Informácie o aktualizácii zabezpečenia 2009-005

V tomto dokumente sa opisuje aktualizácia zabezpečenia 2009-005.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia zabezpečenia 2009-005

• Alias Manager

  CVE-ID: CVE-2009-2800

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Otvorenie súboru aliasu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracúvaní súborov aliasov dochádza k pretečeniu medzipamäte. Otvorenie súboru aliasu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• CarbonCore

  CVE-ID: CVE-2009-2803

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracúvaní sekcií zdrojov súčasťou Resource Manager dochádza k problému súvisiacemu s poškodením pamäte. Otvorenie súboru so sekciou zdrojov so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšením overovania sekcií zdrojov. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• ClamAV

  CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

  Dostupné pre: Mac OS X Server 10.5.8

  Dopad: Viacero nedostatočne zabezpečených miest v softvéri ClamAV 0.94.2

  Popis: V softvéri ClamAV 0.94.2 existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aktualizáciou softvéru ClamAV na verziu 0.95.2. ClamAV sa distribuuje len so systémami Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke softvéru ClamAV na adrese http://www.clamav.net/ Tieto problémy sa netýkajú systémov Mac OS X 10.6.

• ColorSync

  CVE-ID: CVE-2009-2804

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Zobrazenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracúvaní obrázkov s integrovaným profilom ColorSync dochádza k pretečeniu celočíselných hodnôt, čo môže viesť k pretečeniu medzipamäte haldy. Otvorenie obrázka s integrovaným profilom ColorSync so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním profilov ColorSync. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• CoreGraphics

  CVE-ID: CVE-2009-2805

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pretečenie celočíselných hodnôt pri spracúvaní súborov PDF súčasťou CoreGraphics môže viesť k pretečeniu medzipamäte haldy. Otvorenie súboru PDF so streamom JBIG2 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Will Dormann (CERT/CC). Tento problém sa netýka systémov Mac OS X 10.6.

• CoreGraphics

  CVE-ID: CVE-2009-2468

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri vykresľovaní dlhých textových reťazcov dochádza k pretečeniu medzipamäte haldy. Návšteva webovej stránky so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo vykonaniu ľubovoľného kódu. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Will Drewry (Google Inc.).

• CUPS

  CVE-ID: CVE-2009-0949

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Vzdialený útočník môže byť schopný zamietnuť prístup k službe Zdieľanie tlačiarní

  Popis: V súčasti CUPS dochádza k problému s dereferenciou smerníka s hodnotou NULL. Opakovaným odosielaním požiadaviek na plánovač so škodlivým kódom môže byť vzdialený útočník schopný zamietnuť prístup k službe Zdieľanie tlačiarní. Táto aktualizácia rieši tento problém vylepšením overovania požiadaviek na plánovač. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Anibal Sacco (tím CORE IMPACT Exploit Writing Team (EWT) spoločnosti Core Security Technologies).

• CUPS

  CVE-ID: CVE-2009-2807

  Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Lokálny používateľ bez oprávnení môže byť schopný získať systémové oprávnenia

  Popis: V serverovej časti CUPS USB dochádza k pretečeniu medzipamäte haldy. Lokálnemu používateľovi to môže umožniť získať systémové oprávnenia. Táto aktualizácia rieši tento problém vylepšenou kontrolou rozsahu. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6.

• Flash Player plug-in

  CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Viacero nedostatočne zabezpečených miest v plugine Adobe Flash Player

  Popis: V plugine Adobe Flash Player dochádzalo k viacerým problémom, z ktorých tie najvážnejšie mohli pri zobrazení webovej stránky so škodlivým kódom viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou pluginu Flash Player na verziu 10.0.32.18 v systémoch Mac OS 10.5.8 a na verziu 9.0.246.0 v systémoch Mac OS X 10.4.11. V prípade systémov Mac OS X 10.6 boli tieto problémy vyriešené v systéme Mac OS X 10.6.1. Ďalšie informácie sú k dispozícii na webovej stránke spoločnosti Adobe na adrese http://www.adobe.com/support/security/bulletins/apsb09-10.html

• ImageIO

  CVE-ID: CVE-2009-2809

  Dostupné pre: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Zobrazenie obrázka obrázka TIFF s kódovaním PixarFilm so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

  Popis: Pri spracúvaní obrázkov TIFF s kódovaním PixarFilm prostredníctvom knižnice ImageIO dochádza k viacerým problémom súvisiacim s poškodením pamäte. Zobrazenie obrázka obrázka TIFF s kódovaním PixarFilm so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Táto aktualizácia rieši tento problém dodatočným overovaním obrázkov TIFF s kódovaním PixarFilm. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• Launch Services

  CVE-ID: CVE-2009-2811

  Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Pokus o otvorenie nebezpečného stiahnutého obsahu nemusí viesť k upozorneniu

  Popis: Táto aktualizácia pridáva „.fileloc“ do systémového zoznamu typov obsahu, ktoré budú za určitých okolností označené ako potenciálne nebezpečné, napríklad pri ich stiahnutí z e-mailu. Hoci sa tieto typy obsahu neotvárajú automaticky, pri manuálnom otvorení môžu viesť k spusteniu dátovej časti so škodlivým kódom. Táto aktualizácia vylepšuje schopnosť systému upozorňovať používateľov pred spracovaním súborov „.fileloc“. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• Launch Services

  CVE-ID: CVE-2009-2812

  Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

  Popis: Pri stiahnutí aplikácie súčasť Launch Services analyzuje jej exportované typy dokumentov. Problém návrhu pri spracúvaní exportovaných typov dokumentov môže spôsobiť, že súčasť Launch Services priradí bezpečnú príponu súboru k nebezpečnému identifikátoru UTI (Uniform Type Identifier). Návšteva webovej stránky so škodlivým kódom môže spôsobiť automatické otvorenie nebezpečného typu súboru. Táto aktualizácia rieši tento problém vylepšením spracovania typov dokumentov exportovaných z nedôveryhodných aplikácií. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

• MySQL

  CVE-ID: CVE-2008-2079

  Dostupné pre: Mac OS X Server 10.5.8

  Dopad: Súčasť MySQL je aktualizovaná na verziu 5.0.82

  Popis: Súčasť MySQL je aktualizovaná na verziu 5.0.82, v ktorej je vyriešený problém s implementáciou umožňujúci lokálnemu používateľovi získať oprávnenia vyššej úrovne. Tento problém sa týka iba systémov Mac OS X Server. Tento problém sa netýka systémov Mac OS X 10.6. Ďalšie informácie sú k dispozícii na webovej stránke databázy MySQL na adrese http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

• PHP

  CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

  Dostupné pre: Mac OS X 10.5, Mac OS X Server 10.5.8

  Dopad: Viacero nedostatočne zabezpečených miest v súčasti PHP 5.2.8

  Popis: Súčasť PHP bola aktualizovaná na verziu 5.2.10 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú k dispozícii na webovej lokalite jazyka PHP na adrese http://www.php.net/ Tieto problémy sa netýkajú systémov Mac OS X 10.6.

• SMB

  CVE-ID: CVE-2009-2813

  Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

  Dopad: Po povolení služby Zdieľanie Windows súborov sa môžu neočakávane zdieľať priečinky

  Popis: V softvéri Samba existuje nekontrolovaný chybový stav. Používateľ, ktorý nemá nakonfigurovaný domovský adresár a pripojí sa k službe Zdieľanie Windows súborov, bude mať prístup k obsahu súborového systému na základe práv lokálneho súborového systému. Táto aktualizácia rieši tento problém vylepšením spracovania chýb súvisiacich s rozlišovaním ciest. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži J. David Hester (LCG Systems National Institutes of Health).

• Wiki Server

  CVE-ID: CVE-2009-2814

  Dostupné pre: Mac OS X Server 10.5.8

  Dopad: Vzdialený útočník môže získať prístup k používateľským účtom Wiki Server

  Popis: Pri spracúvaní vyhľadávacích požiadaviek obsahujúcich dáta s iným kódovaním ako UTF-8 súčasťou Wiki Server dochádza k problému so skriptovaním medzi lokalitami. Vzdialenému útočníkovi to môže umožniť získať prístup k súčasti Wiki Server s prihlasovacími údajmi používateľa súčasti Wiki Server, ktorý vykonáva vyhľadávanie. Táto aktualizácia rieši tento problém nastavením UTF-8 ako predvolenej znakovej sady v odpovediach HTTP. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.5 alebo Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.