Om säkerhetsuppdatering 2006-003
I det här dokumentet beskrivs säkerhetsuppdatering 2006-003, som kan hämtas och installeras via inställningarna för Programuppdatering eller från Apples hämtningsbara filer.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i ”Säkerhetsuppdateringar från Apple”.
Säkerhetsuppdatering 2006-003
AppKit
CVE-ID: CVE-2006-1439
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Tecken som anges i ett säkert textfält kan läsas av andra program i samma fönstersession
Beskrivning: I vissa situationer när man växlar mellan textinmatningsfält kan NSSecureTextField misslyckas med att återupprätta säker händelseinmatning. På grund av detta kan vissa inmatningstecken och tangentbordshändelser visas för andra program i samma fönstersession. Den här uppdateringen åtgärdar problemet genom att säkerställa att säker händelseinmatning aktiveras på rätt sätt. Problemet berör inte system före Mac OS X 10.4.
AppKit, ImageIO
CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av en skadlig GIF- eller TIFF-bild kan leda till att opålitlig kod körs
Beskrivning: Hanteringen av skadliga GIF- eller TIFF-bilder kan leda till att opålitlig kod körs när en skadlig bild tolkas. Det här påverkar program som använder ramverken ImageIO (Mac OS X v10.4 Tiger) eller AppKit (Mac OS X v10.3 Panther) för att läsa bilder. Den här uppdateringen åtgärdar problemet genom ytterligare validering av GIF- och TIFF-bilder.
BOM
CVE-ID: CVE-2006-1985
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: När ett arkiv utvidgas kan det leda till att opålitlig kod körs
Beskrivning: Genom att noggrant skapa ett arkiv (till exempel ett Zip-arkiv) som innehåller långa sökvägsnamn kan en angripare utlösa ett heap-buffertspill i BOM. Det här kan resultera i att opålitlig kod körs. BOM används för att hantera arkiv i Finder och andra appar. Den här uppdateringen åtgärdar problemet genom att hantera gränsvillkoren på rätt sätt.
BOM
CVE-ID: CVE-2006-1440
Tillgängligt för: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6
Effekt: När ett skadligt arkiv utvidgas kan opålitliga filer skapas eller skrivas över
Beskrivning: Ett problem i hanteringen av katalogtraverseringens symboliska länkar som finns i arkiv kan leda till att BOM skapar eller skriver över filer på opålitliga platser som användaren som utvidgar arkivet har tillgång till. BOM hanterar arkiv åt Finder och andra appar. Den här uppdateringen åtgärdar problemet genom att se till att den utvidgade filen från ett arkiv inte placeras utanför katalogen den ska till.
CFNetwork
CVE-ID: CVE-2006-1441
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Besök på skadliga webbplatser kan leda till att opålitlig kod körs
Beskrivning: Ett heltalsspill i hanteringen av grupperad överföringskodning kan leda till att opålitlig kod körs. CFNetwork används av Safari och andra appar. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering. Problemet berör inte system före Mac OS X 10.4.
ClamAV
CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630
Tillgängligt för: Mac OS X Server 10.4.6
Effekt: Bearbetning av skadliga e-postmeddelanden med ClamAV kan leda till att opålitlig kod körs
Beskrivning: Mjukvaran ClamAV för skanning av virus har uppdaterats för att inkorporera säkerhetsåtgärder i den senaste versionen. ClamAV introducerades i Mac OS X Server 10.4 för skanning av e-post. Det allvarligaste av dessa problem kan leda till att opålitlig kod körs med behörigheterna för ClamAV. Mer information finns på projektets webbplats på http://www.clamav.net.
CoreFoundation
CVE-ID: CVE-2006-1442
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server v10.4.6
Effekt: Registrering av ett opålitligt paket kan leda till att opålitlig kod körs
Beskrivning: I vissa fall är paket indirekt registrerade av appar eller systemet. En funktion i paket-API gör att dynamiska bibliotek laddas och körs när ett paket registreras, även om klientprogram inte explicit kräver det. Det resulterar i att opålitlig kod kan köras från ett opålitligt paket utan explicit användarinteraktion. Den här uppdateringen åtgärdar problemet genom att ladda och köra bibliotek från paketet vid rätt tid.
CoreFoundation
CVE-ID: CVE-2006-1443
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Konverteringar av strängar till filsystem kan leda till att opålitlig kod körs
Beskrivning: Ett heltalsspill under bearbetningen av ett gränstillstånd i CFStringGetFileSystemRepresentation kan leda till att opålitlig kod körs. Appar som använder denna API eller en av de relaterade API:erna som NSFileManagers getFileSystemRepresentation:maxLength:withPath: kan utlösa problemet och leda till att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att hantera gränsvillkoren på rätt sätt.
CoreGraphics
CVE-ID: CVE-2006-1444
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Tecken som anges i ett säkert textfält kan läsas av andra program i samma fönstersession
Beskrivning: Quartz Event Services ger appar möjligheten att observera och ändra användarens inmatningshändelser på lägre nivå. I vanliga fall kan appar inte fånga upp händelser när säker händelseinmatning är aktiverad. Men om "Enable access for assistive devices” är aktiverad kan Quartz Events Service användas för att fånga upp händelser när säker händelseinmatning är aktiverad. Den här uppdateringen åtgärdar problemet genom att filtrera händelser när säker händelseinmatning är aktiverad. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till Damien Bobillot som rapporterade problemet.
Finder
CVE-ID: CVE-2006-1448
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Lansering av ett objekt på en internetplats kan leda till att opålitlig kod körs
Beskrivning: Objekt på internetplatser är helt enkelt webbadressbehållare, till exempel http://, ftp:// och file:// samt några andra URL-scheman. Dessa olika typer av objekt på internetplatser är visuellt olika, och de ska vara säkra att lansera explicit. Dock kan URL-schemat vara annorlunda än typen av internetplats. Det kan resultera i att en angripare övertygar en användare att lansera ett påstått ofarligt objekt (som en webbplats, http://), när ett annat URL-schema används i själva verket. I vissa fall kan det leda till att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att begränsa URL-schemat baserat på typen av internetplats.
FTPServer
CVE-ID: CVE-2006-1445
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: FTP-åtgärder av autentiserade FTPanvändare kan leda till att opålitlig kod körs
Beskrivning: Flera problem i FTP-serverns hantering av sökvägsnamn kan resultera i ett buffertspill. En skadligt autentiserad användare kan utlösa detta spill vilket kan leda till att opålitlig kod körs med FTP-serverns behörigheter. Den här uppdateringen åtgärdar problemet genom att hantera gränsvillkoren på rätt sätt.
Flash Player
CVE-ID: CVE-2005-2628, CVE-2006-0024
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Uppspelning av Flash-innehåll kan leda till att opålitlig kod körs
Beskrivning: Adobe Flash Player innehåller kritiska sårbarheter som kan leda till att opålitlig kod körs när specialskapade filer laddas. Mer information är tillgänglig via Adobe-webbplatsen på http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Den här uppdateringen åtgärdar problemet genom att inkorporera Flash Player version 8.0.24.0.
ImageIO
CVE-ID: CVE-2006-1552
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av skadliga JPEG-bilder kan leda till att opålitlig kod körs
Beskrivning: Ett heltalsspill i hanteringen JPEG-metadata kan leda till att opålitlig kod körs. Genom att noggrant skapa en bild med skadliga JPEG-metadata kan en angripare leda till att opålitlig kod körs när bilden visas. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av bilder. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till Brent Simmons på NewsGator Technologies, Inc. som rapporterade problemet.
Nyckelring
CVE-ID: CVE-2006-1446
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: En app kan använda Nyckelring-objekt när Nyckelring är låst
Beskrivning: När en Nyckelring är låst kan inte appar komma åt dess Nyckelring-objekt utan att först begära att Nyckelring låses upp. Men en app som har fått en referens till ett Nyckelring-objekt innan Nyckelring-objektet låstes kan, i vissa fall, fortsätta använda Nyckelring-objektet oavsett om Nyckelring är låst eller inte. Den här uppdateringen åtgärdar problemet genom att neka begäran att använda Nyckelring-objekt när Nyckelring är låst. Tack till Tobias Hahn på HU Berlin som rapporterade problemet.
LaunchServices
CVE-ID: CVE-2006-1447
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av en skadlig webbplats kan leda till att opålitlig kod körs
Beskrivning: Långa filnamnstillägg kan hindra Hämtningsverifiering från att korrekt fastställa appen som objektet kan öppnas med. Det kan resultera i att en angripare kringgår Hämtningsverifiering och gör att Safari automatiskt öppnar osäkert innehåll om alternativet Öppna säkra filer efter hämtning är aktiverat och vissa appar inte är installerade. Den här uppdateringen åtgärdar problemet genom förbättrade kontroller av filnamnstillägg. Problemet berör inte system före Mac OS X 10.4.
libcurl
CVE-ID: CVE-2005-4077
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Hantering av webbadresser i libcurl kan leda till att opålitlig kod körs
Beskrivning: HTTP-biblioteket med öppen källa i libcurl innehåller buffertstill i hantering av webbadresser. Appar som använder curl för hantering av webbadresser kan utlösa problemet och leda till att opålitlig kod körs. Den här uppdateringen åtgärdar problemet genom att inkorporera libcurl version 7.15.1. Det här problemet påverkar inte system före Mac OS X 10.4.
Mail
CVE-ID: CVE-2006-1449
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av skadliga e-postmeddelanden kan leda till att opålitlig kod körs
Beskrivning: Genom att förbereda ett specialskapat e-postmeddelande med MacMIME-inkapslade bilagor kan en angripare utlösa ett heltalsspill. Det här kan leda till att opålitlig kod körs med behörigheterna av användaren som kör Mail. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av meddelanden.
Mail
CVE-ID: CVE-2006-1450
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av skadliga e-postmeddelanden kan leda till att opålitlig kod körs
Beskrivning: Hanteringen av ogiltig färginformation i berikade e-postmeddelanden kan leda till tilldelning och initiering av opålitliga klasser. Det här kan leda till att opålitlig kod körs med behörigheterna av användaren som kör Mail. Den här uppdateringen åtgärdar problemet genom att hantera skadliga berikade textdata.
MySQL Manager
CVE-ID: CVE-2006-1451
Tillgängligt för: Mac OS X Server 10.4.6
Effekt: Det går att komma åt MySQL-databasen med ett tomt lösenord
Beskrivning: Under den initiala inställningen av en MySQL-databasserver som använder MySQL Manager kan ett ”nytt MySQL-rotlösenord” tillhandahållas. Dock används inte lösenordet. Det resulterar i att MySQL-rotlösenordet förblir tomt. En lokal användare kan få tillgång till MySQL-databasen med alla behörigheter. Den här uppdateringen åtgärdar problemet genom att se till att det angivna lösenordet sparas. Det här problemet påverkar inte system före Mac OS X 10.4. Tack till Ben Low på University of New South Wales som rapporterade det här problemet.
Förhandsvisning
CVE-ID: CVE-2006-1452
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Navigering i en skadlig kataloghierarki kan leda till att opålitlig kod körs
Beskrivning: Vid navigering av väldigt djupa kataloghierarkier i Förhandsvisning kan ett travbuffertspill utlösas. Genom att noggrant skapa en sådan kataloghierarki kan en angripare orsaka att opålitlig kod körs om katalogerna öppnas i Förhandsvisning. Problemet berör inte system före Mac OS X 10.4.
QuickDraw
CVE-ID: CVE-2006-1453, CVE-2006-1454
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av en skadlig PICT-bild kan leda till att opålitlig kod körs
Beskrivning: Två problem påverkar QuickDraw vid bearbetning av PICT-bilder. Skadlig typsnittsinformation kan orsaka ett travbuffertspill och skadliga bilddata kan orsaka ett heap-buffertspill . Genom att noggrant skapa en skadlig PICT-bild kan en angripare orsaka att opålitlig kod körs när bilden visas. Den här uppdateringen åtgärdar problemet genom att utföra ytterligare validering av PICT-bilder. Tack till Mike Price på McAfee AVERT Labs som rapporterade det här problemet.
QuickTime Streaming Server
CVE-ID: CVE-2006-1455
Tillgängligt för: Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Effekt: En skadlig QuickTime-film kan orsaka att QuickTime Streaming Server kraschar
Beskrivning: En QuickTime-film med ett spår som saknas kan orsaka en nullpekarreferens och orsaka att serverprocessen kraschar. Det här leder till att aktiva klientkontakter avbryts. Dock startas servern om automatiskt. Den här uppdateringen åtgärdar problemet genom att skapa ett fel när skadliga filmer upptäckts.
QuickTime Streaming Server
CVE-ID: CVE-2006-1456
Tillgängligt för: Mac OS X Server 10.3.9, Mac OS X Server 10.4.6
Effekt: Skadlig RTSP-begäran kan leda till kraschar eller att opålitlig kod körs
Beskrivning: Genom att noggrant skapa en RTSP-begäran kan en angripare utlösa ett buffertspill när meddelanden loggas. Det här kan leda till att opålitlig kod körs med QuickTime Streaming Servers behörigheter. Den här uppdateringen åtgärdar problemet genom att hantera gränsvillkoren på rätt sätt. Tack till forskningsteamet på Mu Security som rapporterade det här problemet.
Ruby
CVE-ID: CVE-2005-2337
Tillgängligt för: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Ruby-begränsningar på säkerhetsnivå kan kringgås
Beskrivning: Ruby-skriptspråket innehåller en mekanism som heter ”säkra nivåer” som används för att begränsa vissa åtgärder. Den här mekanism används oftast när privilegierade Ruby-appar eller Ruby-nätverksappar körs. I vissa fall kan en angripare kringgå begränsningarna i sådana appar. Apar som inte förlitar sig på säkra nivåer påverkas inte. Den här uppdateringen åtgärdar problemet genom att säkerställa att säkra nivåer inte kan kringgås.
Safari
CVE-ID: CVE-2006-1457
Tillgängligt för: Mac OS X 10.4.6, Mac OS X Server 10.4.6
Effekt: Visning av skadliga webbplatser kan leda till filmanipulering eller att opålitlig kod körs
Beskrivning: När alternativet i Safari Öppna säkra filer efter hämtning aktiveras utvidgas arkiv automatiskt. Om arkivet innehåller en symbolisk länk kan destinationslänken flyttas till användarens skrivbord och startas. Den här uppdateringen åtgärdar problemet genom att inte öppna hämtade symboliska länkar. Problemet berör inte system före Mac OS X 10.4.