Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsuppdatering 2008-007

I det här dokumentet beskrivs säkerhetsuppdatering 2008-007, som kan hämtas och installeras genom inställningarna för programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-lösenkod från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Apples säkerhetssläpp”.

Säkerhetsuppdatering 2008-007

  • Apache

    • CVE-ID: CVE-2007-6420, CVE-2008-1678, CVE-2008-2364

    • Tillgängligt för: Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Flera sårbarheter i Apache 2.2.8

    • Beskrivning: Apache har uppdaterats till version 2.2.9 för att åtgärda flera sårbarheter, varav den allvarligaste kan leda till falska förfrågningar mellan webbplatser. Apache version 2 levereras inte tillsammans med Mac OS X Client-system tidigare än version 10.5. Apache version 2 levereras med Mac OS X Server 10.4.x-system, men det är inte aktivt som standard. Mer information finns på webbplatsen för Apache på http://httpd.apache.org/

  • Certificates

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Rotcertifikat har uppdaterats

    • Beskrivning: Flera betrodda certifikat har lagts till i listan med systemrötter. Flera befintliga certifikat har uppdaterats till den senaste versionen. Du kan se den fullständiga listan över systemrötter som känns igen via appen för nyckelringsåtkomst.

  • ClamAV

    • CVE-ID: CVE-2008-1389, CVE-2008-3912, CVE-2008-3913, CVE-2008-3914

      Tillgängligt för: Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Effekt: Flera sårbarheter i ClamAV 0.93.3

    • Beskrivning: Det finns flera sårbarheter i ClamAV 0.93.3, av vilka den allvarligaste kan leda till körning av opålitlig kod. Den här uppdateringen hanterar problemet genom att uppdatera till ClamAV 0.94. ClamAV medföljer inte Mac OS X Client-system. Mer information finns på webbplatsen för ClamAV på http://www.clamav.net/

  • ColorSync

    • CVE-ID: CVE-2008-3642

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Visning av en -bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    • Beskrivning: Det finns ett buffertspill vid hantering av bilder med en inbäddad ICC-profil. Öppnande av en bild med skadligt innehåll och med en inbäddad ICC-profil kan leda till att program oväntat avslutas eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av ICC-profiler i bilder. Av: Apple.

  • CUPS

    • CVE-ID: CVE-2008-3641

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: En fjärrangripare kan få opålitlig kod att köras med lp-användarens behörigheter

    • Beskrivning: Det finns ett problem med räckviddskollen i filtret Hewlett-Packard Graphics Language (HPGL), som kan leda till att slumpmässigt minne skrivs över med kontrollerade data. Om skrivardelning har aktiverats kan en fjärrangripare få opålitlig kod att köras med Ip-användarbehörighet. Om skrivardelning inte är aktiverat kan en lokal användare få tag i högre behörigheter. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare gränskontroller. Tack till regenrecht från TippingPoints Zero Day Initiative, som rapporterade det här problemet.

  • Finder

    • CVE-ID: CVE-2008-3643

    • Tillgängligt för: Mac OS X v10.5.5, Mac OS X Server v10.5.5

      Effekt: En fil på datorn kan leda till att tjänsten nekas

    • Beskrivning: Det finns ett problem med felåterställning i Finder. En opålitlig fil på skrivbordet som gör att Finder avslutas oväntat när ikonen genereras gör att Finder kontinuerligt avslutas och startas om. Användarkontot är inte tillgängligt via Finders användargränssnitt förrän filen tas bort. Den här uppdateringen åtgärdar problemet genom att generera ikoner i en separat process. Det här problemet påverkar inte system före Mac OS X v10.5. Tack till Sergio ”shadown” Alvarez på n.runs AG som rapporterade problemet.

  • launchd

    • Effekt: Program kanske inte övergår till en sandlåda vid förfrågan

    • Tillgängligt för: Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Beskrivning: Uppdateringen åtgärdar ett problem som uppstod i Mac OS X v10.5.5. Ett implementeringsproblem i launchd kan leda till att ett program inte övergår till en sandlåda vid förfrågan. Det här problemet påverkar inte program som använder det dokumenterade API:t sandbox_init. Den här uppdateringen åtgärdar problemet genom att tillhandahålla en uppdaterad version av launchd. Problemet berör inte system före Mac OS X v10.5.5.

  • libxslt

    • CVE-ID: CVE-2008-1767

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Bearbetning av ett XML-dokument kan leda till att ett program avslutas oväntat eller att opålitlig kod körs

      Beskrivning: Det finns ett problem med heapbuffertspill i libxslt-biblioteket. Visning av en skadlig HTML-sida kan leda till oväntad programavslutning eller körning av opålitlig kod. Mer information om den tillämpade korrigeringen är tillgänglig via http://xmlsoft.org/XSLT/ Tack till Anthony de Almeida Lopes på Outpost24 AB och Chris Evans på Google Security Team som rapporterade problemet.

  • MySQL Server

    • CVE-ID: CVE-2007-2691, CVE-2007-5969, CVE-2008-0226, CVE-2008-0227, CVE-2008-2079

    • Tillgängligt för: Mac OS X Server v10.5.5

      Effekt: Flera sårbarheter i MySQL 5.0.45

    • Beskrivning: MySQL har uppdaterats till version 5.0.67 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till körning av opålitlig kod. De här problemen påverkar endast Mac OS X Server-system. Mer information är tillgänglig på webbplatsen för MySQL på http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html

  • Networking

    • CVE-ID: CVE-2008-3645

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: En lokal användare kan få systembehörighet

    • Beskrivning: Det finns ett heapbuffertspill i den lokala IPC-komponenten för EAPOLController-insticksprogrammet för configd, som kan innebära att en lokal användare får systembehörigheter. Den här uppdateringen åtgärdar problemet genom förbättrad kontroll av gränserna. Av: Apple.

  • PHP

    • CVE-ID: CVE-2007-4850, CVE-2008-0674, CVE-2008-2371

    • Tillgängligt för: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X Server v10.5.5

    • Effekt: Flera sårbarheter i PHP 4.4.8

    • Beskrivning: PHP har uppdaterats till version 4.4.9 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till körning av opålitlig kod. Mer information finns tillgänglig på PHP:s webbplats på http://www.php.net/ De här problemen påverkar bara system med Mac OS X v10.4.x, Mac OS X Server v10.4.x och Mac OS X Server v10.5.x.

  • Postfix

    • CVE-ID: CVE-2008-3646

    • Tillgängligt för: Mac OS X v10.5.5

      Effekt: En fjärrangripare kan kanske skicka e-post direkt till lokala användare

    • Beskrivning: Det finns ett problem i Postfix-konfigurationsfilerna. Under en period av en minut efter att ett lokalt kommandoradsverktyg skickar e-post är postfix tillgängligt från nätverket. Under den tiden kan en fjärrenhet som kan ansluta till SMTP-porten skicka e-post till lokala användare och i övrigt använda SMTP-protokollet. Problemet gör inte att systemet blir ett öppet e-postrelä. Problemet åtgärdas genom att Postfix-konfigurationen ändras så att SMTP-anslutningar från fjärrmaskiner förhindras. Problemet påverkar inte system tidigare än Mac OS X v10.5. eller Mac OS X Server. Tack till Pelle Johansson som rapporterade det här problemet.

  • PSNormalizer

    • CVE-ID: CVE-2008-3647

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Visning av en PostScript-fil med skadligt innehåll kan leda till att ett program avslutas oväntat eller att opålitlig kod körs

    • Beskrivning: Det finns ett buffertspill i PSNormalizers hantering av bounding box-kommentaren i PostScript-filer. Visning av en PostScript-fil med skadligt innehåll kan leda till oväntat programavslut eller körning av opålitlig kod. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PostScript-filer.

    • Av: Apple.

  • QuickLook

    • CVE-ID: CVE-2008-4211

    • Tillgängligt för: Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Hämtning eller visning av en Microsoft Excel-fil med skadligt innehåll kan leda till att ett program avslutas oväntat eller att opålitlig kod körs

    • Beskrivning: Det finns ett signeringsproblem i QuickLooks hantering av kolumner i Microsoft Excel-filer som kan leda till minnesåtkomst utanför gränserna. Visning av en Microsoft Excel-fil med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av Microsoft Excel-filer. Problemet berör inte system före Mac OS X v10.5. Av: Apple.

  • rlogin

    • CVE-ID: CVE-2008-4212

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: System som har konfigurerats manuellt för att använda rlogin och host.equiv kan oväntat tillåta rotinloggning

    • Beskrivning: Den manuella sidan för konfigurationsfilen hosts.equiv anger att poster inte gäller för rot. Ett implementeringsfel i rlogind gör dock att de här posterna även gäller för roten. Den här uppdateringen åtgärdar problemet genom att förbjuda rlogin från rotanvändaren om fjärrsystemet är i hosts.equiv. Tjänsten rlogin är inte aktiverad som standard i Mac OS X, och måste konfigureras manuellt för att kunna aktiveras. Tack till Ralf Meyer som rapporterade problemet.

  • Script Editor

    • CVE-ID: CVE-2008-4214

    • Tillgängligt för: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: En lokal användare kan få behörigheter som tillhör en annan användare som använder Script Editor

    • Beskrivning: Det finns ett problem med en filåtgärd som inte är säker i Script Editor-programmet när programmets skriptlexikon öppnas. En lokal användare kan göra att skriptlexikonet skrivs till en opålitlig sökväg som är åtkomlig för den användare som kör programmet. Den här uppdateringen åtgärdar problemet genom att skapa den temporära filen på en säker plats. Av: Apple.

  • Single Sign-On

    • Tillgängligt för: Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Kommandot sso_util accepterar nu lösenord från en fil

    • Beskrivning: Kommandot sso_util accepterar nu lösenord från en fil som namngetts i miljövariabeln SSO_PASSWD_PATH. Detta gör att automatiserade skript kan använda sso_util på ett säkrare sätt.

  • Tomcat

    • CVE-ID: CVE-2007-6286, CVE-2008-0002, CVE-2008-1232, CVE-2008-1947, CVE-2008-2370, CVE-2008-2938, CVE-2007-5333, CVE-2007-5342, CVE-2007-5461

    • Tillgängligt för: Mac OS X Server v10.5.5

    • Effekt: Flera sårbarheter i Tomcat 6.0.14

    • Beskrivning: Tomcat på system med Mac OS X v10.5 uppdateras till version 6.0.18 för att åtgärda flera sårbarheter, varav den allvarligaste kan leda till en skriptattack på flera webbplatser. De här problemen påverkar endast Mac OS X Server-system. Mer information finns på Tomcats webbplats på http://tomcat.apache.org/

  • vim

    • CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2008-2712, CVE-2008-3432, CVE-2008-3294

    • Tillgängligt för: Mac OS X 10.5.5, Mac OS X Server 10.5.5

    • Effekt: Flera sårbarheter i vim 7.0

    • Beskrivning: Det finns flera sårbarheter i vim 7.0, varav den allvarligaste kan leda till körning av opålitlig kod vid arbete med skadliga filer. Den här uppdateringen åtgärdar problemen genom att uppdatera till vim 7.2.0.22. Mer information finns tillgänglig via vims webbsida på

  • Weblog

    • CVE-ID: CVE-2008-4215

    • Tillgängligt för: Mac OS X Server 10.4.11

    • Effekt: Åtkomstkontroll för webbloggsposter kanske inte tillämpas

    • Beskrivning: Det finns ett okontrollerat feltillstånd i webbloggservern. Om en användare med flera kortnamn läggs till i åtkomstkontrollistan för en webbloggspost kan Webblogg-servern sluta att genomdriva åtkomstkontrollen. Det här problemet åtgärdas genom att metoden för att spara åtkomstkontrollistor förbättras. Det här problemet påverkar bara system som kör Mac OS X Server v10.4. Av: Apple.

Publiceringsdatum: