Om säkerhetsinnehållet i uppdateringen för Mac OS X 10.4.7

I det här dokumentet beskrivs säkerhetsinnehållet i uppdateringen för Mac OS X 10.4.7 som kan hämtas och installeras via Programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.

Uppdatering för Mac OS X 10.4.7

  • AFP

    CVE-ID: CVE-2006-1468

    Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Effekt: Fil- och mappnamn kan avslöjas för obehöriga användare

    Beskrivning: Ett problem i AFP-servern låter sökresultat ta med namn på filer och mappar som användaren som gör sökningen inte har tillgång till. Det här kan resultera i att information avslöjas om själva namnen är känslig information. Den här uppdateringen åtgärdar problemet genom att säkerställa att sökresultaten endast omfattar objekt som användaren har behörighet till. Problemet berör inte system före Mac OS X 10.4.

  • ClamAV

    CVE-ID: CVE-2006-1989

    Tillgängligt för Mac OS X Server 10.4.6

    Effekt: När virusskanningar ställs in för att uppdateras automatiskt kan en skadlig databasspegel orsaka att opålitlig kod körs

    Beskrivning: Ett problem med ClamAVs automatiska uppdatering av virusdatabaser kan resultera i ett travbaserat buffertspill. En skadlig eller falsk ClamAV-databasspelgel kan orsaka att opålitlig kod körs med behörigheterna för ClamAV. Tjänsten Mail, virusskanning och automatiska uppdateringar av virusdatabaser är inaktiverade som standard. Den här uppdateringen åtgärdar problemet genom att inkorporera ClamAV 0.88.2. Det här problemet påverkar inte system före Mac OS X 10.4.

  • ImageIO

    CVE-ID: CVE-2006-1469

    Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Effekt: Visning av en skadlig TIFF-bild kan leda till att program kraschar eller att opålitlig kod körs

    Beskrivning: Genom att noggrant skapa en korrupt TIFF-bild kan en angripare utlösa ett travbaserat buffertspill som kan resultera i att program kraschar eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av TIFF-bilder. Problemet berör inte system före Mac OS X 10.4.

  • launchd

    CVE-ID: CVE-2006-1471

    Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Effekt: Lokala användare kan få högre behörigheter

    Beskrivning: En sårbarhet i formatsträngarna i setuid program launchd kan låta en autentiserad lokal användare att köra opålitlig kod med systembehörigheter. Det här problemet förekommer i launchds loggningsanläggning. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering när meddelanden loggas. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till Kevin Finisterre på DigitalMunition som rapporterade det här problemet.

  • OpenLDAP

    CVE-ID: CVE-2006-1470

    Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6

    Effekt: Fjärrangripare kan orsaka att servern Open Directory kraschar

    Beskrivning: Genom att noggrant skapa en ogiltig LDAP-begäran kan en fjärrangripare utlösa en bekräftelse i OpenLDAP-servern, vilket resulterar i att tjänsten nekas. Den här uppdateringen åtgärdar problemet genom att eliminera den ogiltiga begäran. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till forskningsteamet på Mu Security som rapporterade problemet.

Publiceringsdatum: