Obsah zabezpečenia v aktualizácii zabezpečenia 2009-003/Mac OS X 10.5.8

V tomto dokumente sa opisuje obsah zabezpečenia v aktualizácii zabezpečenia 2009-003/Mac OS X 10.5.8, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo zo stránky Súbory na stiahnutie spoločnosti Apple.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia Apple“.

Aktualizácia zabezpečenia 2009-003/Mac OS X 10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Dekomprimácia údajov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie

    Popis: V bzip2 existuje prístup do pamäte mimo rozsahu. Otvorenie komprimovaného súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie. Táto aktualizácia rieši tento problém aktualizáciou bzip2 na verziu 1.0.5. Ďalšie informácie sú dostupné na webovej stránke bzip2 na adrese http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Webová stránka so škodlivým kódom môže kontrolovať zobrazenú URL adresu webovej stránky v upozornení na certifikát

    Popis: Keď prehliadač Safari prejde na webovú stránku prostredníctvom presmerovania 302 a zobrazí sa upozornenie na certifikát, upozornenie bude obsahovať pôvodnú URL adresu webovej stránky namiesto aktuálnej URL adresy webovej stránky. To môže umožniť webovej stránke so škodlivým kódom, na ktorú sa prejde cez otvorené presmerovanie na webovej stránke, ktorej používateľ dôveruje, kontrolovať zobrazenú URL adresu webovej stránky v upozornení na certifikát. Tento problém bol vyriešený vrátením správnej URL adresy v základnej vrstve CFNetwork. Tento problém sa netýka systémov starších ako Mac OS X 10.5. Poďakovanie za nahlásenie tohto problému si zaslúžia Kevin Day (Your.Org) a Jason Mueller (Indiana University).

  • ColorSync

    CVE-ID: CVE-2009-1726

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov s integrovaným profilom ColorSync dochádza k pretečeniu medzipamäte haldy. Otvorenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním profilov ColorSync. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Evans (Google Security Team).

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Pred otvorením niektorých potenciálne nebezpečných typov obsahu sa používateľom nezobrazuje upozornenie

    Popis: Táto aktualizácia rozširuje systémový zoznam typov obsahu, ktoré budú za určitých okolností označené ako potenciálne nebezpečné, napríklad pri ich stiahnutí z webovej stránky. Hoci sa tieto typy obsahu nespúšťajú automaticky, pri manuálnom otvorení môžu viesť k spusteniu dátovej časti JavaScript so škodlivým kódom. Táto aktualizácia zlepšuje schopnosť systému upozorniť používateľov pred spracovaním typov obsahu používaných prehliadačom Safari. Poďakovanie za nahlásenie tohto problému si zaslúžia Brian Mastenbrook a Clint Ruoho (Laconic Security).

  • Dock

    CVE-ID: CVE-2009-0151

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Osoba s fyzickým prístupom k uzamknutému systému môže používať gestá Multi-Touch so štyrmi prstami

    Popis: Šetrič obrazovky neblokuje gestá Multi-Touch so štyrmi prstami, čo môže umožniť osobe s fyzickým prístupom k uzamknutému systému spravovať aplikácie alebo používať Expose. Táto aktualizácia rieši tento problém správnym zablokovaním gest Multi-Touch, keď je zapnutý šetrič obrazovky. Tento problém sa týka len systémov s Multi-Touch trackpadom.

  • Image RAW

    CVE-ID: CVE-2009-1728

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka Canon RAW so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov Canon RAW dochádza k pretečeniu medzipamäte zásobníka. Zobrazenie obrázka Canon RAW so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. V prípade systémov Mac OS X 10.4 je tento problém už vyriešený aktualizáciou kompatibility s formátom RAW digitálneho fotoaparátu 2.6. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Ries (Carnegie Mellon University Computing Services).

  • ImageIO

    CVE-ID: CVE-2009-1722

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov OpenEXR súčasťou ImageIO dochádza k pretečeniu medzipamäte haldy. Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém aktualizáciou OpenEXR na verziu 1.6.1. Poďakovanie za nahlásenie tohto problému si zaslúžia Lurene Grenier (Sourcefire VRT) a Chris Ries (Carnegie Mellon University Computing Services).

  • ImageIO

    CVE-ID: CVE-2009-1721

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov OpenEXR súčasťou ImageIO dochádza k problému s prístupom k neinicializovanej pamäti. Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém správnou inicializáciou pamäte a dodatočným overovaním obrázkov OpenEXR. Poďakovanie patrí spoločnosti Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov OpenEXR súčasťou ImageIO dochádza k viacerým problémom s pretečením celočíselných hodnôt. Zobrazenie obrázka OpenEXR so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy vylepšením kontroly rozsahu. Poďakovanie patrí spoločnosti Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní metadát EXIF súčasťou ImageIO dochádza k pretečeniu medzipamäte. Zobrazenie obrázka so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Spracovanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov PNG dochádza k problému s neinicializovaným ukazovateľom. Spracovanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním obrázkov PNG. Poďakovanie za nahlásenie tohto problému si zaslúži Tavis Ormandy (Google Security Team).

  • Kernel

    CVE-ID: CVE-2009-1235

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Lokálny používateľ môže získať systémové oprávnenia

    Popis: Pri spracúvaní systémových volaní fcntl súčasťou kernel dochádza k problému s implementáciou. Lokálny používateľ môže prepísať pamäť jadra a spustiť ľubovoľný kód so systémovými oprávneniami. Táto aktualizácia rieši tento problém vylepšením spracovania systémových volaní fcntl. Poďakovanie za nahlásenie tohto problému si zaslúži Razvan Musaloiu-E. (Johns Hopkins University, HiNRG).

  • launchd

    CVE-ID: CVE-2009-2190

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Otvorenie viacerých pripojení k službe launchd založenej na inetd môže viesť k odmietnutiu služby

    Popis: Otvorenie viacerých pripojení k službe launchd založenej na inetd môže spôsobiť, že launchd prestane obsluhovať prichádzajúce pripojenia k tejto službe až do ďalšieho reštartu systému. Táto aktualizácia rieši tento problém vylepšením spracovania chýb.

  • Login Window

    CVE-ID: CVE-2009-2191

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Problém s formátovacím reťazcom v súčasti Login Window môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní názvov aplikácie súčasťou Login Window dochádza k problému s formátovacím reťazcom, čo môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením spracovania názvov aplikácií. Poďakovanie za nahlásenie tohto problému si zaslúži Alfredo Pesoli (0xcafebabe.it).

  • MobileMe

    CVE-ID: CVE-2009-2192

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Odhlásenie zo súčasti MobileMe neodstráni všetky prihlasovacie údaje

    Popis: Na paneli nastavení MobileMe dochádza k problému s logikou. Odhlásenie z panela nastavení neodstráni všetky prihlasovacie údaje. Osoba s prístupom k lokálnemu užívateľskému účtu môže naďalej pristupovať k akémukoľvek inému systému prepojenému s účtom MobileMe, cez ktorý bol predtým prihlásený do lokálneho účtu. Táto aktualizácia rieši tento problém odstránením všetkých prihlasovacích údajov pri odhlásení.

  • Networking

    CVE-ID: CVE-2009-2193

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Prijatie paketu odpovede AppleTalk so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami alebo k neočakávanému vypnutiu systému

    Popis: Pri spracúvaní paketov odpovede AppleTalk súčasťou kernel dochádza k pretečeniu medzipamäte. Prijatie paketu odpovede AppleTalk so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami alebo k neočakávanému vypnutiu systému. Táto aktualizácia rieši tento problém vylepšením overovania paketov odpovede AppleTalk. Poďakovanie za nahlásenie tohto problému si zaslúži Ilja van Sprundel (IOActive).

  • Networking

    CVE-ID: CVE-2009-2194

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Lokálny používateľ môže spôsobiť neočakávané vypnutie systému

    Popis: Pri spracúvaní zdieľania deskriptorov súborov cez lokálne sockety dochádza k problému so synchronizáciou. Odoslaním správ s deskriptormi súborov do socketu bez prijímača môže lokálny používateľ spôsobiť neočakávané vypnutie systému. Táto aktualizácia rieši tento problém vylepšením spracovania zdieľania deskriptorov súborov. Poďakovanie za nahlásenie tohto problému si zaslúži Bennet Yee (Google Inc.).

  • XQuery

    CVE-ID: CVE-2008-0674

    Dostupné pre: Mac OS X 10.5 až 10.5.7, Mac OS X Server 10.5 až 10.5.7

    Dosah: Spracovanie obsahu XML so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní tried znakov v bežných výrazoch v rámci knižnice PCRE (Perl Compatible Regular Expressions) používanej súčasťou XQuery dochádza k pretečeniu medzipamäte. To môže vzdialenému útočníkovi umožniť spustiť ľubovoľný kód prostredníctvom bežného výrazu obsahujúceho triedu znakov s veľkým počtom znakov s kódovými bodmi Unicode väčšími ako 255. Táto aktualizácia rieši tento problém aktualizáciou PCRE na verziu 7.6.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: