Informácie o aktualizácii zabezpečenia 2010-005
V tomto dokumente sa opisuje aktualizácia zabezpečenia 2010-005.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Aktualizácia zabezpečenia 2010-005
ATS
CVE-ID: CVE-2010-1808
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Prezeranie alebo sťahovanie dokumentu, ktorý obsahuje vložené písmo so škodlivým kódom, môže viesť k spusteniu ľubovoľného kódu
Popis: Pri manipulácii s vloženými písmami službou Apple Type Services dochádza k pretečeniu medzipamäte zásobníka. Prezeranie alebo sťahovanie dokumentu obsahujúceho vložený font so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CFNetwork
CVE-ID: CVE-2010-1800
Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Útočník so sieťovými oprávneniami môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie
Popis: Architektúra CFNetwork povoľuje anonymné pripojenia TLS/SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém neovplyvňuje aplikáciu Mail. Tento problém sa vyrieši zakázaním anonymných pripojení TLS/SSL. Tento problém sa nevyskytuje v systémoch pred Mac OS X 10.6.3. Poďakovanie za nahlásenie tohto problému: Aaron Sigel zo spoločnosti vtty.com, Jean-Luc Giraud zo spoločnosti Citrix, Tomas Bjurman zo spoločnosti Sirius IT a Wan-Teh Chang zo spoločnosti Google, Inc.
ClamAV
CVE-ID: CVE-2010-0098, CVE-2008-5314
Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6.4
Dosah: Viacero nedostatočne zabezpečených miest v softvéri ClamAV
Popis: V softvéri ClamAV existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aktualizáciou softvéru ClamAV na verziu 0.96.1. ClamAV sa distribuuje len so systémami Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke softvéru ClamAV na adrese http://www.clamav.net/
CoreGraphics
CVE-ID: CVE-2010-1801
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri manipulácii súčasti CoreGraphics so súbormi PDF dochádza k pretečeniu medzipamäte haldy. Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému: Rodrigo Rubira Branco z Check Point Vulnerability Discovery Team (VDT).
libsecurity
CVE-ID: CVE-2010-1802
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Útočník v privilegovanej pozícii v sieti, ktorý môže získať názov domény, ktorý sa od názvu legitímnej domény líši len v posledných znakoch, sa môže vydávať za hostiteľov v tejto doméne.
Popis: Existuje problém pri spracúvaní názvov hostiteľov certifikátov. V prípade názvov hostiteľov obsahujúcich tri alebo viac zložiek sa posledné znaky správne neporovnávajú. V prípade názvu, ktorý obsahuje presne tri zložky, sa nekontroluje iba posledný znak. Ak by napríklad útočník v privilegovanej pozícii v sieti mohol získať certifikát pre www.example.con, mohol by sa vydávať za www.example.com. Tento problém sa vyriešil zlepšením spracovania názvov hostiteľov certifikátov. Poďakovanie za nahlásenie tohto problému: Peter Speck.
PHP
CVE-ID: CVE-2010-1205
Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Načítanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: V knižnici libpng súčasti PHP dochádza k pretečeniu medzipamäte. Načítanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém sa vyriešil aktualizáciou knižnice libpng v rámci PHP na verziu 1.4.3. Tento problém sa nevyskytuje v systémoch pre Mac OS X 10.6.
PHP
CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484
Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Viacero nedostatočne zabezpečených miest v PHP 5.3.1
Popis: Súčasť PHP bola aktualizovaná na verziu 5.3.2 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú k dispozícii na webovej stránke PHP na adrese http://www.php.net/
Samba
CVE-ID: CVE-2010-2063
Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4
Dosah: Neoverený vzdialený útočník môže spôsobiť odmietnutie služby alebo spustenie ľubovoľného kódu
Popis: V súčasti Samba dochádza k pretečeniu medzipamäte. Neoverený vzdialený útočník môže spôsobiť odmietnutie služby alebo spustenie ľubovoľného kódu odoslaním paketu so škodlivým kódom. Tento problém sa vyriešil dodatočným overovaním paketov v súčasti Samba.
Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.