Tento článok bol archivovaný a spoločnosť Apple ho už neaktualizuje.

Informácie o aktualizácii zabezpečenia 2010-005

V tomto dokumente sa opisuje aktualizácia zabezpečenia 2010-005.

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.

Informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku „Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple“.

Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.

Aktualizácia zabezpečenia 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Prezeranie alebo sťahovanie dokumentu, ktorý obsahuje vložené písmo so škodlivým kódom, môže viesť k spusteniu ľubovoľného kódu

    Popis: Pri manipulácii s vloženými písmami službou Apple Type Services dochádza k pretečeniu medzipamäte zásobníka. Prezeranie alebo sťahovanie dokumentu obsahujúceho vložený font so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Útočník so sieťovými oprávneniami môže zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie

    Popis: Architektúra CFNetwork povoľuje anonymné pripojenia TLS/SSL. Útočníkovi využívajúcemu útok typu MITM (man-in-the-middle) to môže umožniť presmerovať pripojenia a zachytávať prihlasovacie údaje používateľov alebo iné citlivé informácie. Tento problém neovplyvňuje aplikáciu Mail. Tento problém sa vyrieši zakázaním anonymných pripojení TLS/SSL. Tento problém sa nevyskytuje v systémoch pred Mac OS X 10.6.3. Poďakovanie za nahlásenie tohto problému: Aaron Sigel zo spoločnosti vtty.com, Jean-Luc Giraud zo spoločnosti Citrix, Tomas Bjurman zo spoločnosti Sirius IT a Wan-Teh Chang zo spoločnosti Google, Inc.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2008-5314

    Dostupné pre: Mac OS X Server 10.5.8, Mac OS X Server 10.6.4

    Dosah: Viacero nedostatočne zabezpečených miest v softvéri ClamAV 

    Popis: V softvéri ClamAV  existuje viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie môžu viesť k spusteniu ľubovoľného kódu. Táto aktualizácia rieši tieto problémy aktualizáciou softvéru ClamAV na verziu 0.96.1. ClamAV sa distribuuje len so systémami Mac OS X Server. Ďalšie informácie sú k dispozícii na webovej stránke softvéru ClamAV na adrese http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Otvorenie súboru PDF so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: Pri manipulácii súčasti CoreGraphics so súbormi PDF dochádza k pretečeniu medzipamäte haldy. Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém bol vyriešený vylepšením kontroly rozsahu. Poďakovanie za nahlásenie tohto problému: Rodrigo Rubira Branco z Check Point Vulnerability Discovery Team (VDT).

  • libsecurity

    CVE-ID: CVE-2010-1802

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Útočník v privilegovanej pozícii v sieti, ktorý môže získať názov domény, ktorý sa od názvu legitímnej domény líši len v posledných znakoch, sa môže vydávať za hostiteľov v tejto doméne.

    Popis: Existuje problém pri spracúvaní názvov hostiteľov certifikátov. V prípade názvov hostiteľov obsahujúcich tri alebo viac zložiek sa posledné znaky správne neporovnávajú. V prípade názvu, ktorý obsahuje presne tri zložky, sa nekontroluje iba posledný znak. Ak by napríklad útočník v privilegovanej pozícii v sieti mohol získať certifikát pre www.example.con, mohol by sa vydávať za www.example.com. Tento problém sa vyriešil zlepšením spracovania názvov hostiteľov certifikátov. Poďakovanie za nahlásenie tohto problému: Peter Speck.

  • PHP

    CVE-ID: CVE-2010-1205

    Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Načítanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

    Popis: V knižnici libpng súčasti PHP dochádza k pretečeniu medzipamäte. Načítanie obrázka PNG so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu. Tento problém sa vyriešil aktualizáciou knižnice libpng v rámci PHP na verziu 1.4.3. Tento problém sa nevyskytuje v systémoch pre Mac OS X 10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Dostupné pre: Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Viacero nedostatočne zabezpečených miest v PHP 5.3.1

    Popis: Súčasť PHP bola aktualizovaná na verziu 5.3.2 s cieľom odstrániť viacero nedostatočne zabezpečených miest, z ktorých tie najvážnejšie mohli viesť k spusteniu ľubovoľného kódu. Ďalšie informácie sú k dispozícii na webovej stránke PHP na adrese http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Dostupné pre: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6.4, Mac OS X Server 10.6.4

    Dosah: Neoverený vzdialený útočník môže spôsobiť odmietnutie služby alebo spustenie ľubovoľného kódu

    Popis: V súčasti Samba dochádza k pretečeniu medzipamäte. Neoverený vzdialený útočník môže spôsobiť odmietnutie služby alebo spustenie ľubovoľného kódu odoslaním paketu so škodlivým kódom. Tento problém sa vyriešil dodatočným overovaním paketov v súčasti Samba.

Dôležité: Uvedenie webových stránok a produktov tretích strán slúži len na informačné účely a nepredstavuje podporu ani odporúčanie. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním informácií alebo produktov, ktoré sa nachádzajú na webových stránkach tretích strán. Spoločnosť Apple ich poskytuje len pre pohodlie používateľov. Spoločnosť Apple netestovala informácie uvedené na týchto stránkach a neposkytuje žiadne vyhlásenia týkajúce sa ich presnosti alebo spoľahlivosti. S používaním akýchkoľvek informácií alebo produktov uvedených na internete sú spojené riziká a spoločnosť Apple v tejto súvislosti nenesie žiadnu zodpovednosť. Webové stránky tretích strán sú nezávislé od spoločnosti Apple a spoločnosť Apple nemá žiadnu kontrolu nad ich obsahom. Ak potrebujete ďalšie informácie, kontaktujte príslušného dodávateľa.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: