Aktualizácie zabezpečenia spoločnosti Apple (od 3. októbra 2003 do 11. januára 2005)

V tomto dokumente sú uvedené aktualizácie zabezpečenia produktov Apple vydané od 3. októbra 2003 do 11. januára 2005.

Dôležité: Informácie o novších aktualizáciách zabezpečenia nájdete na stránke Aktualizácie zabezpečenia Apple.

Informácie o starších aktualizáciách zabezpečenia nájdete na stránke Aktualizácie zabezpečenia Apple (z augusta 2003 a staršie).

S cieľom chrániť svojich zákazníkov spoločnosť Apple neposkytuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problém úplne nepreskúma a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov Apple nájdete na webovej stránke Product Security Incident Response spoločnosti Apple.

Kľúč PGP zabezpečenia produktov Apple

Informácie nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple."

Aktualizácie zabezpečenia

Aktualizácie zabezpečenia sú uvedené nižšie podľa vydania softvéru, pre ktorý boli prvýkrát dostupné. Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.

iTunes 4.7.1

Dostupné pre: Mac OS X, Microsoft Windows XP, Microsoft Windows 2000

CVE-ID: CAN-2005-0043

Dopad: Playlisty so škodlivým kódom môžu spôsobiť zlyhanie iTunes a viesť k spusteniu ľubovoľného kódu.

Opis: iTunes podporuje niekoľko bežných formátov playlistov. ITunes 4.7.1 opravuje problém s pretečením medzipamäte pri analýze súborov playlistov m3u a pls, ktorý mohol spôsobiť zlyhanie starších verzií iTunes a spustenie ľubovoľného kódu. Poďakovanie za objavenie tohto problému si zaslúži Sean de Regge (seanderegge[at]hotmail.com), poďakovanie za jeho nahlásenie si zaslúži tím iDEFENSE Labs.

Aktualizácia zabezpečenia 2004-12-02

Apache

Dostupné pre: Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1082

Dopad: Autentifikácia mod_digest_apple systému Apache je nedostatočne zabezpečená voči útokom typu replay.

Opis: Autentifikácia mod_digest_apple systému Mac OS X Server je založená na module mod_digest systému Apache. Vo verziách 1.3.31 a 1.3.32 systému Apache (CAN-2003-0987) boli vykonané viaceré opravy problému súvisiaceho s útokom typu replay na modul mod_digest. Táto aktualizácia opravuje problém s útokom typu replay v autentifikácii mod_digest_Apple prostredníctvom úprav vo verzii Apache 1.3.32.

Apache

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940

Dopad: Viacero nedostatočne zabezpečených miest v systéme Apache a module mod_ssl vrátane zvýšenia úrovne lokálnych oprávnení, vzdialeného odmietnutia služby a v niektorých upravených konfiguráciách aj spustenia ľubovoľného kódu.

Opis: Skupina Apache Group opravila niekoľko nedostatočne zabezpečených miest medzi verziami 1.3.29 a 1.3.33. Stránka skupiny Apache Group o zabezpečení pre Apache 1.3 sa nachádza na adrese http://www.apacheweek.com/features/security-13. Predtým nainštalovaná verzia Apache bola 1.3.29. Predvolená inštalácia Apache nepovoľuje modul mod_ssl. Táto aktualizácia rieši všetky príslušné problémy aktualizáciou systému Apache na verziu 1.3.33 a sprievodného modulu mod_ssl na verziu 2.8.22.

Apache

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1083

Dopad: Konfigurácie Apache úplne neblokovali prístup k súborom .DS_Store ani k súborom začínajúcim sa na .HT.

Opis: Predvolená konfigurácia Apache blokuje prístup k súborom začínajúcim sa na .HT spôsobom, pri ktorom sa rozlišujú malé a veľké písmená. Súborový systém Apple HFS+ zabezpečuje prístup k súborom spôsobom, pri ktorom sa malé a veľké písmená nerozlišujú. Finder môže tiež vytvárať súbory .DS_Store obsahujúce názvy súborov v umiestneniach používaných na poskytovanie webových stránok. Táto aktualizácia upravuje konfiguráciu systému Apache tak, aby obmedzovala prístup ku všetkým súborom začínajúcim sa na .HT alebo .DS_S bez ohľadu na veľkosť písmen. Viac...

Apache

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1084

Dopad: Dáta súborov a obsah sekcií zdrojov je možné získať prostredníctvom protokolu HTTP a obísť tak bežné obslužné programy súborov Apache.

Opis: Súborový systém Apple HFS+ umožňuje, aby mali súbory viacero dátových streamov. K týmto dátovým streamom je možné získať prístup priamo pomocou špeciálnych názvov súborov. Špeciálne vytvorená požiadavka HTTP môže obísť obslužný program súborov Apache a priamo pristupovať k dátam súborov alebo k obsahu sekcií zdrojov. Táto aktualizácia upravuje konfiguráciu systému Apache tak, aby sa zamietali požiadavky na dáta súborov alebo obsah sekcií zdrojov prostredníctvom ich špeciálnych názvov súborov. Ďalšie informácie nájdete v tomto dokumente. Poďakovanie za nahlásenie tohto problému si zaslúži NetSec.

Apache 2

Dostupné pre: Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748

Dopad: Upravené konfigurácie Apache 2 by mohli umožňovať zvýšenie úrovne oprávnení pre lokálnych používateľov a vzdialené odmietnutie služby.

Opis: Konfigurácia systému Apache 2 upravená zákazníkom, v ktorej je povolená funkcia AllowOverride, mohla lokálnemu používateľovi umožniť spustiť ľubovoľný kód ako používateľ Apache (www). Neupravená konfigurácia nie je voči tomuto problému zraniteľná. Táto aktualizácia rieši aj chyby v systéme Apache, ktoré mohli umožňovať zlyhanie servera prostredníctvom určitých typov požiadaviek. Systém Apache bol aktualizovaný na verziu 2.0.52. Systém Apache 2 sa dodáva len so systémom Mac OS X Server a v predvolenom nastavení je vypnutý.

Appkit

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1081

Dopad: Znaky zadané do zabezpečeného textového poľa môžu čítať iné aplikácie v tej istej relácii okna.

Opis: Za určitých okolností nebude zabezpečené pole na zadávanie textu správne umožňovať zabezpečený vstup. Ostatným aplikáciám v tej istej relácii okna to môže umožňovať zobraziť niektoré vstupné znaky a udalosti klávesnice. Zadávanie textu do zabezpečených textových polí je teraz povolené tak, aby nedochádzalo k úniku informácií o stlačených klávesoch.

Appkit

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0803, CAN-2004-0804, CAN-2004-0886

Dopad: Pretečenia celočíselných hodnôt a slabá kontrola rozsahu pri spracovávaní obrázkov tiff mohli umožňovať spustenie ľubovoľného kódu alebo odmietnutie služby.

Opis: Chyby pri dekódovaní obrázkov tiff mohli prepísať pamäť. Mohlo to spôsobiť aritmetické chyby, výsledkom čoho mohlo byť zlyhanie alebo spustenie ľubovoľného kódu. Táto aktualizácia opravuje problémy pri spracovávaní obrázkov tiff.

Cyrus IMAP

Dostupné pre: Mac OS X Server 10.3.6

CVE-ID: CAN-2004-1089

Dopad: Pri používaní autentifikácie Kerberos s protokolom Cyrus IMAP môže overený používateľ získať neoprávnený prístup k iným poštovým schránkam v tom istom systéme.

Opis: Pri používaní mechanizmu autentifikácie Kerberos so serverom Cyrus IMAP mohol používateľ po autentifikácii prepínať poštové schránky a získať prístup k iným poštovým schránkam v tom istom systéme. Táto aktualizácia viaže poštovú schránku na overeného používateľa. Tento problém je špecifický pre server a v systéme Mac OS X Server 10.2.8 k nemu nedochádza. Poďakovanie za nahlásenie tohto problému si zaslúži johan.gradvall@gothia.se.

HIToolbox

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6

CVE-ID: CAN-2004-1085

Dopad: Používatelia môžu ukončiť aplikácie v režime kiosku.

Opis: Špeciálna kombinácia klávesov umožňovala používateľom zobraziť okno vynúteného ukončenia aj v režime kiosku. Táto aktualizácia blokuje všetky kombinácie klávesov na vynútené ukončenie tak, aby nefungovali v režime kiosku. K tomuto problému nedochádza v systéme Mac OS X 10.2.8 ani Mac OS X Server 10.2.8. Poďakovanie za nahlásenie tohto problému si zaslúži Glenn Blauvelt (Coloradská univerzita v Boulderi).

Kerberos

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772

Dopad: Vystavenie potenciálnemu riziku odmietnutiu služby pri používaní autentifikácie Kerberos.

Opis: Univerzita MIT vydala novú verziu protokolu Kerberos, ktorá rieši odmietnutie služby a tri chyby súvisiace s dvojitým uvoľnením. Systém Mac OS X obsahuje ochranu pred chybami súvisiacimi s dvojitým uvoľnením. Táto aktualizácia opravuje problém s odmietnutím služby. Ako preventívne opatrenie boli použité aj opravy chýb súvisiacich s dvojitým uvoľnením. Poďakovanie za nahlásenie tohto problému si zaslúži vývojársky tím protokolu Kerberos na MIT.

Postfix

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6

CVE-ID: CAN-2004-1088

Dopad: Server Postfix používajúci algoritmus CRAM-MD5 môže vzdialenému používateľovi umožňovať odosielanie pošty bez náležitej autentifikácie.

Opis: Servery Postfix používajúce algoritmus CRAM-MD5 na autentifikáciu odosielateľov boli nedostatočne zabezpečené voči útokom typu replay. Za určitých okolností sa prihlasovacie údaje použité na úspešnú autentifikáciu používateľa mohli ešte v krátkom čase znova použiť. Algoritmus CRAM-MD5 používaný na autentifikáciu používateľov bol aktualizovaný tak, aby sa zabránilo časovému úseku umožňujúcemu útok typu replay. K tomuto problému nedochádza v systéme Mac OS X 10.2.8 ani Mac OS X Server 10.2.8. Poďakovanie za nahlásenie tohto problému si zaslúži Victor Duchovni (Morgan Stanley).

PSNormalizer

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6

CVE-ID: CAN-2004-1086

Dopad: Pretečenie medzipamäte pri konverzii formátu PostScript na PDF môže umožniť spustenie ľubovoľného kódu.

Opis: Pretečenie medzipamäte pri spracovávaní konverzie formátu PostScript na PDF mohlo potenciálne umožniť spustenie ľubovoľného kódu. Tieto aktualizácie opravujú kód konverzie formátu PostScript na PDF, aby sa zabránilo pretečeniu medzipamäte. K tomuto problému nedochádza v systéme Mac OS X 10.2.8 ani Mac OS X Server 10.2.8.

QuickTime Streaming Server

Dostupné pre: Mac OS X Server 10.3.6, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1123

Dopad: Špeciálne vytvorené požiadavky môžu spôsobiť odmietnutie služby.

Opis: QuickTime Streaming Server bol nedostatočne zabezpečený voči útoku spôsobujúcemu odmietnutie služby pri spracovávaní požiadaviek DESCRIBE. Táto aktualizácia opravuje spracovanie týchto požiadaviek. Poďakovanie za nahlásenie tohto problému si zaslúži tím iDEFENSE.

Safari

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1121

Dopad: Špeciálne vytvorený kód HTML môže spôsobiť zobrazenie zavádzajúceho identifikátora URI v stavovom riadku prehliadača Safari.

Opis: Prehliadač Safari bolo možné oklamať tak, aby v stavovom riadku zobrazoval identifikátor URI, ktorý nebol rovnaký ako cieľ odkazu. Táto aktualizácia opravuje prehliadač Safari tak, aby zobrazoval identifikátor URI, ktorý sa po výbere odkazu naozaj aktivuje.

Safari

Dostupné pre: Mac OS X 10.3.6, Mac OS X Server 10.3.6, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-1122

Dopad: Keď majú používatelia Safari aktívnych viacero okien prehliadača, možno ich trikom oklamať tak, aby nevedeli, ktoré okno aktivovalo zobrazené vyskakovacie okno.

Opis: Keď je otvorených viacero okien prehliadača Safari, starostlivo načasované vyskakovacie okno môže používateľa oklamať tak, aby si myslel, že ho aktivovala iná stránka. V tejto aktualizácii teraz Safari umiestňuje okno, ktoré aktivovalo vyskakovacie okno, pred všetky ostatné okná prehliadača. Poďakovanie za nahlásenie tohto problému si zaslúži tím Secunia Research.

Terminal

Dostupné pre: Mac OS X 10.3.6 a Mac OS X Server 10.3.6

CVE-ID: CAN-2004-1087

Dopad: Terminál môže uvádzať, že je aktívna zabezpečená klávesnica, aj keď nie je.

Opis: Pri spustení aplikácie Terminal.app sa nastavenie menu Zabezpečená klávesnica neobnovilo správne. Vedľa nastavenia Zabezpečená klávesnica sa zobrazoval symbol zaškrtnutia, aj keď toto nastavenie nebolo zapnuté. Táto aktualizácia opravuje správanie nastavenia Zabezpečená klávesnica. K tomuto problému nedochádza v systéme Mac OS X 10.2.8 ani Mac OS X Server 10.2.8. Poďakovanie za nahlásenie tohto problému si zaslúži Jonathan „Wolf“ Rentzsch (Red Shed Software).

iCal 1.5.4

CVE-ID: CAN-2004-1021

Dopad: Nové kalendáre iCal môžu pridávať alarmy bez schválenia.

Opis: Kalendáre iCal môžu obsahovať hlásenie udalostí prostredníctvom alarmov. Tieto alarmy môžu otvárať programy a posielať e-maily. Aplikácia iCal bola aktualizovaná tak, aby pri importe alebo otváraní kalendárov obsahujúcich alarmy zobrazovala okno s upozornením. iCal 1.5.4 je k dispozícii pre systém Mac OS X 10.2.3 alebo novší. Poďakovanie za nahlásenie tohto problému si zaslúži aaron@vtty.com.

Aktualizácia zabezpečenia 2004-10-27

Apple Remote Desktop

Dostupné pre: Apple Remote Desktop Client 1.2.4 so systémom Mac OS X 10.3.x

CVE-ID: CAN-2004-0962

Dopad: Aplikáciu možno spustiť za prihlasovacím oknom s právami koreňového používateľa.

Opis: Tento problém sa vzťahuje na systémy spĺňajúce nasledujúce podmienky:

• Je nainštalovaný klient Apple Remote Desktop.

• Používateľovi v klientskom systéme bolo udelené oprávnenie na otváranie a ukončovanie aplikácií.

• Používateľské meno a heslo používateľa ARD je známe.

• Je zapnuté rýchle prepínanie používateľov.

• Používateľ je prihlásený a prihlasovacie okno je aktívne prostredníctvom rýchleho prepínania používateľov.

Ak sa na spustenie aplikácie grafického používateľského rozhrania v klientovi použije aplikácia Apple Remote Desktop Administrator v inom systéme, aplikácia grafického používateľského rozhrania sa spustí za prihlasovacím oknom s právami koreňového používateľa. Táto aktualizácia zabraňuje aplikácii Apple Remote Desktop spúšťať aplikácie, keď je aktívne prihlasovacie okno. Toto vylepšenie zabezpečenia je k dispozícii aj v aplikácii Apple Remote Desktop 2.1. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.3. Poďakovanie za nahlásenie tohto problému si zaslúžia Andrew Nakhla a tím Secunia Research.

QuickTime 6.5.2

CVE ID: CAN-2004-0988

Dostupné pre: Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME a Microsoft Windows 98

Dopad: Pretečenie celočíselných hodnôt, ktoré možno zneužiť v prostredí HTML.

Opis: Rozšírenie podpisovania pretečenej malej celočíselnej hodnoty môže mať za následok odovzdania veľmi veľkého čísla funkcii presunu pamäte. Táto oprava zabraňuje pretečeniu malých celočíselných hodnôt. K tomuto problému nedochádza v QuickTime pre systémy Mac OS X. Poďakovanie za nahlásenie tohto problému si zaslúži John Heasman (Next Generation Security Software Ltd.).

CVE-ID: CAN-2004-0926

Dostupné pre: Mac OS X 10.3.x, Mac OS X Server 10.3.x, Mac OS X 10.2.8, Mac OS X Server 10.2.8, Microsoft Windows XP, Microsoft Windows 2000, Microsoft Windows ME a Microsoft Windows 98

Dopad: Pretečenie medzipamäte haldy môže útočníkom umožniť spustenie ľubovoľného kódu.

Opis: Chyby v dekódovaní typu obrázkov BMP mohli prepísať pamäť haldy a potenciálne umožniť spustenie ľubovoľného kódu skrytého v obrázku. Ide o rovnaké vylepšenie zabezpečenia, ktoré bolo k dispozícii v aktualizácii zabezpečenia 2004-09-30, a možno ho nasadiť v ďalších konfiguráciách systémov, na ktoré sa vzťahuje táto aktualizácia QuickTime.

Aktualizácia zabezpečenia 2004-09-30 (vydaná 4. októbra 2004)

AFP Server

Dostupné pre: Mac OS X 10.3.5 a Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0921

Dopad: Odmietnutie služby, ktoré umožňuje hosťovi odpojiť oddiely AFP.

Opis: Oddiel AFP pripojený hosťom bolo možné použiť na ukončenie autentifikovaných používateľských pripojení z toho istého servera úpravou paketov SessionDestroy. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.3 alebo Mac OS X Server 10.3.

AFP Server

Dostupné pre: Mac OS X 10.3.5 a Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0922

Dopad: Drop Box v oddiele AFP určený len na zápis možno nastaviť na čítanie aj zápis.

Opis: Drop Box určený len na zápis v oddiele AFP pripojenom hosťom mohol byť v niektorých prípadoch nastavený na čítanie aj zápis z dôvodu nesprávneho nastavenia identifikátora skupiny hosťa. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.3 alebo Mac OS X Server 10.3.

CUPS

Dostupné pre: Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0558

Dopad: Odmietnutie služby spôsobujúce zablokovanie tlačového systému.

Opis: Pri odoslaní určitého paketu UDP na port IPP mohlo dôjsť k zablokovaniu implementácie protokolu IPP (Internet Printing Protocol) v systéme CUPS.

CUPS

Dostupné pre: Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0923

Dopad: Lokálny únik používateľských hesiel.

Opis: Niektoré metódy overenej vzdialenej tlače mohli sprístupniť používateľské heslá v súboroch protokolov tlačového systému. Poďakovanie za nahlásenie tohto problému si zaslúži Gary Smith z oddelenia IT služieb na univerzite Glasgow Caledonian University.

NetInfo Manager

Dostupné pre: Mac OS X 10.3.5 a Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0924

Dopad: Nesprávne označenie stavu účtu.

Opis: Utilita NetInfo Manager mohla povoliť účet koreňového používateľa, ale po jednom prihlásení koreňového používateľa už tento účet nebolo možné zakázať pomocou nástroja NetInfo Manager, pričom bol nesprávne označený ako zakázaný. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.3 alebo Mac OS X Server 10.3.

postfix

Dostupné pre: Mac OS X 10.3.5 a Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0925

Dopad: Odmietnutie služby, keď je zapnutá funkcia SMTPD AUTH.

Opis: Keď bola na serveri postfix zapnutá funkcia SMTPD AUTH, medzipamäť obsahujúca používateľské meno sa medzi pokusmi o autentifikáciu nevymazávala správne. Autentifikovať sa tak mohli iba používatelia s najdlhšími používateľskými menami. Tento problém sa netýka systémov používajúcich staršie verzie ako Mac OS X 10.3 alebo Mac OS X Server 10.3. Poďakovanie za nahlásenie tohto problému si zaslúži Michael Rondinelli (EyeSee360).

QuickTime

Dostupné pre: Mac OS X 10.3.5, Mac OS X Server 10.3.5, Mac OS X 10.2.8, Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0926

Dopad: Pretečenie medzipamäte haldy môže útočníkom umožniť spustenie ľubovoľného kódu.

Opis: Chyby v dekódovaní typu obrázkov BMP mohli prepísať pamäť haldy a potenciálne umožniť spustenie ľubovoľného kódu skrytého v obrázku.

ServerAdmin

Dostupné pre: Mac OS X Server 10.3.5 a Mac OS X Server 10.2.8

CVE-ID: CAN-2004-0927

Dopad: Dekódovaním zachytených relácií možno čítať komunikáciu medzi klientom a serverom prebiehajúcu prostredníctvom nástroja ServerAdmin.

Opis: Pri komunikácii medzi klientom a serverom prostredníctvom nástroja ServerAdmin sa používa SSL. Vo všetkých systémoch je predvolene nainštalovaný rovnaký príklad certifikátu s vlastným podpisom. Ak tento certifikát nebol nahradený, komunikáciu prostredníctvom nástroja ServerAdmin možno dešifrovať. Táto oprava nahrádza existujúci certifikát s vlastným podpisom certifikátom, ktorý bol vygenerovaný lokálne a je jedinečný. Poďakovanie za nahlásenie tohto problému si zaslúži Michael Bartosh (4am Media, Inc.).

Aktualizácia zabezpečenia 2004-09-16

iChat

CVE-ID: CAN-2004-0873

Dopad: Vzdialení účastníci četu v službe iChat môžu odosielať odkazy, ktoré môžu pri kliknutí spustiť miestne programy.

Opis: Vzdialený účastník četu v službe iChat mohol odoslať odkaz, ktorý odkazuje na program v lokálnom systéme. Ak sa odkaz na lokálny program kliknutím aktivoval, tento program sa spustil. Služba iChat bola upravená tak, aby odkazy tohto typu otvárali okno Findera, v ktorom sa program namiesto spustenia iba zobrazil. Poďakovanie za nahlásenie tohto problému si zaslúži aaron@vtty.com.

Dostupnosť: Táto aktualizácia je dostupná pre nasledujúce verzie služby iChat:

– iChat AV 2.1 (Mac OS X 10.3.5 alebo novší)

– iChat AV 2.0 (Mac OS X 10.2.8)

– iChat 1.0.1 (Mac OS X 10.2.8)

Aktualizácia zabezpečenia 2004-09-07

Táto aktualizácia zabezpečenia je dostupná pre nasledujúce verzie systémov:

– Mac OS X 10.3.4

– Mac OS X 10.3.5

– Mac OS X Server 10.3.4

– Mac OS X Server 10.3.5

– Mac OS X 10.2.8

– Mac OS X Server 10.2.8

Tip: Ďalšie informácie o identifikátoroch CVE uvedených nižšie nájdete na stránke http://www.cve.mitre.org/.

Komponent: Apache 2

CVE-ID: CAN-2004-0493, CAN-2004-0488

Dostupné pre: Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Vystavenie potenciálnemu odmietnutiu služby.

Opis: Organizácia Apache vydala systém Apache 2.0.50. Toto vydanie opravuje niekoľko nedostatočne zabezpečených miest súvisiacich s odmietnutím služby. Systém Apache sme aktualizovali na verziu 2.0.50. Dodáva sa len so systémom Mac OS X Serverom a je predvolene vypnutý.

Komponent: CoreFoundation

CVE-ID: CAN-2004-0821

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Privilegované programy používajúce komponent CoreFoundation možno upraviť tak, aby načítavali knižnicu poskytnutú používateľom.

Opis: Balíky používajúce nástroje CFPlugIn komponentu CoreFoundation mohli obsahovať pokyny na automatické načítanie spustiteľných súborov pluginov. So špeciálne vytvoreným balíkom to bolo možné aj v prípade privilegovaných programov, čo umožňovalo zvýšenie úrovne lokálnych oprávnení. Komponent CoreFoundation teraz zabraňuje automatickému načítavaniu spustiteľných súborov pre balíky, ktoré už majú načítaný spustiteľný súbor. Poďakovanie za nahlásenie tohto problému si zaslúži Kikuchi Masashi (kik@ms.u-tokyo.ac.jp).

Komponent: CoreFoundation

CVE-ID: CAN-2004-0822

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Premennú prostredia možno upraviť tak, aby došlo k pretečeniu medzipamäte, čo môže viesť k zvýšeniu úrovne oprávnení.

Opis: Úpravou premennej prostredia bolo možné nastaviť program tak, aby lokálnemu útočníkovi umožňovali spustiť ľubovoľný kód. Tento problém bolo možné zneužiť len s prístupom k lokálnemu účtu. Platnosť tejto premennej prostredia sa teraz kontroluje prísnejšie. Poďakovanie za nahlásenie tohto problému si zaslúži aaron@vtty.com.

Komponent: IPSec

CVE-ID: CAN-2004-0607

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Pri používaní certifikátov môžu byť neautentifikovaní hostitelia schopní vyjednať pripojenie IPSec.

Opis: Keď sa na autentifikáciu vzdialených hostiteľov používali certifikáty X.509, pri chybe overenia certifikátu sa neprerušila výmena kľúčov. Systém Mac OS X v predvolenom nastavení nepoužíva pre protokol IPSec certifikáty, takže tento problém ovplyvňuje len konfigurácie, ktoré boli nakonfigurované manuálne. Protokol IPSec teraz overuje a preruší výmenu kľúčov, ak dôjde k neúspešnému overeniu certifikátu.

Komponent: Kerberos

CVE-ID: CAN-2004-0523

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Viacero pretečení medzipamäte vo funkcii krb5_aname_to_localname pre MIT Kerberos 5 (krb5) 1.3.3 a staršie verzie mohlo vzdialeným útočníkom umožňovať spustenie ľubovoľného kódu.

Opis: Pretečenie medzipamäte bolo možné zneužiť len vtedy, ak bola v súbore edu.mit.Kerberos nakonfigurovaná aj podpora funkcie auth_to_local_names alebo auth_to_local. Spoločnosť Apple to predvolene nepovoľuje. Oprava zabezpečenia bola spätne prenesená a aplikovaná na verzie komponentu Kerberos v systéme Mac OS X. Verzia komponentu Kerberos v systémoch Mac OS X a Mac OS X Server nie je náchylná na nedávny problém s dvojitým uvoľnením, ktorý bol uvedený v poznámke VU#350792 (CAN-2004-0772) v databáze zraniteľností CERT. Poďakovanie za to, že nás o tomto probléme informoval, si zaslúži vývojársky tím protokolu Kerberos na MIT.

Komponent: lukemftpd

CVE-ID: CAN-2004-0794

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Problém s postupnosťou vykonania procesov, ktorý umožňuje autentifikovanému vzdialenému útočníkovi spôsobiť odmietnutie služby alebo spustiť ľubovoľný kód.

Opis: Ak bola zapnutá služba FTP a vzdialený útočník sa dokázal správne autentifikovať, problém s postupnosťou vykonania procesov mu umožňoval zastaviť službu FTP alebo spustiť ľubovoľný kód. V rámci tejto opravy bol v službe FTP nahradený komponent lukemftpd komponentom tnftpd. Komponent lukemftp je v systéme Mac OS X Server nainštalovaný, ale nie je aktivovaný. Tento systém namiesto neho používa komponent xftp. Poďakovanie za to, že nás o tomto probléme informoval, si zaslúži Luke Mewburn (NetBSD Foundation).

Komponent: OpenLDAP

CVE-ID: CAN-2004-0823

Dostupné pre: Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Šifrovacie heslo možno použiť, ako keby išlo o heslo napísané obyčajným textom.

Opis: Spätná kompatibilita so staršími implementáciami protokolu LDAP umožňovala uloženie šifrovacieho hesla v atribúte userPassword. Niektoré schémy overovania autentifikácie mohli túto hodnotu používať, ako keby išlo o heslo napísané obyčajným textom. Táto oprava odstraňuje túto nejednoznačnosť a zabezpečuje, aby sa ako šifrovacie heslo vždy používal tento typ poľa. K tomuto problému nedochádza v systéme Mac OS X 10.2.8. Poďakovanie za nahlásenie tohto problému si zaslúži Steve Revilak (Kayak Software Corporation).

Komponent: OpenSSH

CVE-ID: CAN-2004-0175

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Server ssh/scp so škodlivým kódom môže prepísať lokálne súbory.

Opis: Nedostatočné zabezpečenie pri zmene adresárov v programe scp umožňovalo vzdialenému serveru so škodlivým kódom prepísať lokálne súbory. Oprava zabezpečenia bola spätne prenesená a aplikovaná na verzie komponentu OpenSSH v systéme Mac OS X.

Komponent: PPPDialer

CVE-ID: CAN-2004-0824

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Používateľ so zlými úmyslami môže prepísať systémové súbory, čo má za následok zvýšenie úrovne lokálnych oprávnení.

Opis: Komponenty PPP nezabezpečene pristupovali k súboru uloženému v umiestnení, do ktorého bolo možné zapisovať odvšadiaľ. Táto oprava presunula súbory protokolov do umiestnenia, do ktorého nie je možné zapisovať odvšadiaľ.

Komponent: QuickTime Streaming Server

Dostupné pre: Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

CVE-ID: CAN-2004-0825

Dopad: Odmietnutie služby vyžadujúce reštartovanie servera QuickTime Streaming Server

Opis: Konkrétna postupnosť operácií klienta mohla spôsobiť zablokovanie na serveri QuickTime Streaming Server. Táto oprava aktualizovala kód tak, aby sa tento problém so zablokovaním vyriešil.

Komponent: rsync

CVE-ID: CAN-2004-0426

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Keď je modul rsync spustený v režime démona, vzdialený útočník môže zapisovať mimo cesty modulu, pokiaľ nie je nastavený parameter chroot.

Opis: Modul rsync staršej verzie ako 2.6.1 nečistil správne cesty, keď bol spustený ako démon s možnosťou čítania a zápisu a s vypnutým parametrom chroot. Táto oprava aktualizuje modul rsync na verziu 2.6.2.

Komponent: Safari

CVE-ID: CAN-2004-0361

Dostupné pre: Mac OS X 10.2.8, Mac OS X Server 10.2.8

Dopad: Pole JavaScriptu so zápornou veľkosťou môže spôsobiť, že prehliadač Safari získa prístup k dátam mimo vyhradenej časti pamäte, čo môže viesť k zlyhaniu aplikácie.

Opis: Ukladaním objektov do poľa JavaScriptu s vyhradenou zápornou veľkosťou sa mohla prepísať pamäť. Safari teraz prestáva spracovávať programy JavaScriptu, ak vyhradenie poľa zlyhá. Toto vylepšenie zabezpečenia bolo predtým sprístupnené v prehliadači Safari 1.0.3 a používa sa v operačnom systéme Mac OS X 10.2.8 ako ďalšia vrstva ochrany pre zákazníkov, ktorí túto verziu prehliadača Safari nemajú nainštalovanú. Ide o špecifickú opravu pre systém Mac OS X 10.2.8. K tomuto problému nedochádza v systéme Mac OS X 10.3 a novších verziách.

Komponent: Safari

CVE-ID: CAN-2004-0720

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Nedôveryhodná webová stránka môže vložiť obsah do rámca určeného na použitie inou doménou.

Opis: Na webovej stránke, ktorá používala viacero rámcov, sa mohli niektoré z jej rámcov nahradiť obsahom zo stránky so škodlivým kódom, ak bola stránka so škodlivým kódom navštívená ako prvá. Táto oprava pridáva súbor pravidiel medzi nadradenými a podradenými prvkami, ktoré bránia prípadnému útoku.

Komponent: SquirrelMail

CVE-ID: CAN-2004-0521

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Aplikácia SquirrelMail staršej verzie ako 1.4.3 RC1 umožňuje vzdialeným útočníkom spúšťať neoprávnené príkazy SQL.

Opis: Aplikácia SquirrelMail staršej verzie ako 1.4.3 RC1 je nedostatočne zabezpečená voči nežiaducemu vkladaniu príkazov SQL, čo umožňuje spúšťanie neautorizovaných príkazov SQL. Táto oprava aktualizuje aplikáciu SquirrelMail na verziu 1.4.3a.

Komponent: tcpdump

CVE-ID: CAN-2004-0183, CAN-2004-0184

Dostupné pre: Mac OS X 10.2.8, Mac OS X 10.3.4, Mac OS X 10.3.5, Mac OS X Server 10.2.8, Mac OS X Server 10.3.4, Mac OS X Server 10.3.5

Dopad: Pakety so škodlivým kódom môžu spôsobiť zlyhanie spusteného nástroja tcpdump.

Opis: Podrobné tlačové funkcie paketov ISAKMP nevykonávali správnu kontrolu rozsahu a spôsobovali čítanie dát mimo vyhradenej oblasti, čo mohlo viesť k zlyhaniu. Táto oprava aktualizuje komponent tcpdump na verziu 3.8.3.

Mac OS X 10.3.5

Tip: Ďalšie informácie o identifikátoroch CVE uvedených nižšie nájdete na stránke http://www.cve.mitre.org/.

libpng (Portable Network Graphics)

CVE-ID: CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Dopad: Obrázky PNG so škodlivým kódom môžu spôsobiť zlyhanie aplikácie a spustiť ľubovoľný kód.

Opis: V referenčnej knižnici na čítanie a zapisovanie obrázkov PNG sa zistilo niekoľko pretečení medzipamäte, dereferencií smerníka s hodnotou NULL a pretečení celočíselných hodnôt. Tieto nedostatočne zabezpečené miesta boli opravené v knižnici libpng, ktorú používajú frameworky CoreGraphics a AppKit v systéme Mac OS X. Po nainštalovaní tejto aktualizácie budú aplikácie, ktoré používajú formát obrázkov PNG prostredníctvom týchto frameworkov, pred týmito chybami chránené.

Safari:

CVE-ID: CAN-2004-0743

Dopad: V špeciálnej situácii môže navigácia pomocou tlačidiel dopredu/dozadu znova odoslať údaje formulára na URL adresu GET.

Opis: Ide o situáciu, keď sa webový formulár odosiela na server prostredníctvom metódy POST, ktorá vykonáva presmerovanie HTTP na URL adresu s metódou GET. Používanie tlačidiel dopredu/dozadu spôsobí, že Safari znova odošle údaje formulára prostredníctvom metódy POST na URL adresu GET. Prehliadač Safari bol upravený tak, aby navigácia dopredu/dozadu v tejto situácii viedla len k použitiu metódy GET. Poďakovanie za nahlásenie tohto problému si zaslúži Rick Osterberg z tímu FAS Computer Services na Harvardovej univerzite.

TCP/IP Networking:

CVE-ID: CAN-2004-0744

Dopad: Fragmenty IP so škodlivým kódom môžu využívať príliš veľa systémových prostriedkov, čo bráni v normálnej prevádzke siete.

Opis: Útok Rose opisuje špeciálne vytvorenú sekvenciu fragmentov IP určených na využívanie systémových prostriedkov. Implementácia protokolu TCP/IP bola upravená tak, aby obmedzovala využívané prostriedky a bránila tomuto útoku súvisiacemu s odmietnutím služby. Poďakovanie si zaslúžia Ken Hollis (gandalf@digital.net) a Chuck McAuley (chuck-at-lemure-dot-net) z diskusie o útoku Rose.

Aktualizácia zabezpečenia 2004-08-09 (Mac OS X 10.3.4 a 10.2.8)

Tip: Ďalšie informácie o identifikátoroch CVE uvedených nižšie nájdete na stránke http://www.cve.mitre.org/.

libpng (Portable Network Graphics)

CVE-ID: CAN-2002-1363, CAN-2004-0421, CAN-2004-0597, CAN-2004-0598, CAN-2004-0599

Dopad: Obrázky PNG so škodlivým kódom môžu spôsobiť zlyhanie aplikácie a spustiť ľubovoľný kód.

Opis: V referenčnej knižnici na čítanie a zapisovanie obrázkov PNG sa zistilo niekoľko pretečení medzipamäte, dereferencií smerníka s hodnotou NULL a pretečení celočíselných hodnôt. Tieto nedostatočne zabezpečené miesta boli opravené v knižnici libpng, ktorú používajú frameworky CoreGraphics a AppKit v systéme Mac OS X. Po nainštalovaní tejto aktualizácie budú aplikácie, ktoré používajú formát obrázkov PNG prostredníctvom týchto frameworkov, pred týmito chybami chránené.

Aktualizácia zabezpečenia 2004-06-07 (Mac OS X 10.3.4 a 10.2.8)

Aktualizácia zabezpečenia 2004-06-07 prináša niekoľko vylepšení zabezpečenia a odporúča sa pre všetkých používateľov počítačov Macintosh. Účelom tejto aktualizácie je zvýšiť úroveň zabezpečenia tým, že vás upozorní pri prvom otvorení aplikácie prostredníctvom mapovaní dokumentu alebo webovej adresy (URL). Podrobnejšie informácie vrátane opisu nového dialógového okna s upozornením nájdete v tomto článku. Aktualizácia zabezpečenia 2004-06-07 je dostupná pre nasledujúce verzie systémov:

– Mac OS X 10.3.4 „Panther“

– Mac OS X Server 10.3.4 „Panther“

– Mac OS X 10.2.8 „Jaguar“

– Mac OS X Server 10.2.8 „Jaguar“

LaunchServices

CVE-ID: CAN-2004-0538

Dopad: Komponent LaunchServices automaticky registruje aplikácie, čím možno spôsobiť, že systém spustí neočakávané aplikácie.

Diskusia: LaunchServices je systémový komponent, ktorý vyhľadáva a otvára aplikácie. Tento systémový komponent bol upravený tak, aby otváral len aplikácie, ktoré už boli predtým v systéme explicitne spustené. Pri pokuse o spustenie aplikácie, ktorá ešte nebola explicitne spustená, sa používateľovi zobrazí upozornenie. Ďalšie informácie sú dostupné v tomto článku.

Komponent: DiskImageMounter

CVE-ID: Žiadny identifikátor CVE nebol vyhradený, pretože ide len o ďalšie preventívne opatrenie.

Dopad: URL adresa typu disk:// pripája anonymný vzdialený súborový systém prostredníctvom protokolu http.

Diskusia: Registrácia URL adries typu disk:// bola zo systému odstránená ako preventívne opatrenie proti pokusom o automatické pripojenie súborových systémov vzdialených obrazov diskov.

Safari

CVE-ID: CAN-2004-0539

Dopad: Tlačidlo Zobraziť vo Finderi otvára niektoré stiahnuté súbory a v niektorých prípadoch spúšťa stiahnuté aplikácie.

Diskusia: Tlačidlo Zobraziť vo Finderi teraz zobrazí súbory v okne Findera a už sa ich nebude pokúšať otvoriť. Táto úprava je k dispozícii len pre systémy Mac OS X 10.3.4 „Panther“ a Mac OS X Server 10.3.4 „Panther“, pretože tento problém sa netýka systémov Mac OS X 10.2.8 „Jaguar“ a Mac OS X Server 10.2.8 „Jaguar“.

Terminal

CVE-ID: Nepoužíva sa

Dopad: Pokusy o použitie URL adresy telnet:// s alternatívnym číslom portu sú neúspešné.

Diskusia: Bola vykonaná úprava, ktorá umožňuje zadať v URL adrese telnet:// alternatívne číslo portu. Obnovujú sa tým funkcie, ktoré boli odstránené v nedávnej oprave problému CAN-2004-0485.

Mac OS X 10.3.4

• NFS: Oprava problému CAN-2004-0513 s cieľom zlepšenia protokolovania pri sledovaní systémových volaní. Poďakovanie za nahlásenie tohto problému si zaslúži David Brown (dave@spoonguard.org).

• LoginWindow: Oprava problému CAN-2004-0514 s cieľom zlepšenia vyhľadávania adresárových služieb.

• LoginWindow: Oprava problému CAN-2004-0515 s cieľom zlepšenia spracovania protokolových súborov konzoly. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• Packaging: Oprava problému CAN-2004-0516 s cieľom zlepšenia inštalačných skriptov balíkov. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• Packaging: Oprava problému CAN-2004-0517 s cieľom zlepšenia spracovania ID procesov počas inštalácie balíkov. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• TCP/IP: Oprava problému CAN-2004-0171 s cieľom zlepšenia spracovania paketov TCP mimo poradia.

• AppleFileServer: Oprava problému CAN-2004-0518 s cieľom zlepšenia používania protokolu SSH a chýb pri nahlasovaní.

• Terminal: Oprava problému CAN-2004-0485 s cieľom zlepšenia spracovania URL adries. Poďakovanie za nahlásenie tohto problému si zaslúži RenÌ© Puls (rpuls@gmx.net).

Poznámka: Systém Mac OS X 10.3.4 obsahuje aktualizácie zabezpečenia 2004-04-05 a 2004-05-03.

Aktualizácia zabezpečenia 2004-05-24 pre systémy Mac OS X 10.3.3 „Panther“ a Mac OS X 10.3.3 Server

• HelpViewer: Oprava problému CAN-2004-0486 s cieľom zaistiť, že komponent HelpViewer bude spracovávať len skripty, ktoré inicializoval. Poďakovanie za nahlásenie tohto problému si zaslúži Poznámka: Túto aktualizáciu možno nainštalovať aj v systémoch Mac OS X 10.3.4 a Mac OS X 10.3.4 Server.

Aktualizácia zabezpečenia 2004-05-24 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• HelpViewer: Oprava problému CAN-2004-0486 s cieľom zaistiť, že komponent HelpViewer bude spracovávať len skripty, ktoré inicializoval. Poďakovanie za nahlásenie tohto problému si zaslúži

• Terminal: Oprava problému CAN-2004-0485 s cieľom zlepšenia spracovania URL adries v Termináli. Poďakovanie za nahlásenie tohto problému si zaslúži

Aktualizácia zabezpečenia 2004-05-03 pre systémy Mac OS X 10.3.3 „Panther“ a Mac OS X 10.3.3 Server

• AppleFileServer: Oprava problému CAN-2004-0430 s cieľom zlepšenia spracovania dlhých hesiel. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• Apache 2: Oprava problémov CAN-2003-0020, CAN-2004-0113 a CAN-2004-0174 aktualizáciou systému Apache 2 na verziu 2.0.49.

• CoreFoundation: Oprava problému CAN-2004-0428 s cieľom zlepšenia spracovania premennej prostredia. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• IPSec: Oprava problémov CAN-2004-0155 a CAN-2004-0403 s cieľom zvýšenia úrovne zabezpečenia VPN tunelov. Komponent IPSec v systéme Mac OS X nie je zraniteľný voči problému CAN-2004-0392.

Do tejto aktualizácie zabezpečenia bola zahrnutá aktualizácia zabezpečenia 2004-04-05.

Aktualizácia zabezpečenia 2004-05-03 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• AppleFileServer: Oprava problému CAN-2004-0430 s cieľom zlepšenia spracovania dlhých hesiel. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• Apache 2: Oprava problémov CAN-2003-0020, CAN-2004-0113 a CAN-2004-0174 aktualizáciou systému Apache 2 na verziu 2.0.49.

• CoreFoundation: Oprava problému CAN-2004-0428 s cieľom zlepšenia spracovania premennej prostredia. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• IPSec: Oprava problémov CAN-2004-0155 a CAN-2004-0403 s cieľom zvýšenia úrovne zabezpečenia VPN tunelov. Komponent IPSec v systéme Mac OS X nie je zraniteľný voči problému CAN-2004-0392.

• Server Settings daemon: Oprava problému CAN-2004-0429 s cieľom zlepšenia spracovania veľkých požiadaviek.

Do tejto aktualizácie zabezpečenia bola zahrnutá aktualizácia zabezpečenia 2004-04-05.

QuickTime 6.5.1

• Oprava problému CAN-2004-0431 , v dôsledku ktorého mohlo prehrávanie nesprávne formátovaného súboru .mov (film) spôsobiť ukončenie aplikácie QuickTime.

Aktualizácia zabezpečenia 2004-04-05 pre systémy Mac OS X 10.3.3 „Panther“ a Mac OS X 10.3.3 Server

• CUPS Printing: Oprava problému CAN-2004-0382 s cieľom zvýšenia úrovne zabezpečenia tlačového systému. Ide o zmenu konfiguračného súboru, ktorá nemá vplyv na základný tlačový systém. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• libxml2: Oprava problému CAN-2004-0110 s cieľom zlepšenia spracovania URL adries.

• Mail: Oprava problému CAN-2004-0383 s cieľom zlepšenia spracovania e-mailov vo formáte HTML. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• OpenSSL: Oprava problémov CAN-2004-0079 a CAN-2004-0112 s cieľom zlepšenia spracovania možností šifrovania.

Aktualizácia zabezpečenia 2004-04-05 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• CUPS Printing: Oprava problému CAN-2004-0382 s cieľom zvýšenia úrovne zabezpečenia tlačového systému. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

Do tejto aktualizácie zabezpečenia bola zahrnutá aktualizácia zabezpečenia 2004-01-26. Ďalšie vylepšenia zabezpečenia pre systém Panther v aktualizácii zabezpečenia 2004-04-05 nemajú vplyv na platformu 10.2.

Aktualizácia zabezpečenia 2004-02-23 pre systémy Mac OS X 10.3.2 „Panther“ a Mac OS X 10.3.2 Server

• CoreFoundation: Oprava problému CAN-2004-0168 s cieľom zlepšenia protokolovania hlásení. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• DiskArbitration: Oprava problému CAN-2004-0167 s cieľom bezpečnejšieho spracovania inicializácie zapisovateľných vymeniteľných médií. Poďakovanie za nahlásenie tohto problému si zaslúži to aaron@vtty.com.

• IPSec: Oprava problému CAN-2004-0164 s cieľom zlepšenia kontroly výmeny kľúčov.

• Point-to-Point-Protocol: Oprava problému CAN-2004-0165 s cieľom zlepšenia spracovania chybových správ. Poďakovanie za nahlásenie tohto problému si zaslúžia Dave G. (@stake) a Justin Tibbs (Secure Network Operations (SRT)).

• tcpdump: Oprava problémov CAN-2003-0989, CAN-2004-0055 a CAN-2004-0057 aktualizáciou komponentu tcpdump na verziu 3.8.1 a komponentu libpcap na verziu 0.8.1.

• QuickTime Streaming Server: Oprava problému CAN-2004-0169 s cieľom zlepšenia kontroly dát požiadaviek. Poďakovanie za nahlásenie tohto problému si zaslúži tím iDEFENSE Labs. Aktualizácie komponentu Streaming Server pre iné platformy sú dostupné na stránke http://developer.apple.com/darwin/.

Aktualizácia zabezpečenia 2004-02-23 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• DiskArbitration: Oprava problému CAN-2004-0167 s cieľom bezpečnejšieho spracovania inicializácie zapisovateľných vymeniteľných médií. Poďakovanie za nahlásenie tohto problému si zaslúži aaron@vtty.com.

• IPSec: Oprava problému CAN-2004-0164 s cieľom zlepšenia kontroly výmeny kľúčov.

• Point-to-Point-Protocol: Oprava problému CAN-2004-0165 s cieľom zlepšenia spracovania chybových správ. Poďakovanie za nahlásenie tohto problému si zaslúžia Dave G. (@stake) a Justin Tibbs (Secure Network Operations (SRT)).

• Safari: Oprava problému CAN-2004-0166 s cieľom zlepšenia zobrazovania URL adries v stavovom riadku.

• QuickTime Streaming Server: Oprava problému CAN-2004-0169 s cieľom zlepšenia kontroly dát požiadaviek. Poďakovanie za nahlásenie tohto problému si zaslúži tím iDEFENSE Labs. Aktualizácie komponentu Streaming Server pre iné platformy sú dostupné na stránke http://developer.apple.com/darwin/.

Do tejto aktualizácie zabezpečenia bola zahrnutá aktualizácia zabezpečenia 2004-01-26 pre systém Mac OS X 10.2.8 Server.

Aktualizácia zabezpečenia 2004-01-26 pre systémy Mac OS X 10.1.5 „Puma“ a Mac OS X 10.1.5 Server

• Mail: Oprava problému CAN-2004-0085, ktorá prináša vylepšenia zabezpečenia do e-mailovej aplikácie spoločnosti Apple.

Aktualizácia zabezpečenia 2004-01-26 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• AFP Server: Zlepšenie AFP po vydaní aktualizácie zabezpečenia 2003-12-19.

• Apache 1.3: Oprava problému CAN-2003-0542 s cieľom odstránenia pretečenia medzipamäte v moduloch mod_alias a mod_rewrite webového servera Apache.

• Apache 2: (Inštalované len v systéme Server) Oprava problémov CAN-2003-0542 a CAN-2003-0789 aktualizáciou systému Apache 2.0.47 na verziu 2.0.48. Podrobnosti o tejto aktualizácii nájdete na nasledujúcej stránke: http://www.apache.org/dist/httpd/Announcement2.html

• Classic: Oprava problému CAN-2004-0089 s cieľom zlepšenia spracovania premenných prostredia. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• Mail: Oprava problému CAN-2004-0085, ktorá prináša vylepšenia zabezpečenia do e-mailovej aplikácie spoločnosti Apple.

• Safari: Oprava problému CAN-2004-0092 zahrnutím vylepšení zabezpečenia do webového prehliadača Safari.

• System Configuration: Oprava problémov CAN-2004-0087 a CAN-2004-0088, v dôsledku ktorých subsystém System Configuration umožňoval vzdialeným používateľom, ktorí neboli správcami, zmeniť nastavenie siete a konfiguráciu súboru configd. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

Do tejto aktualizácie zabezpečenia bola zahrnutá aktualizácia zabezpečenia 2003-12-19. Ďalšie vylepšenia zabezpečenia obsiahnuté v aktualizácii zabezpečenia 2004-01-26 pre systém Mac OS X 10.3.2 „Panther“ nie sú zahrnuté v tejto aktualizácii pre systém Jaguar, pretože tieto problémy sa systému Jaguar netýkajú.

Aktualizácia zabezpečenia 2004-01-26 pre systémy Mac OS X 10.3.2 „Panther“ a Mac OS X Server 10.3.2

• Apache 1.3: Oprava problému CAN-2003-0542 s cieľom odstránenia pretečenia medzipamäte v moduloch mod_alias a mod_rewrite webového servera Apache.

• Apache 2: (Inštalované len v systéme Server) Oprava problémov CAN-2003-0542 a CAN-2003-0789 aktualizáciou systému Apache 2.0.47 na verziu 2.0.48. Podrobnosti o tejto aktualizácii nájdete na stránke http://www.apache.org/dist/httpd/Announcement2.html.

• Classic: Oprava problému CAN-2004-0089 s cieľom zlepšenia spracovania premenných prostredia. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• Mail: Oprava problému CAN-2004-0086, ktorá prináša vylepšenia zabezpečenia do e-mailovej aplikácie spoločnosti Apple. Poďakovanie za nahlásenie tohto problému si zaslúži Jim Roepcke.

• Safari: Oprava problému CAN-2004-0092 zahrnutím vylepšení zabezpečenia do webového prehliadača Safari.

• System Configuration: Oprava problému CAN-2004-0087, v dôsledku ktorého subsystém System Configuration umožňoval vzdialeným používateľom, ktorí neboli správcami, meniť nastavenia siete. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• Windows File Sharing: Oprava problému CAN-2004-0090, v dôsledku ktorého sa zdieľanie súborov v systéme Windows nevyplo správne.

• Do tejto aktualizácie zabezpečenia bola zahrnutá . Ďalšie vylepšenia zabezpečenia obsiahnuté v aktualizácii zabezpečenia 2004-01-26 pre systém Mac OS X 10.2.8 „Jaguar“ nie sú zahrnuté v tejto aktualizácii pre systém Panther, pretože tieto problémy sa systému Panther netýkajú.

Aktualizácia zabezpečenia 2003-12-19 pre systémy Mac OS X 10.2.8 „Jaguar“ a Mac OS X 10.2.8 Server

• AppleFileServer: Oprava problému CAN-2003-1007 s cieľom zlepšenia spracovania nesprávne formátovaných požiadaviek.

• cd9660.util: Oprava problému CAN-2003-1006, nedostatočného zabezpečenia súvisiaceho s pretečením medzipamäte v utilite súborového systému cd9660.util. Poďakovanie za nahlásenie tohto problému si zaslúži KF (Secure Network Operations).

• Directory Services: Oprava problému CAN-2003-1009. Predvolené nastavenia boli zmenené tak, aby sa zabránilo neúmyselnému pripojeniu v prípade, že sa v lokálnej podsieti počítača nachádza DHCP server so škodlivým kódom. Ďalšie informácie sú dostupné v článku vedomostnej databázy spoločnosti Apple: http://docs.info.apple.com/article.html?artnum=32478. Poďakovanie za nahlásenie tohto problému si zaslúži William A. Carrel.

• Fetchmail: Oprava problému CAN-2003-0792. Sú dostupné aktualizácie komponentu fetchmail, ktoré za určitých podmienok zlepšujú jeho stabilitu.

• fs_usage: Oprava problému CAN-2003-1010. Nástroj fs_usage bol vylepšený tak, aby sa zabránilo nedostatočnému zabezpečeniu súvisiacemu so zvýšením úrovne lokálnych oprávnení. Tento nástroj sa používa na zhromažďovanie informácií o výkone systému a na spustenie vyžaduje oprávnenia správcu. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• rsync: Oprava problému CAN-2003-0962 zlepšením zabezpečenia komponentu rsyncserver.

• System initialization: Oprava problému CAN-2003-1011. Proces inicializácie systému bol vylepšený tak, aby sa obmedzil prístup koreňového používateľa v systémoch, ktoré používajú USB klávesnicu.

Poznámka: Nasledujúce opravy, ktoré sú súčasťou aktualizácie zabezpečenia 2003-12-19 pre systém Panther, nie sú zahrnuté v aktualizácii zabezpečenia 2003-12-19 pre systém Jaguar, pretože verzie Jaguar systémov Mac OS X a Mac OS X Server nie sú voči týmto problémom zraniteľné:

- CAN-2003-1005: Dekódovanie ASN.1 pre PKI

- CAN-2003-1008: Útržky textu pri zobrazení šetriča obrazovky

Aktualizácia zabezpečenia 2003-12-19 pre systémy Mac OS X 10.3.2 „Panther“ a Mac OS X 10.3.2 Server

• ASN.1 Decoding for PKI: Oprava problému CAN-2003-1005, ktorý mohol spôsobovať potenciálne odmietnutie služby pri prijatí nesprávne formátovaných sekvencií ASN.1. Tento problém súvisí s problémom CAN-2003-0851, ale inak je samostatný.

• AppleFileServer: Oprava problému CAN-2003-1007 s cieľom zlepšenia spracovania nesprávne formátovaných požiadaviek.

• cd9660.util: Oprava problému CAN-2003-1006, nedostatočného zabezpečenia súvisiaceho s pretečením medzipamäte v utilite súborového systému cd9660.util. Poďakovanie za nahlásenie tohto problému si zaslúži KF (Secure Network Operations).

• Directory Services: Oprava problému CAN-2003-1009. Predvolené nastavenia boli zmenené tak, aby sa zabránilo neúmyselnému pripojeniu v prípade, že sa v lokálnej podsieti počítača nachádza DHCP server so škodlivým kódom. Ďalšie informácie sú dostupné v článku vedomostnej databázy spoločnosti Apple: http://docs.info.apple.com/article.html?artnum=32478. Poďakovanie za nahlásenie tohto problému si zaslúži William A. Carrel.

• Fetchmail: Oprava problému CAN-2003-0792. Sú dostupné aktualizácie komponentu fetchmail, ktoré za určitých podmienok zlepšujú jeho stabilitu.

• fs_usage: Oprava problému CAN-2003-1010. Nástroj fs_usage bol vylepšený tak, aby sa zabránilo nedostatočnému zabezpečeniu súvisiacemu so zvýšením úrovne lokálnych oprávnení. Tento nástroj sa používa na zhromažďovanie informácií o výkone systému a na spustenie vyžaduje oprávnenia správcu. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake).

• rsync: Oprava problému CAN-2003-0962 zlepšením zabezpečenia komponentu rsyncserver.

• Screen Saver: Oprava problému CAN-2003-1008. Keď sa zobrazuje prihlasovacie okno šetriča obrazovky, už nie je možné zapísať útržok textu na plochu ani do aplikácie. Poďakovanie za nahlásenie tohto problému si zaslúži Benjamin Kelly.

• System initialization: Oprava problému CAN-2003-1011. Proces inicializácie systému bol vylepšený tak, aby sa obmedzil prístup koreňového používateľa v systémoch, ktoré používajú USB klávesnicu.

Aktualizácia zabezpečenia 2003-12-05

• Safari: Oprava problému CAN-2003-0975 s cieľom zaistiť, aby prehliadač Safari poskytoval prístup k informáciám o súboroch cookie používateľa len autorizovaným webovým stránkam. Táto aktualizácia je dostupná pre systém Mac OS X 10.3.1 aj Mac OS X 10.2.8.

Aktualizácia zabezpečenia 2003-11-19 pre verziu 10.2.8

Zásadou spoločnosti Apple je rýchlo odstrániť významné nedostatočne zabezpečené miesta v starších vydaniach systému Mac OS X vždy, keď je to možné. Aktualizácia zabezpečenia 2003-11-19 zahŕňa aktualizácie viacerých komponentov systému Mac OS X 10.2, ktoré spĺňajú toto kritérium.

• gm4: Oprava problému CAN-2001-1411, nedostatočného zabezpečenia formátovacieho reťazca v utilite gm4. Utilitu gm4 nevyužívali žiadne koreňové programy setuid. Táto oprava je preventívnym opatrením voči možnému budúcemu zneužitiu.

• groff: Oprava problému CVE-2001-1022 , pri ktorom utilita pic v komponente groff obsahovala nedostatočne zabezpečený formátovací reťazec.

• Mail: Oprava problému CAN-2003-0881. Aplikácia Mail v systéme Mac OS X sa už nevráti k prihláseniu pomocou obyčajného textu, keď je účet nakonfigurovaný na používanie odpovede na výzvu MD5.

• OpenSSL: Oprava problému CAN-2003-0851. Určité nesprávne formátované sekvencie ASN.1 sa teraz analyzujú bezpečnejším spôsobom.

• Personal File Sharing: Oprava problému CAN-2003-0878. Keď je zapnuté zdieľanie osobných súborov, démon slpd už nemôže v adresári /tmp vytvoriť súbor vlastnený koreňovým používateľom a získať tak oprávnenia vyššej úrovne.

• QuickTime for Java: Oprava problému CAN-2003-0871, potenciálneho nedostatočného zabezpečenia, ktoré mohlo umožniť neoprávnený prístup k systému.

• zlib: Oprava problému CAN-2003-0107. Aj keď v systéme MacOS X neboli žiadne funkcie, ktoré by používali nedostatočne zabezpečenú funkciu gzprintf(), základný problém v knižnici zlib bol vyriešený, aby boli chránené všetky aplikácie tretích strán, ktoré by mohli používať túto knižnicu.

Aktualizácia zabezpečenia 2003-11-19 pre systém Panther 10.3.1

• OpenSSL: Oprava problému CAN-2003-0851. Určité nesprávne formátované sekvencie ASN.1 sa teraz analyzujú bezpečnejším spôsobom.

• zlib: Oprava problému CAN-2003-0107. Aj keď v systéme MacOS X neboli žiadne funkcie, ktoré by používali nedostatočne zabezpečenú funkciu gzprintf(), základný problém v knižnici zlib bol vyriešený, aby boli chránené všetky aplikácie tretích strán, ktoré by mohli používať túto knižnicu.

Aktualizácia zabezpečenia 2003-11-04

• Terminal: Oprava problému CAN-2003-0913, potenciálneho nedostatočného zabezpečenia v aplikácii Terminál v systémoch Mac OS X 10.3 a Mac OS X Server 10.3, ktoré mohlo umožniť neoprávnený prístup k systému. Tento problém sa netýka verzií systému Mac OS X starších ako 10.3.

Aktualizácia zabezpečenia 2003-10-28

• Oprava problému CAN-2003-0871, potenciálneho nedostatočného zabezpečenia v implementácii komponentu QuickTime Java v systémoch Mac OS X 10.3 a Mac OS X Server 10.3, ktoré mohlo umožniť neoprávnený prístup k systému.

Mac OS X 10.3 Panther

• Finder: Oprava problému 2003-0876, v dôsledku ktorého sa pri kopírovaní priečinka z pripojeného oddielu, ako je napríklad obraz disku, nemuseli zachovať povolenia priečinka. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake, Inc.).

• Kernel: Oprava problému CAN-2003-0877. Ak bol systém spustený s povolenými súbormi jadra, používateľ s prístupom k interaktívnemu shellu mohol prepísať ľubovoľné súbory a čítať súbory jadra vytvorené procesmi vlastnenými koreňovým používateľom. Mohlo to viesť k ohrozeniu citlivých informácií, ako sú napríklad prihlasovacie údaje. V systéme Mac OS X je vytváranie súborov jadra predvolene zakázané. Poďakovanie za nájdenie tohto problému si zaslúži Dave G. (@stake, Inc.).

• slpd: Oprava problému CAN-2003-0878. Keď bolo zapnuté zdieľanie osobných súborov, démon slpd mohol v adresári /tmp vytvoriť súbor vlastnený koreňovým používateľom. Mohol sa tým prepísať existujúci súbor a používateľovi to mohlo umožniť získať oprávnenia vyššej úrovne. V systéme Mac OS X je zdieľanie osobných súborov predvolene vypnuté. Poďakovanie za nájdenie tohto problému si zaslúži Dave G. (@Stake, Inc.).

• Kernel: Oprava problému CAN-2003-0895, v dôsledku ktorého mohol lokálny používateľ spôsobiť zlyhanie jadra systému Mac OS X zadaním dlhého argumentu príkazového riadka. Po niekoľkých minútach sa zariadenie samo reštartuje. Poďakovanie za nahlásenie tohto problému si zaslúži Dave G. (@stake, Inc.).

• ktrace: Oprava problému CVE-2002-0701, teoreticky zneužiteľnej slabiny pri zapnutí funkcie ktrace prostredníctvom možnosti jadra KTRACE, v dôsledku čoho mohol byť lokálny používateľ schopný získať citlivé informácie. V súčasnosti sa nevie o žiadnej konkrétnej utilite, ktorá by bola voči tomuto problému nedostatočne zabezpečená.

• nfs: Oprava problému CVE-2002-0830 so sieťovým súborovým systémom (NFS), v dôsledku ktorého mohol byť vzdialený používateľ schopný odosielať správy RPC spôsobujúce zablokovanie systému.

• zlib: Oprava problému CAN-2003-0107. Aj keď v systéme MacOS X neboli žiadne funkcie, ktoré by používali nedostatočne zabezpečenú funkciu gzprintf(), základný problém v knižnici zlib bol vyriešený.

• gm4: Oprava problému CAN-2001-1411, nedostatočného zabezpečenia formátovacieho reťazca v utilite gm4. Utilitu gm4 nevyužívali žiadne koreňové programy setuid. Táto oprava je preventívnym opatrením voči možnému budúcemu zneužitiu.

• OpenSSH: Oprava problému CAN-2003-0386, v dôsledku ktorého možno obmedzenia „from=“ a „user@hosts“ potenciálne sfalšovať prostredníctvom reverzného dotazu DNS pre číselne zadané IP adresy. Systém Mac OS X 10.3 obsahuje aj predchádzajúce opravy vydané pre komponent OpenSSH, takže verzia komponentu OpenSSH, ktorú možno získať pomocou príkazu „ssh-V“, je: OpenSSH_3.6.1p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090702f

• nidump: Oprava problému CAN-2001-1412, v dôsledku ktorého utilita nidump poskytuje prístup k šifrovaným heslám používaným na autentifikáciu pri prihlasovaní.

• System Preferences: Oprava problému CAN-2003-0883, v dôsledku ktorého systém po overení pomocou hesla správcu na krátky čas ďalej umožňoval prístup k zabezpečeným panelom Nastavení. Lokálnemu používateľovi to umožňovalo získať prístup k panelom Nastavení, ktoré by za normálnych okolností nemohol používať. V nastaveniach zabezpečenia v systéme Mac OS X 10.3 je teraz dostupná možnosť vyžadovania hesla na odomknutie každého zabezpečeného nastavenia systému. Poďakovanie za nahlásenie tohto problému si zaslúži Anthony Holder.

• TCP timestamp: Oprava problému CAN-2003-0882, v dôsledku ktorého sa časová značka protokolu TCP inicializovala s konštantným číslom. Používateľovi to mohlo na základe ID v paketoch TCP umožniť zistiť, ako dlho bol systém spustený. V systéme Mac OS X 10.3 sa teraz časová značka protokolu TPC inicializuje s náhodným číslom. Poďakovanie za nahlásenie tohto problému a odoslanie opravy prostredníctvom open source programu Darwin si zaslúži Aaron Linville.

• Mail: Oprava problému CAN-2003-0881 v aplikácii Mail systému Mac OS X. Ak bol účet nakonfigurovaný na používanie odpovede na výzvu MD5, pokúsil sa prihlásiť pomocou mechanizmu CRAM-MD5, ak však zlyhalo hašované prihlásenie, bez zobrazenia upozornenia sa vrátil k jednoduchému textu. Poďakovanie za nahlásenie tohto problému si zaslúži Chris Adams.

• Dock: Oprava problému CAN-2003-0880. Keď bol prostredníctvom panela Klávesnica v Systémových nastaveniach zapnutý plný prístup z klávesnice, spoza efektov obrazovky bolo možné naslepo získať prístup k funkciám Docku.

Mac OS X 10.2.8

• OpenSSL: Oprava problémov CAN-2003-0543, CAN-2003-0544, CAN-2003-0545 s cieľom vyriešiť potenciálne problémy v určitých štruktúrach ASN.1 a v kóde na overovanie certifikátov. V záujme rýchleho a spoľahlivého poskytnutia aktualizácie boli použité len opravy pre vyššie uvedené identifikátory CVE, a nie celá najnovšia knižnica OpenSSL. Verzia OpenSSL v systéme Mac OS X 10.2.8, ktorú možno získať pomocou príkazu „openssl version“, preto je: OpenSSL 0.9.6i Feb 19 2003

• OpenSSH: Oprava problémov CAN-2003-0693, CAN-2003-0695 a CAN-2003-0682 s cieľom odstrániť chyby spojené so správou medzipamäte v starších verziách komponentu sshd knižnice OpenSSH ako 3.7.1. V záujme rýchleho a spoľahlivého poskytnutia aktualizácie boli použité len opravy pre vyššie uvedené identifikátory CVE, a nie celá sada opráv pre knižnicu OpenSSH 3.7.1. Verzia OpenSSH v systéme Mac OS X 10.2.8, ktorú možno získať pomocou príkazu „ssh -V“, preto je: OpenSSH_3.4p1+CAN-2003-0693, SSH protocols 1.5/2.0, OpenSSL 0x0090609f

• sendmail: Oprava problémov CAN-2003-0694 a CAN-2003-0681 s cieľom odstrániť pretečenie medzipamäte pri analýze adries, ako aj potenciálne pretečenie medzipamäte pri analýze množín pravidiel.

• fb_realpath(): Oprava problému CAN-2003-0466, ktorý predstavoval chybu súvisiacu s použitím hodnoty o jednotku menšej alebo väčšej vo funkcii fb_realpath(), ktorá mohla útočníkom umožniť spustiť ľubovoľný kód.

• arplookup(): Oprava problému CAN-2003-0804. Funkcia arplookup() ukladá požiadavky ARP do vyrovnávacej pamäte pre smerovania v rámci lokálneho pripojenia. Útočník mohol v lokálnej podsieti (nie v iných sieťach) odoslať dostatočný počet sfalšovaných požiadaviek ARP, ktoré by vyčerpali pamäť jadra, čo by viedlo k odmietnutiu služby.

Informácie o starších aktualizáciách zabezpečenia nájdete na stránke Aktualizácie zabezpečenia Apple (z augusta 2003 a staršie).