Den här artikeln har arkiverats och uppdateras inte längre av Apple.

Om säkerhetsuppdatering 2010-001

Det här dokumentet beskriver säkerhetsuppdatering 2010-001, som kan hämtas och installeras genom inställningarna för programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i ”Apples säkerhetssläpp”.

Säkerhetsuppdatering 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Spelas en mp4-ljudfil med skadligt innehåll kan det leda oväntad programavstängning eller körning av opålitlig kod

    Beskrivning: Det finns buffertspill i hantering mp4-ljudfiler. Spelas en mp4-ljudfil med skadligt innehåll kan det leda till oväntad programavslutning eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad gränskontroll. Tack till Tobias Klein på trapkit.de som rapporterade problemet.

  • CUPS

    CVE-ID: CVE-2009-3553

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: En fjärrangripare kan orsaka oväntad avstängning av cupsd

    Beskrivning: Det finns UAF-fel i cupsd. Genom att utfärda begäran get-printer-jobs med skadligt innehåll kan angriparen orsaka ett blockeringsangrepp. Det här förhindras genom att starta om cupsd automatiskt efter när det stängs av. Det här problemet åtgärdas genom förbättrad spårning av anslutningsanvändning.

  • Flash Player insticksprogram

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Flera säkerhetsrisker i Adobe Flash Player insticksprogram

    Beskrivning: Det finns flera problem i Adobe Flash Player insticksprogram, varav det allvarligaste kan orsaka körning av opålitlig kod när en webbplats med skadligt innehåll öppnas. Det här problemet åtgärdas genom en uppdatering av Flash Player-insticksprogrammet till version 10.0.42. Vidare information om detta finns på Adobes webbplats på adressen http://www.adobe.com/support/security/bulletins/apsb09-19.html Tack till en anonym medhjälpare och Damian Put på TippingPoints Zero Day Initiative, Bing Liu på Fortinets FortiGuard Global Security Research Team, Will Dormann på CERT, Manuel Caballero och Microsoft Vulnerability Research (MSVR) för att de rapporterade problemet.

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Effekt: Visas en TIFF-bilfil med skadligt innehåll kan det leda till oväntad programavstängning eller körning av opålitlig kod

    Beskrivning: Det finns ett buffertspill i ImageIO:s hantering TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs. Det här problemet åtgärdas genom förbättrad gränskontroll. För Mac OS X v10.6-system åtgärdas det här problemet i Mac OS X 10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: Visa en DNG-bild med skadligt innehåll kan det leda oväntad programavstängning eller körning av opålitlig kod

    Beskrivning: Det finns buffertspill i Image RAW:s hantering DNG-bilder. Visning av en DNG-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod. Det här problemet åtgärdas genom förbättrad gränskontroll. Tack till Jason Carr på Carnegie Mellon University Computing Services som rapporterade det här problemet.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Tillgängligt för: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Effekt: En angripare med nätverksbehörighet kan registrera data eller ändra åtgärder utförda i sessioner skyddade av SSL

    Beskrivning: Det finns en MTM-säkerhetsrisk i protokollen SSL och TLS. Mer information finns på http://www.phonefactor.com/sslgap En ändring i omförhandlingsprotokollet är på väg i IETF. Den här uppdateringen inaktiverar som en förebyggande säkerhetsåtgärd omförhandling i OpenSSL. Problemet påverkar inte tjänster som använder Secure Transport eftersom det inte stöder omförhandling. Tack till Steve Dispensa och Marsh Ray på PhoneFactor, Inc. som rapporterade problemet.

Viktigt! Omnämnandet av webbplatser och produkter från tredje part görs endast i informationssyfte och är inte att betrakta som rekommendationer eller stöd. Apple tar inget ansvar för valet eller nyttjandet av information eller produkter från tredje part och inte heller för produkternas prestanda. Apple tillhandahåller detta endast för att underlätta för våra användare. Apple har inte testat informationen på dessa webbplatser och garanterar inte att den är korrekt eller tillförlitlig. Det finns risker med användningen av all information och alla produkter som finns på internet, och Apple tar inget ansvar i detta avseende. Observera att en tredje parts webbplats är oberoende av Apple och att Apple inte har någon kontroll över innehållet på den webbplatsen. Kontakta säljaren för ytterligare information.

Publiceringsdatum: