Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Informácie o aktualizácii zabezpečenia 2009-005

V tomto dokumente sa opisuje aktualizácia zabezpečenia 2009-005.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia zabezpečenia 2009-005

  • Alias Manager

    CVE-ID: CVE-2009-2800

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Otvorenie súboru aliasu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní súborov aliasov dochádza k pretečeniu medzipamäte. Otvorenie súboru aliasu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • CarbonCore

    CVE-ID: CVE-2009-2803

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní sekcií zdrojov súčasťou Resource Manager dochádza k problému súvisiacemu s poškodením pamäte. Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením overovania sekcií zdrojov. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • ClamAV

    CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    Dostupné pre: Mac OS X Server 10.5.8

    Dopad: Viacero nedostatočne zabezpečených miest v softvéri ClamAV 0.94.2

    Popis: V softvéri ClamAV 0.94.2 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aktualizáciou softvéru ClamAV na verziu 0.95.2. ClamAV sa distribuuje len so systémami Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke softvéru ClamAV na adrese http://www.clamav.net/ Tieto problémy sa netýkajú systémov Mac OS X 10.6.

  • ColorSync

    CVE-ID: CVE-2009-2804

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Zobrazenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov s integrovaným profilom ColorSync dochádza k pretečeniu celočíselných hodnôt, čo môže viesť k pretečeniu medzipamäte haldy. Otvorenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním profilov ColorSync. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • CoreGraphics

    CVE-ID: CVE-2009-2805

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pretečenie celočíselných hodnôt pri spracúvaní súborov PDF súčasťou CoreGraphics môže viesť k pretečeniu medzipamäte haldy. Otvorenie súboru PDF so streamom JBIG2 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Will Dormann (CERT/CC). Tento problém sa netýka systémov Mac OS X 10.6.

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri vykresľovaní dlhých textových reťazcov dochádza k pretečeniu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Will Drewry (Google Inc.).

  • CUPS

    CVE-ID: CVE-2009-0949

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Vzdialený útočník môže byť schopný zamietnuť prístup k službe Zdieľanie tlačiarní

    Popis: V súčasti CUPS dochádza k problému s dereferenciou smerníka s hodnotou NULL. Opakovaným odosielaním požiadaviek na plánovač so škodlivým kódom môže byť vzdialený útočník schopný zamietnuť prístup k službe Zdieľanie tlačiarní. Táto aktualizácia rieši tento problém vylepšením overovania požiadaviek na plánovač. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Anibal Sacco (tím CORE IMPACT Exploit Writing Team (EWT) spoločnosti Core Security Technologies).

  • CUPS

    CVE-ID: CVE-2009-2807

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Lokálny používateľ bez oprávnení môže byť schopný získať systémové oprávnenia

    Popis: V serverovej časti CUPS USB dochádza k pretečeniu medzipamäte haldy. Lokálnemu používateľovi to môže umožniť získať systémové oprávnenia. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6.

  • Flash Player plug-in

    CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Viacero nedostatočne zabezpečených miest v plugine Adobe Flash Player

    Popis: V plugine Adobe Flash Player dochádzalo k viacerým problémom, z ktorých tie najvážnejšie mohli pri zobrazení webovej stránky so škodlivým kódom viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou pluginu Flash Player na verziu 10.0.32.18 v systémoch Mac OS 10.5.8 a na verziu 9.0.246.0 v systémoch Mac OS X 10.4.11. V prípade systémov Mac OS X 10.6 boli tieto problémy vyriešené v systéme Mac OS X 10.6.1. Ďalšie informácie sú k dispozícii na webovej stránke spoločnosti Adobe na adrese http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID: CVE-2009-2809

    Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Zobrazenie obrázka obrázka TIFF s kódovaním PixarFilm so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov TIFF s kódovaním PixarFilm prostredníctvom knižnice ImageIO dochádza k viacerým problémom súvisiacim s poškodením pamäte. Zobrazenie obrázka obrázka TIFF s kódovaním PixarFilm so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním obrázkov TIFF s kódovaním PixarFilm. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • Launch Services

    CVE-ID: CVE-2009-2811

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Pokus o otvorenie nebezpečného stiahnutého obsahu nemusí viesť k upozorneniu

    Popis: Táto aktualizácia pridáva „.fileloc“ do systémového zoznamu typov obsahu, ktoré budú za určitých okolností označené ako potenciálne nebezpečné, napríklad pri ich stiahnutí z e-mailu. Hoci sa tieto typy obsahu neotvárajú automaticky, pri manuálnom otvorení môžu viesť k spusteniu dátovej časti so škodlivým kódom. Táto aktualizácia vylepšuje schopnosť systému upozorňovať používateľov pred spracovaním súborov „.fileloc“. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • Launch Services

    CVE-ID: CVE-2009-2812

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri stiahnutí aplikácie súčasť Launch Services analyzuje jej exportované typy dokumentov. Problém návrhu pri spracúvaní exportovaných typov dokumentov môže spôsobiť, že súčasť Launch Services priradí bezpečnú príponu súboru k nebezpečnému identifikátoru UTI (Uniform Type Identifier). Návšteva webovej stránky so škodlivým kódom môže spôsobiť automatické otvorenie nebezpečného typu súboru. Táto aktualizácia rieši tento problém vylepšením spracovania typov dokumentov exportovaných z nedôveryhodných aplikácií. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • MySQL

    CVE-ID: CVE-2008-2079

    Dostupné pre: Mac OS X Server 10.5.8

    Dopad: Súčasť MySQL je aktualizovaná na verziu 5.0.82

    Popis: Súčasť MySQL je aktualizovaná na verziu 5.0.82, v ktorej je vyriešený problém s implementáciou umožňujúci lokálnemu používateľovi získať oprávnenia vyššej úrovne. Tento problém sa týka iba systémov Mac OS X Server. Tento problém sa netýka systémov Mac OS X 10.6. Ďalšie informácie sú k dispozícii na webovej stránke databázy MySQL na adrese http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    Dostupné pre: Mac OS X 10.5, Mac OS X Server 10.5.8

    Dopad: Viacero nedostatočne zabezpečených miest v súčasti PHP 5.2.8

    Popis: Súčasť PHP bola aktualizovaná na verziu 5.2.10 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú k dispozícii na webovej lokalite jazyka PHP na adrese http://www.php.net/ Tieto problémy sa netýkajú systémov Mac OS X 10.6.

  • SMB

    CVE-ID: CVE-2009-2813

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Po povolení služby Zdieľanie Windows súborov sa môžu neočakávane zdieľať priečinky

    Popis: V softvéri Samba existuje nekontrolovaný chybový stav. Používateľ, ktorý nemá nakonfigurovaný domovský adresár a pripojí sa k službe Zdieľanie Windows súborov, bude mať prístup k obsahu súborového systému na základe práv lokálneho súborového systému. Táto aktualizácia rieši tento problém vylepšením spracovania chýb súvisiacich s rozlišovaním ciest. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži J. David Hester (LCG Systems National Institutes of Health).

  • Wiki Server

    CVE-ID: CVE-2009-2814

    Dostupné pre: Mac OS X Server 10.5.8

    Dopad: Vzdialený útočník môže získať prístup k používateľským účtom Wiki Server

    Popis: Pri spracúvaní vyhľadávacích požiadaviek obsahujúcich dáta s iným kódovaním ako UTF-8 súčasťou Wiki Server dochádza k problému so skriptovaním medzi lokalitami. Vzdialenému útočníkovi to môže umožniť získať prístup k súčasti Wiki Server s prihlasovacími údajmi používateľa súčasti Wiki Server, ktorý vykonáva vyhľadávanie. Táto aktualizácia rieši tento problém nastavením UTF-8 ako predvolenej znakovej sady v odpovediach HTTP. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: