosti Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Prístup k URL adrese informačného kanála so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní URL adries informačných kanálov prehliadačom Safari dochádza k viacerým problémom s overovaním vstupu. Problémy umožňujú spustenie ľubovoľného kódu JavaScript v lokálnej bezpečnostnej zóne. Táto aktualizácia rieši problémy vylepšeným spracovaním vloženého kódu JavaScript v rámci adries URL „informačný kanál:“. Poďakovanie za nahlásenie týchto problémov si zaslúžia Clint Ruoho zo spoločnosti Laconic Security, Billy Rios zo spoločnosti Microsoft a Brian Mastenbrook.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Vzdialení útočníci môžu mať prístup k súčasti Server Manager bez platných prihlasovacích údajov

    Popis: Problém s overovaním autentifikačných prihlasovacích údajov súčasťou Server Manager môže umožniť vzdialenému útočníkovi zmeniť konfiguráciu systému. Táto aktualizácia rieši tento problém dodatočným overovaním autentifikačných prihlasovacích údajov. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie patrí spoločnosti Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Dostupné pre: Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Pripojenie k súborovému systému SMB so škodlivým kódom môže viesť k neočakávanému vypnutiu systému alebo spusteniu ľubovoľného kódu so systémovými oprávneniami

    Popis: Pretečenie celočíselných hodnôt v súborovom systéme SMB môže viesť k pretečeniu medzipamäte haldy. Pripojenie k súborovému systému SMB so škodlivým kódom môže viesť k neočakávanému vypnutiu systému alebo spusteniu ľubovoľného kódu so systémovými oprávneniami. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5. Poďakovanie patrí spoločnosti Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Pripojenie k súborovému serveru SMB so škodlivým kódom môže viesť k neočakávanému vypnutiu systému

    Popis: Pri spracúvaní názvov súborového systému súborovým systémom SMB dochádza k problému súvisiacemu s vyčerpaním pamäte. Pripojenie k súborovému serveru SMB so škodlivým kódom môže viesť k neočakávanému vypnutiu systému. Táto aktualizácia rieši tento problém obmedzení množstva pamäte, ktorú klient alokuje pre názvy súborového systému. Poďakovanie patrí spoločnosti Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Dostupné pre: Mac OS X Server 10.4.11, Mac OS X Server 10.5.6

    Dopad: Viacero nedostatočne zabezpečených miest v súčasti SquirrelMail

    Popis: Súčasť SquirrelMail je aktualizovaná na verziu 1.4.17, aby sa odstránilo niekoľko nedostatočne zabezpečených miest, z ktorých najvážnejším je problém so skriptovaním medzi lokalitami. Ďalšie informácie sú k dispozícii na webovej stránke súčasti SquirrelMail na adrese http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Viacero nedostatočne zabezpečených miest na serveri X11

    Popis: Na serveri X11 existuje viacero nedostatočne zabezpečených miest. Tie najvážnejšie z nich môžu viesť k spusteniu ľubovoľného kódu s oprávneniami používateľa, ktorý spustil server X11, ak útočník na serveri X11 overí svoju totožnosť. Táto aktualizácia rieši tieto problémy aplikovaním aktualizovaných opráv z webovej stránky X.Org. Ďalšie informácie sú k dispozícii na webovej stránke X.Org na adrese http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici FreeType 2.1.4

    Popis: V knižnici FreeType 2.1.4 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu pri spracúvaní písma so škodlivým kódom. Táto aktualizácia rieši tieto problémy zahrnutím opráv zabezpečenia z verzie 2.3.6 knižnice FreeType. Ďalšie informácie sú k dispozícii na webovej stránke knižnice FreeType na adrese http://www.freetype.org/ Tieto problémy sú už v systéme Mac OS X 10.5.6 vyriešené.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Dopad: Viacero nedostatočne zabezpečených miest v knižnici LibX11

    Popis: V knižnici LibX11 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu pri spracúvaní písma so škodlivým kódom. Táto aktualizácia rieši tieto problémy aplikovaním aktualizovaných opráv z webovej stránky X.Org. Ďalšie informácie sú k dispozícii na webovej stránke X.Org na adrese http://www.x.org/wiki/Development/Security Tieto problémy sa netýkajú systému Mac OS X 10.5 ani novších.

  • XTerm

    CVE-ID: CVE-2009-0141

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.6, Mac OS X Server 10.5.6

    Dopad: Lokálny používateľ môže odosielať informácie priamo do terminálu Xterm iného používateľa

    Popis: V termináli Xterm dochádza k problému s právami. Pri používaní s aplikáciou ​​luit Xterm vytvára zariadenia tty, ku ktorým má prístup každý. Táto aktualizácia rieši tento problém tým, že Xterm obmedzuje práva tak, aby mal k zariadeniam tty prístup len používateľ.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: