Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsuppdatering 2008-005

I det här dokumentet beskrivs säkerhetsuppdatering 2008-005, som kan hämtas och installeras via inställningarna för Programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Säkerhetsuppdatering 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    TIllgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt En lokal användare kan utföra kommandon med högre behörigheter

    Beskrivning: Ett designproblem dyker upp i Open Scripting Architecture-bibliotek när det bestämmer om skripttillägg ska laddas i program som körs med högre behörigheter. När kommandon om skripttillägg skickas till ett privilegierat program kan opålitlig kod köras med dessa behörigheter. Den här uppdateringen åtgärdar problemet genom att inte ladda skripttillägg i program som körs med systembehörigheter. ARDAgent- och SecurityAgent-problemen som rapporterades nyligen åtgärdas med denna uppdatering. Tack till Charles Srstka som rapporterade problemet.

  • BIND

    CVE-ID: CVE-2008-1447

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: BIND är utsatt för DNS-cacheförgiftning och kan returnera glömd information

    Beskrivning: BIND-servern (Berkeley Internet Name Domain) driftsätts med Mac OS X och aktiveras inte som standard. När BIND-servern aktiveras tillhandahåller den översättningar mellan värdnamn och IP-adresser. En svaghet i DNS-protokollet kan tillåta att fjärrangripare förgiftar DNS-cache. Det kan resultera i att system som förlitar sig på BIND-servern får falsk information. Den här uppdateringen åtgärdar problemet genom att implementera slumpmässig källport för att förbättra motståndet mot cache-förgiftningsattacker. För system Mac OS X 10.4.11 uppdateras BIND till version 9.3.5-P1. För system Mac OS X 10.5.4 uppdateras BIND till version 9.4.2-P1. Tack till Dan Kaminsky på IOActive som rapporterade problemet.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Bearbetning av långa filnamn kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett travbuffertspill finns i hanteringen av långa filnamn. Bearbetning av långa filnamn kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till Thomas Raffetseder på International Secure Systems Lab och Sergio 'shadown' Alvarez på n.runs AG som rapporterade problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    TIllgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Besök på skadliga webbplatser kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: CoreGraphics innehåller problem med minneskorruption vid bearbetningen av argument. Att skicka opålitliga inmatningar till CoreGraphics via ett program, till exempel en webbläsare, kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Tack till Michal Zalewski på Google . som rapporterade problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Visning av skadliga pdf-filer kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill i hanteringen av pdf-filer kan leda till ett heap-buffertspill. Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av pdf-filer. Tack till Pariente Kobi som arbetar med iDefense VCP som rapporterade problemet.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Tillgängligt för: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Visning av skadliga meddelande med Data Detectors kan leda till att program oväntat avslutas

    Beskrivning: Data Detectors används för att extrahera referensinformation från textinnehåll eller arkiv. Det finns ett problem med resursförbrukning i Data Detectors hantering av textinnehåll. Visning av skadligt innehåll i ett program som använder Data Detectors kan leda till att en tjänst nekad, men inte att opålitlig kod körs. Problemet berör inte system före Mac OS X 10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11

    Effekt: En lokal användare kan få systembehörigheter

    Beskrivning: Verktyget "Repair Permissions" i Disk Utility skapar /usr/bin/emacs setuid. När verktyget Repair Permissons har körts kan en lokal användare använda emacs för att köra kommandon med systembehörigheter. Den här uppdateringen åtgärdar problemet genom att åtgärda behörigheterna som tillämpas på emacs i verktyget Repair Permissions. Det här problemet påverkar inte system som kör Mac OS X 10.5 eller senare. Tack till Anton Rang och Brian Timares som rapporterade problemet.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: En fjärrangripare kan orsaka att program oväntat avslutas

    Beskrivning: Det finns ett problem i OpenLDAPs ASN.1 BER-avkodning. Bearbetning av skadliga LDAP-meddelanden kan utlösa en bekräftelse och leda till att OpenLDAP daemon, slapd oväntat avslutas. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av LDAP-meddelanden.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: En fjärrangripare kan orsaka att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns ett problem med kontroll av intervall i verktygsfunktionen SSL_get_shared_ciphers() inom OpenSSL. Bearbetning av skadliga paket i ett program som använder den här funktionen kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Tillgängligt för: Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Flera sårbarheter i PHP 5.2.5

    Beskrivning: PHP uppdateras till version 5.2.6 för att åtgärda flera sårbarheter. Den mest allvarliga kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen på http://www.php.net/ PHP version 5.2.x finns bara i Mac OS X 10.5-system.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Hämtning av skadliga Microsoft Office-filer kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det finns problem med minneskorruption i QuickLooks hantering av Microsoft Office-filer. Hämtning av en skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Problemet berör inte system före Mac OS X 10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.4, Mac OS X Server 10.5.4

    Effekt: Det går att komma åt eller skriva över filer utanför modulroten på distans

    Beskrivning: Det finns problem med validering av sökvägar i rsyncs hantering av symboliska länkar när de körs i daemon-läge. Placering av symboliska länkas i en rscync-modul kan tillåta att någon kommer åt eller skriver över filer utanför modulroten. Den här uppdateringen åtgärdar problemet genom förbättrad hantering av symboliska länkar. Mer information om tillämpade programkorrigeringar är tillgängliga via webbplatsen rsync på http://rsync.samba.org/

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta leverantören om du vill veta mer.

Publiceringsdatum: