Informácie o aktualizácii zabezpečenia 2010-001
V tomto dokumente je opísaná aktualizácia zabezpečenia 2010-001, ktorú je možné stiahnuť a nainštalovať prostredníctvom nastavení Aktualizácie softvéru alebo zo stránky Súbory na stiahnutie spoločnosti Apple.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia Apple“.
Aktualizácia zabezpečenia 2010-001
CoreAudio
CVE-ID: CVE-2010-0036
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Dopad: Prehrávanie audiosúboru mp4 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní audiosúborov mp4 dochádza k pretečeniu medzipamäte. Prehrávanie audiosúboru mp4 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Tobias Klein (trapkit.de).
CUPS
CVE-ID: CVE-2009-3553
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie cupsd
Popis: V aplikácii cupsd dochádza k problému s použitím po uvoľnení. Zadaním požiadavky get-printer-jobs so škodlivým kódom môže útočník na diaľku spôsobiť odmietnutie služby. Je to zmiernené automatickým reštartovaním aplikácie cupsd po jej ukončení. Tento problém bol vyriešený vylepšením sledovania používania pripojenia.
Flash Player plug-in
CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Dopad: Viacero nedostatočne zabezpečených miest v plugine Adobe Flash Player
Popis: V plugine Adobe Flash Player dochádzalo k viacerým problémom, z ktorých tie najvážnejšie mohli pri zobrazení webovej stránky so škodlivým kódom viesť k spusteniu ľubovoľného kódu. Tieto problémy boli vyriešené aktualizáciou pluginu Flash Player na verziu 10.0.42. Ďalšie informácie sú k dispozícii na webovej stránke spoločnosti Adobe na adrese http://www.adobe.com/support/security/bulletins/apsb09-19.html Poďakovanie za nahlásenie tohto problému si zaslúžia anonymný výskumník a Damian Put spolupracujúci s projektom TippingPoint Zero Day Initiative, Bing Liu z tímu FortiGuard Global Security Research Team spoločnosti Fortinet, Will Dormann (CERT), Manuel Caballero a tím Microsoft Vulnerability Research (MSVR).
ImageIO
CVE-ID: CVE-2009-2285
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Dopad: Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní obrázkov TIFF súčasťou ImageIO dochádza k pretečeniu medzipamäte. Zobrazenie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. V prípade systémov Mac OS X 10.6 bol tento problém vyriešený vo verzii systému Max OS X 10.6.2.
Image RAW
CVE-ID: CVE-2010-0037
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Dopad: Zobrazenie obrázka DNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracúvaní obrázkov DNG súčasťou Image RAW dochádza k pretečeniu medzipamäte. Zobrazenie obrázka DNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Jason Carr z tímu Computing Services na univerzite Carnegie Mellon University.
OpenSSL
CVE-ID: CVE-2009-3555
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.2, Mac OS X Server 10.6.2
Dopad: Útočník s oprávneniami v sieti môže zachytávať dáta alebo meniť operácie vykonávané v reláciách chránených šifrovaním SSL
Popis: V protokoloch SSL a TLS existuje slabé miesto typu „man-in-the-middle“. Ďalšie informácie sú k dispozícii na adrese http://www.phonefactor.com/sslgap Organizácia IETF pracuje na zmene protokolu opätovného vyjednávania. Táto aktualizácia zakazuje opätovné vyjednávanie v súprave OpenSSL ako preventívne bezpečnostné opatrenie. Tento problém nemá vplyv na služby využívajúce zabezpečený prenos, pretože tento nepodporuje opätovné vyjednávanie. Poďakovanie za nahlásenie tohto problému si zaslúžia Steve Dispensa a Marsh Ray (PhoneFactor, Inc.).
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.