Om säkerhetsinnehållet i uppdateringen för Mac OS X 10.4.7
I det här dokumentet beskrivs säkerhetsinnehållet i uppdateringen för Mac OS X 10.4.7 som kan hämtas och installeras via Programuppdatering eller från Apples hämtningsbara filer.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.
Uppdatering för Mac OS X 10.4.7
AFP
CVE-ID: CVE-2006-1468
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Fil- och mappnamn kan avslöjas för obehöriga användare
Beskrivning: Ett problem i AFP-servern låter sökresultat ta med namn på filer och mappar som användaren som gör sökningen inte har tillgång till. Det här kan resultera i att information avslöjas om själva namnen är känslig information. Den här uppdateringen åtgärdar problemet genom att säkerställa att sökresultaten endast omfattar objekt som användaren har behörighet till. Problemet berör inte system före Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1989
Tillgängligt för Mac OS X Server 10.4.6
Effekt: När virusskanningar ställs in för att uppdateras automatiskt kan en skadlig databasspegel orsaka att opålitlig kod körs
Beskrivning: Ett problem med ClamAVs automatiska uppdatering av virusdatabaser kan resultera i ett travbaserat buffertspill. En skadlig eller falsk ClamAV-databasspelgel kan orsaka att opålitlig kod körs med behörigheterna för ClamAV. Tjänsten Mail, virusskanning och automatiska uppdateringar av virusdatabaser är inaktiverade som standard. Den här uppdateringen åtgärdar problemet genom att inkorporera ClamAV 0.88.2. Det här problemet påverkar inte system före Mac OS X 10.4.
ImageIO
CVE-ID: CVE-2006-1469
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av en skadlig TIFF-bild kan leda till att program kraschar eller att opålitlig kod körs
Beskrivning: Genom att noggrant skapa en korrupt TIFF-bild kan en angripare utlösa ett travbaserat buffertspill som kan resultera i att program kraschar eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av TIFF-bilder. Problemet berör inte system före Mac OS X 10.4.
launchd
CVE-ID: CVE-2006-1471
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Lokala användare kan få högre behörigheter
Beskrivning: En sårbarhet i formatsträngarna i setuid program launchd kan låta en autentiserad lokal användare att köra opålitlig kod med systembehörigheter. Det här problemet förekommer i launchds loggningsanläggning. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering när meddelanden loggas. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till Kevin Finisterre på DigitalMunition som rapporterade det här problemet.
OpenLDAP
CVE-ID: CVE-2006-1470
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Fjärrangripare kan orsaka att servern Open Directory kraschar
Beskrivning: Genom att noggrant skapa en ogiltig LDAP-begäran kan en fjärrangripare utlösa en bekräftelse i OpenLDAP-servern, vilket resulterar i att tjänsten nekas. Den här uppdateringen åtgärdar problemet genom att eliminera den ogiltiga begäran. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till forskningsteamet på Mu Security som rapporterade problemet.