Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Informácie o obsahu zabezpečenia v aktualizácii zabezpečenia 2010-002/Mac OS X 10.6.3

Obsah zabezpečenia v aktualizácii zabezpečenia 2010-002/Mac OS X 10.6.3.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku „Aktualizácie zabezpečenia od spoločnosti Apple“.

Aktualizácia zabezpečenia 2010-002/Mac OS X 10.6.3

  • AppKit

    CVE-ID: CVE-2010-0056

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Kontrola pravopisu v dokumente so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Vo funkcii kontroly pravopisu používanej aplikáciami Cocoa dochádza k pretekaniu medzipamäte. Kontrola pravopisu v dokumente so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • Application Firewall

    CVE-ID: CVE-2009-2801

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Určité pravidlá v súčasti Aplikačný Firewall sa môžu po reštarte stať neaktívnymi

    Popis: Problém s načasovaním v súčasti Aplikačný Firewall môže spôsobiť, že určité pravidlá budú po reštarte neaktívne. Tento problém bol vyriešený vylepšením spracúvania pravidiel Firewallu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Michael Kisor (OrganicOrb.com).

  • AFP Server

    CVE-ID: CVE-2010-0057

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Keď je prístup hosťa zakázaný, vzdialený používateľ môže mať možnosť pripojiť zdieľané adresáre AFP ako hosť

    Popis: Problém s riadením prístupu na serveri AFP môže umožniť vzdialenému používateľovi pripojiť zdieľané adresáre AFP ako hosť, aj keď je prístup hosťa zakázaný. Tento problém bol vyriešený vylepšením kontrol riadenia prístupu. Poďakovanie patrí spoločnosti Apple.

  • AFP Server

    CVE-ID: CVE-2010-0533

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený používateľ s prístupom hosťa k zdieľanému adresáru AFP môže pristupovať k verejne čitateľným súborom mimo zdieľaného adresára Public

    Popis: Pri overení cesty pre zdieľané adresáre AFP dochádza k problému s prechodom adresára. Vzdialený používateľ môže vymenovať nadradený adresár zdieľaného adresára a čítať alebo zapisovať súbory v tomto adresári, ktoré sú prístupné používateľovi „nikto“. Tento problém bol vyriešený vylepšením spracúvania ciest súborov. Poďakovanie za nahlásenie tohto problému si zaslúži Patrik Karlsson (cqure.net).

  • Apache

    CVE-ID: CVE-2009-3095

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže byť schopný obísť obmedzenia riadenia prístupu

    Popis: Pri spracúvaní požiadaviek serverom Apache cez FTP proxy dochádza k problému s overením vstupu. Vzdialený útočník so schopnosťou zadávať požiadavky cez proxy server môže byť schopný obísť obmedzenia riadenia prístupu špecifikované v konfigurácii servera Apache. Tento problém bol vyriešený aktualizáciou servera Apache na verziu 2.2.14.

  • ClamAV

    CVE-ID: CVE-2010-0058

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Definície vírusov ClamAV nemusia dostávať aktualizácie

    Popis: Problém s konfiguráciou v aktualizácii zabezpečenia 2009-005 bráni spusteniu nástroja freshclam. To môže brániť aktualizácii definícií vírusov. Tento problém bol vyriešený aktualizáciou kľúčových hodnôt ProgramArguments spusteného súboru plist nástroja freshclam. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúžia Bayard Bell, Wil Shipley (Delicious Monster) a David Ferrero (Zion Software, LLC).

  • CoreAudio

    CVE-ID: CVE-2010-0059

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní zvukového obsahu s kódovaním QDM2 dochádza k problému s poškodením pamäte. Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • CoreAudio

    CVE-ID: CVE-2010-0060

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní zvukového obsahu s kódovaním QDMC dochádza k problému s poškodením pamäte. Prehrávanie zvukového obsahu so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • CoreMedia

    CVE-ID: CVE-2010-0062

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním H.263 knižnicou CoreMedia dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním H.263. Poďakovanie za nahlásenie tohto problému si zaslúžia Damian Put a anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • CoreTypes

    CVE-ID: CVE-2010-0063

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Používatelia nie sú upozorňovaní pred otvorením určitých potenciálne nebezpečných typov obsahu

    Popis: Táto aktualizácia pridáva .ibplugin a .url do systémového zoznamu typov obsahu, ktoré budú za určitých okolností označené ako potenciálne nebezpečné, napríklad pri ich stiahnutí z webovej stránky. Hoci sa tieto typy obsahu nespúšťajú automaticky, pri manuálnom otvorení môžu viesť k spusteniu dátovej časti JavaScript so škodlivým kódom alebo spusteniu ľubovoľného kódu. Táto aktualizácia zlepšuje schopnosť systému upozorniť používateľov pred spracovaním typov obsahu používaných prehliadačom Safari. Poďakovanie za nahlásenie tohto problému si zaslúži Clint Ruoho (Laconic Security).

  • CUPS

    CVE-ID: CVE-2010-0393

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Lokálny používateľ môže byť schopný získať systémové oprávnenia

    Popis: V utilite lppasswd CUPS dochádza k problému s formátovacím reťazcom. Lokálnemu používateľovi to môže umožniť získať systémové oprávnenia. Systémov Mac OS X 10.6 sa to týka iba v prípade, ak bol nastavený bit setuid na binárnom kóde. Tento problém bol vyriešený použitím predvolených adresárov pri spustení ako proces setuid. Poďakovanie za nahlásenie tohto problému si zaslúži Ronald Volgers.

  • curl

    CVE-ID: CVE-2009-2417

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Útočník typu man-in-the-middle môže byť schopný vydávať sa za dôveryhodný server

    Popis: Pri spracúvaní znakov NULL v curl v poli Common Name (CN) subjektu certifikátov X.509 dochádza k problému s kanonizáciou. To môže viesť k útokom typu man-in-the-middle proti používateľom nástroja príkazového riadka curl alebo aplikáciám používajúcim libcurl. Tento problém bol vyriešený vylepšením spracúvania znakov NULL.

  • curl

    CVE-ID: CVE-2009-0037

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Používaním curl s -L sa môže vzdialenému útočníkovi umožniť čítať alebo zapisovať lokálne súbory

    Popis: curl bude nasledovať presmerovania HTTP a HTTPS pri použití s voľbou -L. Keď curl nasleduje presmerovanie, povolí adresy URL file://. To môže vzdialenému útočníkovi umožniť prístup k lokálnym súborom. Tento problém bol vyriešený vylepšením overovania presmerovaní. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Daniel Stenberg (Haxx AB).

  • Cyrus IMAP

    CVE-ID: CVE-2009-2632

    Dostupné pre: Mac OS X Server 10.5.8

    Dosah: Lokálny používateľ môže byť schopný získať oprávnenia používateľa Cyrus

    Popis: Pri spracúvaní sieve skriptov dochádza k pretekaniu medzipamäte. Pri spustení sieve skriptu so škodlivým kódom môže byť lokálny používateľ schopný získať oprávnenia používateľa Cyrus. Tento problém bol vyriešený vylepšením kontroly rozsahu. Tento problém sa netýka systémov Mac OS X 10.6.

  • Cyrus SASL

    CVE-ID: CVE-2009-0688

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Neoverený vzdialený útočník môže spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V module overenia Cyrus SASL dochádza k pretekaniu medzipamäte. Používanie overenia Cyrus SASL môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Tento problém sa netýka systémov Mac OS X 10.6.

  • DesktopServices

    CVE-ID: CVE-2010-0064

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Položkám skopírovaným vo Finderi môže byť priradený neočakávaný vlastník súboru

    Popis: Pri vykonávaní overenej kópie vo Finderi sa môže neočakávane skopírovať pôvodné vlastníctvo súboru. Táto aktualizácia rieši problém zabezpečením toho, aby skopírované súbory vlastnil používateľ, ktorý ich kopíruje. Tento problém sa netýka systémov starších ako Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Gerrit DeWitt z univerzity Auburn University (Auburn, AL).

  • DesktopServices

    CVE-ID: CVE-2010-0537

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže získať prístup k užívateľským údajom prostredníctvom viacstupňového útoku

    Popis: Problém s rozlišovaním ciest v DesktopServices je zraniteľný voči viacstupňovému útoku. Vzdialený útočník musí najprv prinútiť používateľa, aby pripojil ľubovoľne pomenovaný zdieľaný adresár, čo možno vykonať pomocou schémy URL. Pri ukladaní súboru pomocou predvoleného panela ukladania v akejkoľvek aplikácii a pri použití funkcie „Prejsť do priečinka“ alebo pri presúvaní priečinkov na panel ukladania sa údaje môžu neočakávane uložiť do zdieľaného adresára so škodlivým kódom. Tento problém bol vyriešený prostredníctvom vylepšenia rozlišovania ciest. Tento problém sa netýka systémov starších ako Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Sidney San Martin (DeepTech, Inc.).

  • Disk Images

    CVE-ID: CVE-2010-0065

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Pripojenie obrazu disku so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri manipulácii s bzip2 komprimovanými obrazmi disku dochádza k problému s poškodením pamäte. Pripojenie obrazu disku so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie patrí spoločnosti Apple.

  • Disk Images

    CVE-ID: CVE-2010-0497

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Pripojenie obrazu disku so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrazov disku s internetovým povolením dochádza k problému s návrhom. Pripojenie obrazu disku s internetovým povolením, ktorý obsahuje typ súboru balíka, ho otvorí a nezobrazí ho vo Finderi. Táto funkcia karantény súborov pomáha zmierniť tento problém poskytnutím dialógového okna s upozornením na nebezpečné typy súborov. Tento problém bol vyriešený vylepšeným spracovaním typov súborov balíkov na obrazoch diskov s internetovým povolením. Poďakovanie za nahlásenie tohto problému si zaslúži Brian Mastenbrook spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • Directory Services

    CVE-ID: CVE-2010-0498

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Lokálny používateľ môže získať systémové oprávnenia

    Popis: Problém s autorizáciou pri spracúvaní názvov záznamov v Directory Services môže umožniť lokálnemu používateľovi získať systémové oprávnenia. Tento problém bol vyriešený vylepšením kontrol autorizácie. Poďakovanie patrí spoločnosti Apple.

  • Dovecot

    CVE-ID: CVE-2010-0535

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Overený používateľ môže byť schopný odosielať a prijímať poštu, aj keď používateľ nie je v zozname SACL používateľov, ktorí majú na to povolenie

    Popis: Keď je povolená autentifikácia Kerberos, v Dovecot dochádza k problému s riadením prístupu. To môže umožniť overenému používateľovi odosielať a prijímať poštu, aj keď používateľ nie je na zozname riadenia prístupu k službám (SACL) používateľov, ktorí majú na to povolenie. Tento problém bol vyriešený vylepšením kontrol riadenia prístupu. Tento problém sa netýka systémov starších ako Mac OS X 10.6.

  • Event Monitor

    CVE-ID: CVE-2010-0500

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže spôsobiť pridanie ľubovoľných systémov na čierny zoznam firewallu

    Popis: Vyhľadávanie reverzného záznamu DNS sa vykonáva na vzdialených klientoch ssh s neúspešným overením. Pri spracúvaní rozpoznaných názvov DNS dochádza k problému súvisiacemu s vložením kódu plist. To môže umožniť vzdialenému útočníkovi spôsobiť pridanie ľubovoľných systémov na čierny zoznam firewallu. Tento problém bol vyriešený správnym escapovaním rozpoznaných názvov DNS. Poďakovanie patrí spoločnosti Apple.

  • FreeRADIUS

    CVE-ID: CVE-2010-0524

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže získať prístup k sieti prostredníctvom overenia RADIUS

    Popis: V predvolenej konfigurácii Mac OS X servera FreeRADIUS dochádza k problému s overením certifikátu. Vzdialený útočník môže použiť EAP-TLS s ľubovoľným platným certifikátom na overenie a pripojenie k sieti nakonfigurovanej na používanie servera FreeRADIUS na overenie. Tento problém bol vyriešený zakázaním podpory pre EAP-TLS v konfigurácii. Klienti RADIUS by namiesto toho mali používať EAP-TTLS. Tento problém sa týka iba systémov Mac OS X Server. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Linstruth (Qnet).

  • FTP Server

    CVE-ID: CVE-2010-0501

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Používatelia môžu byť schopní načítať súbory mimo koreňového adresára FTP

    Popis: Na serveri FTP dochádza k problému s prechodom adresára. To môže používateľom umožniť načítať súbory mimo koreňového adresára FTP. Tento problém bol vyriešený vylepšením spracúvania názvov súborov. Tento problém sa týka iba systémov Mac OS X Server. Poďakovanie patrí spoločnosti Apple.

  • iChat Server

    CVE-ID: CVE-2006-1329

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

    Popis: Pri spracúvaní vyjednávania SASL v jabberd dochádza k problému s implementáciou. Vzdialený útočník môže byť schopný ukončiť operáciu jabberd. Tento problém bol vyriešený vylepšením spracúvania vyjednávania SASL. Tento problém sa týka iba systémov Mac OS X Server.

  • iChat Server

    CVE-ID: CVE-2010-0502

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Správy v čete nemusia byť zaznamenané

    Popis: V podpore konfigurovateľného zaznamenávania skupinového četu iChat Servera dochádza k problému s návrhom. iChat Server zaznamenáva iba správy s určitými typmi správ. To môže umožniť vzdialenému používateľovi odoslať správu cez server bez jej zaznamenania. Problém bol vyriešený odstránením možnosti vypnúť zaznamenávanie skupinového četu a zaznamenávaním všetkých správ, ktoré sa odosielajú cez server. Tento problém sa týka iba systémov Mac OS X Server. Poďakovanie patrí spoločnosti Apple.

  • iChat Server

    CVE-ID: CVE-2010-0503

    Dostupné pre: Mac OS X Server 10.5.8

    Dosah: Neoverený používateľ môže byť schopný spôsobiť neočakávane ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V iChat Serveri dochádza k problému s použitím po uvoľnení. Neoverený používateľ môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Tento problém bol vyriešený vylepšením sledovania referencií pamäte. Tento problém sa týka iba systémov Mac OS X Server a netýka sa verzií 10.6 alebo novších.

  • iChat Server

    CVE-ID: CVE-2010-0504

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Neoverený používateľ môže byť schopný spôsobiť neočakávane ukončenie aplikácie alebo spustenie ľubovoľného kódu

    Popis: V iChat Server dochádza k viacerým pretečeniam medzipamäte zásobníka. Neoverený používateľ môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Tieto problémy boli vyriešené vylepšením správy pamäte. Tieto problémy sa týkajú len systémov Mac OS X Server. Poďakovanie patrí spoločnosti Apple.

  • ImageIO

    CVE-ID: CVE-2010-0505

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie obrázka JP2 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov JP2 dochádza k pretečeniu medzipamäte haldy. Zobrazenie obrázka JP2 so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúžia Chris Ries (Carnegie Mellon University Computing Service) a výskumník 85319bb6e6ab398b334509c50afce5259d42756e spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari

    Popis: Pri spracúvaní obrázkov BMP v triede ImageIO dochádza k problému s prístupom k neinicializovanej pamäti. Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari. Tento problém bol vyriešený vylepšením inicializácie pamäte a dodatočným overovaním obrázkov BMP. Poďakovanie za nahlásenie tohto problému si zaslúži Matthew „j00ru“ Jurczyk zo spoločnosti Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari

    Popis: Pri spracúvaní obrázkov TIFF v triede ImageIO dochádza k problému s prístupom k neinicializovanej pamäti. Pri navštívení webovej stránky so škodlivým kódom sa môžu na túto stránku odoslať údaje z pamäte prehliadača Safari. Tento problém bol vyriešený vylepšením inicializácie pamäte a dodatočným overovaním obrázkov TIFF. Poďakovanie za nahlásenie tohto problému si zaslúži Matthew „j00ru“ Jurczyk zo spoločnosti Hispasec.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Spracovanie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov TIFF dochádza k problému s poškodením pamäte. Spracovanie obrázka TIFF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením spracovania obsahu pamäte. Tento problém sa netýka systémov starších ako Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Gus Mueller (Flying Meat).

  • Image RAW

    CVE-ID: CVE-2010-0506

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8 

    Dosah: Zobrazenie obrázka NEF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov NEF súčasťou Image RAW dochádza k pretečeniu medzipamäte. Zobrazenie obrázka NEF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

  • Image RAW

    CVE-ID: CVE-2010-0507

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie obrázka PEF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní obrázkov PEF súčasťou Image RAW dochádza k pretečeniu medzipamäte. Zobrazenie obrázka PEF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Ries z tímu Computing Services na univerzite Carnegie Mellon University.

  • Libsystem

    CVE-ID: CVE-2009-0689

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Aplikácie, ktoré konvertujú nedôveryhodné údaje medzi binárnou sústavou pohyblivej rádovej čiarky a textu, sú zraniteľné voči neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V kóde konverzie binárnej sústavy pohyblivej rádovej čiarky a textu v rámci Libsystem dochádza k pretečeniu medzipamäte. Útočník, ktorý môže spôsobiť, že aplikácia skonvertuje hodnotu s pohyblivou rádovou čiarkou na dlhý reťazec alebo analyzuje reťazec so škodlivým kódom ako hodnotu s pohyblivou rádovou čiarkou, môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži Maksymilian Arciemowicz ( SecurityReason.com).

  • Mail

    CVE-ID: CVE-2010-0508

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Pravidlá spojené s odstráneným e-mailovým účtom zostávajú v platnosti

    Popis: Pravidlá filtrovania definované používateľom spojené s e-mailovým účtom zostávajú aktívne po jeho odstránení. To môže viesť k neočakávaným úkonom. Tento problém bol vyriešený zakázaním spojených pravidiel pri odstránení e-mailového účtu.

  • Mail

    CVE-ID: CVE-2010-0525

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Mail môže používať slabší šifrovací kľúč pre odchádzajúce e-maily

    Popis: Pri spracúvaní šifrovacích certifikátov v rámci Mail dochádza k logickému problému. Ak v kľúčenke existuje viacero certifikátov pre príjemcu, Mail môže vybrať šifrovací kľúč, ktorý nie je určený na šifrovanie. To môže viesť k bezpečnostnému problému, ak je vybraný kľúč slabší, ako sa očakávalo. Tento problém bol vyriešený zabezpečením, že rozšírenie používania kľúča v rámci certifikátov sa vyhodnotí pri výbere šifrovacieho kľúča e-mailu. Poďakovanie za nahlásenie tohto problému si zaslúži Paul Suh (ps Enable, Inc.),

  • Mailman

    CVE-ID: CVE-2008-0564

    Dostupné pre: Mac OS X Server 10.5.8

    Dosah: Viacero nedostatočne zabezpečených miest v softvéri Mailman 2.1.9

    Popis: V softvéri Mailman 2.1.9 dochádza k viacerým problémom so skriptovaním medzi lokalitami. Tieto problémy boli vyriešené aktualizáciou softvéru Mailman na verziu 2.1.13. Ďalšie informácie sú dostupné na stránke softvéru Mailman na adrese http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Tieto problémy sa týkajú iba systémov Mac OS X Server a netýkajú sa verzií 10.6 alebo novších.

  • MySQL

    CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Dostupné pre: Mac OS X Server 10.6 až 10.6.2

    Dosah: Viacero nedostatočne zabezpečených miest v databáze MySQL 5.0.82

    Popis: Databáza MySQL bola aktualizovaná na verziu 5.0.88 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Tieto problémy sa týkajú len systémov Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke databázy MySQL na adrese http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html

  • OS Services

    CVE-ID: CVE-2010-0509

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Lokálny používateľ môže byť schopný získať oprávnenia vyššej úrovne

    Popis: V rámci SFLServera dochádza k problému s eskaláciou oprávnení, pretože funguje ako skupina „wheel“ a pristupuje k súborom v domovských adresároch používateľov. Tento problém bol vyriešený vylepšením správy oprávnení. Poďakovanie za nahlásenie tohto problému si zaslúži Kevin Finisterre (DigitalMunition).

  • Password Server

    CVE-ID: CVE-2010-0510

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže byť schopný prihlásiť sa pomocou zastaraného hesla

    Popis: Problém s implementáciou pri spracúvaní replikácie v rámci Password Server môže spôsobiť, že heslá nebudú replikované. Vzdialený útočník môže byť schopný prihlásiť sa do systému pomocou zastaraného hesla. Tento problém bol vyriešený vylepšením spracúvania replikácie hesiel. Tento problém sa týka iba systémov Mac OS X Server. Poďakovanie za nahlásenie tohto problému si zaslúži Jack Johnson (Anchorage School District).

  • perl

    CVE-ID: CVE-2008-5302, CVE-2008-5303

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Lokálny používateľ môže spôsobiť odstránenie ľubovoľných súborov

    Popis: Vo funkcii rmtree modulu File::Path perl dochádza k viacerým problémom s postupnosťou vykonania procesov. Lokálny používateľ s prístupom na zapisovanie do adresára, ktorý sa odstraňuje, môže spôsobiť odstránenie ľubovoľných súborov s oprávneniami procesu perl. Tento problém bol vyriešený vylepšením spracovávania symbolických odkazov. Tento problém sa netýka systémov Mac OS X 10.6.

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Viacero nedostatočne zabezpečených miest v PHP 5.3.0

    Popis: Jazyk PHP bol aktualizovaný na verziu 5.3.1 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú k dispozícii na webovej stránke PHP na adrese http://www.php.net/

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Viacero nedostatočne zabezpečených miest v PHP 5.2.11

    Popis: Jazyk PHP bol aktualizovaný na verziu 5.2.12 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k skriptovaniu medzi lokalitami. Ďalšie informácie sú k dispozícii na webovej stránke PHP na adrese http://www.php.net/

  • Podcast Producer

    CVE-ID: CVE-2010-0511

    Dostupné pre: Mac OS X Server 10.6 až 10.6.2

    Dosah: Neoprávnený používateľ môže mať prístup k pracovnému toku servera Podcast Composer

    Popis: Pri prepísaní pracovného toku servera Podcast Composer sa odstránia obmedzenia prístupu. To môže umožniť neoprávnenému používateľovi prístup k pracovnému toku servera Podcast Composer. Tento problém bol vyriešený vylepšením spracúvania obmedzení prístupu k pracovnému toku. Server Podcast Composer bol uvedený v systéme Mac OS X Server 10.6.

  • Preferences

    CVE-ID: CVE-2010-0512

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Používateľ siete môže byť schopný obísť obmedzenia prihlásenia do systému

    Popis: Pri spracúvaní obmedzení prihlásenia do systému pre sieťové účty dochádza k problému s implementáciou. Ak sú sieťové účty povolené na prihlásenie do systému v prihlasovacom okne identifikované iba členstvom v skupine, obmedzenie sa neuplatní a všetci používatelia siete sa budú môcť prihlásiť do systému. Tento problém bol vyriešený vylepšením správy skupinových obmedzení na paneli nastavení účtov. Tento problém sa týka iba systémov nakonfigurovaných na používanie servera sieťových účtov a netýka sa systémov starších ako Mac OS X 10.6. Poďakovanie za nahlásenie tohto problému si zaslúži Christopher D. Grieb (University of Michigan MSIS).

  • PS Normalizer

    CVE-ID: CVE-2010-0513

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie súboru PostScript so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní súborov PostScript dochádza k pretečeniu medzipamäte zásobníka. Zobrazenie súboru PostScript so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vykonaním dodatočného overenia súborov PostScript. V systémoch Mac OS X 10.6 je tento problém zmiernený príznakom kompilátora -fstack-protector. Poďakovanie patrí spoločnosti Apple.

  • QuickTime

    CVE-ID: CVE-2010-0062

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním H.263 softvérom QuickTime dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním H.263. Poďakovanie za nahlásenie tohto problému si zaslúžia Damian Put a anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • QuickTime

    CVE-ID: CVE-2010-0514

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním H.261 dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním H.261. Poďakovanie za nahlásenie tohto problému si zaslúži Will Dormann (CERT/CC).

  • QuickTime

    CVE-ID: CVE-2010-0515

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním H.264 dochádza k poškodeniu pamäte. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním H.264. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • QuickTime

    CVE-ID: CVE-2010-0516

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním RLE dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním RLE. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • QuickTime

    CVE-ID: CVE-2010-0517

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním M-JPEG dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním M-JPEG. Poďakovanie za nahlásenie tohto problému si zaslúžia Damian Put a anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • QuickTime

    CVE-ID: CVE-2010-0518

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním Sorenson dochádza k problému s poškodením pamäte. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním Sorenson. Poďakovanie za nahlásenie tohto problému si zaslúži Will Dormann (CERT/CC).

  • QuickTime

    CVE-ID: CVE-2010-0519

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním FlashPix dochádza k pretečeniu celočíselných hodnôt. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • QuickTime

    CVE-ID: CVE-2010-0520

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním FLC dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním FLC. Poďakovanie za nahlásenie tohto problému si zaslúžia Moritz Jodeit (n.runs AG) spolupracujúci s projektom Zero Day Initiative tímu TippingPoint a Nicolas Joly (VUPEN Security).

  • QuickTime

    CVE-ID: CVE-2010-0526

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie súboru MPEG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri spracúvaní filmových súborov s kódovaním MPEG dochádza k pretečeniu medzipamäte haldy. Zobrazenie filmového súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený zavedením dodatočného overovania filmových súborov s kódovaním MPEG. Poďakovanie za nahlásenie tohto problému si zaslúži anonymný výskumník spolupracujúci s projektom Zero Day Initiative tímu TippingPoint.

  • Ruby

    CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Viaceré problémy v rámci Ruby on Rails

    Popis: V Ruby on Rails je viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k skriptovaniu medzi lokalitami. V systémoch Mac OS X 10.6 boli tieto problémy vyriešené aktualizáciou Ruby on Rails na verziu 2.3.5. Systémov Mac OS X 10.5 sa týka iba CVE-2009-4214 a tento problém bol vyriešený vylepšením overenia argumentov na strip_tags.

  • Ruby

    CVE-ID: CVE-2009-1904

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Spustenie skriptu Ruby, ktorý používa nedôveryhodný vstup na inicializáciu objektu BigDecimal, môže viesť k neočakávanému ukončeniu aplikácie

    Popis: Pri spracúvaní objektov BigDecimal s veľmi veľkými hodnotami v rámci Ruby dochádza k problému súvisiacemu s vyčerpaním zásobníka. Spustenie skriptu Ruby, ktorý používa nedôveryhodný vstup na inicializáciu objektu BigDecimal, môže viesť k neočakávanému ukončeniu aplikácie. Pre systémy Mac OS X 10.6 bol tento problém vyriešený aktualizáciou Ruby na verziu 1.8.7-p173. Pre systémy Mac OS X 10.5 bol tento problém vyriešený aktualizáciou Ruby na verziu 1.8.6-p369.

  • Server Admin

    CVE-ID: CVE-2010-0521

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže extrahovať informácie zo služby Open Directory

    Popis: Pri spracúvaní overenej väzby adresára dochádza k problému s návrhom. Vzdialený útočník môže byť schopný anonymne extrahovať informácie zo služby Open Directory, aj keď je povolená možnosť Vyžadovať overenú väzbu medzi adresárom a klientmi. Problém bol vyriešený odstránením tejto možnosti konfigurácie. Tento problém sa týka iba systémov Mac OS X Server. Poďakovanie za nahlásenie tohto problému si zaslúžia Scott Gruby (Gruby Solutions) a Mathias Haack (GRAVIS Computervertriebsgesellschaft mbH).

  • Server Admin

    CVE-ID: CVE-2010-0522

    Dostupné pre: Mac OS X Server 10.5.8

    Dosah: Bývalý správca môže mať neoprávnený prístup k zdieľaniu obrazovky

    Popis: Používateľ, ktorý je odstránený zo skupiny „admin“, sa môže stále pripojiť k serveru pomocou zdieľania obrazovky. Tento problém bol vyriešený vylepšením spracúvania oprávnení správcu. Tento problém sa týka iba systémov Mac OS X Server a netýka sa verzií 10.6 alebo novších. Poďakovanie patrí spoločnosti Apple.

  • SMB

    CVE-ID: CVE-2009-2906

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

    Popis: Pri spracúvaní upozornení o prerušení „oplock“ SMB v systéme Samba dochádza k problému s nekonečnou slučkou. Vzdialený útočník môže byť schopný spustiť nekonečnú slučku v smbd, čo spôsobí spotrebúvanie nadmerných zdrojov CPU. Tento problém bol vyriešený vylepšením spracúvania upozornení o prerušení „oplock“.

  • Tomcat

    CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6 až 10.6.2

    Dosah: Viacero nedostatočne zabezpečených miest v serveri Tomcat 6.0.18

    Popis: Server Tomcat bol aktualizovaný na verziu 6.0.24 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k útoku skriptovania medzi lokalitami. Tomcat sa poskytuje iba v systémoch Mac OS X Server. Ďalšie informácie sú k dispozícii na stránke súčasti Tomcat na adrese http://tomcat.apache.org/

  • unzip

    CVE-ID: CVE-2008-0888

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Extrahovanie súborov zip so škodlivým kódom pomocou príkazového nástroja na rozbalenie môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu kódu

    Popis: Pri spracúvaní súborov zip dochádza k problému s neinicializovaným ukazovateľom. Extrahovanie súborov zip so škodlivým kódom pomocou príkazového nástroja na rozbalenie môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vykonaním dodatočného overenia súborov zip. Tento problém sa netýka systémov Mac OS X 10.6.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Viacero nedostatočne zabezpečených miest v softvéri vim 7.0

    Popis: V softvéri vim 7.0 je viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu pri práci so súbormi so škodlivým kódom. Tieto problémy boli vyriešené aktualizáciou na vim 7.2.102. Tieto problémy sa netýkajú systémov Mac OS X 10.6. Ďalšie informácie sú dostupné na webovej stránke vim na adrese http://www.vim.org/

  • Wiki Server

    CVE-ID: CVE-2010-0523

    Dostupné pre: Mac OS X Server 10.5.8

    Dosah: Nahranie appletu so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Wiki Server umožňuje používateľom nahrávať aktívny obsah, ako sú applety Java. Vzdialený útočník môže získať citlivé informácie nahraním appletu so škodlivým kódom a nasmerovaním používateľa servera Wiki Server k jeho zobrazeniu. Problém bol vyriešený použitím špeciálneho jednorazového overovacieho cookie, ktorý je možné použiť len na stiahnutie konkrétnej prílohy. Tento problém sa týka iba systémov Mac OS X Server a netýka sa verzií 10.6 alebo novších.

  • Wiki Server

    CVE-ID: CVE-2010-0534

    Dostupné pre: Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Overený používateľ môže obísť obmedzenia vytvárania weblogov

    Popis: Wiki Server podporuje zoznamy riadenia prístupu k službám (SACL), čo umožňuje správcovi kontrolovať zverejňovanie obsahu. Wiki Server nenahliada do SACL weblogu pri vytváraní weblogu používateľa. To môže umožniť overenému používateľovi zverejniť obsah na serveri Wiki Server, aj keď by zverejnenie malo byť zakázané podľa SACL. Tento problém sa netýka systémov starších ako Mac OS X 10.6.

  • X11

    CVE-ID: CVE-2009-2042

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie obrázka so škodlivým kódom môže viesť k úniku citlivých informácií

    Popis: Knižnica libpng bola aktualizovaná na verziu 1.2.37 s cieľom riešiť problém, ktorý môže viesť k úniku citlivých informácií. Ďalšie informácie sú dostupné na stránke knižnice libpng na adrese http://www.libpng.org/pub/png/libpng.html

  • X11

    CVE-ID: CVE-2003-0063

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.2, Mac OS X Server 10.6 až 10.6.2

    Dosah: Zobrazenie údajov so škodlivým kódom v termináli xterm môže viesť k spusteniu ľubovoľného kódu

    Popis: Program xterm podporuje sekvenciu príkazov na zmenu názvu okna a vytlačenie názvu okna na termináli. Vrátené informácie sú poskytnuté terminálu, ako keby išlo o vstup používateľa z klávesnice. V termináli xterm môže zobrazenie údajov obsahujúcich takéto sekvencie so škodlivým kódom viesť k vloženiu príkazu. Tento problém bol vyriešený zakázaním dotknutej sekvencie príkazov.

  • xar

    CVE-ID: CVE-2010-0055

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dosah: Upravený balík sa môže zobrazovať ako platne podpísaný

    Popis: Pri overovaní podpisu balíka dochádza k v programe xar k chybe návrhu. To môže umožniť zobrazenie balíka ako platne podpísaného. Tento problém bol opravený vylepšením overovania podpisu balíkov. Tento problém sa netýka systémov Mac OS X 10.6. Poďakovanie patrí spoločnosti Apple.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Dátum zverejnenia: