เกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดต Mac OS X 10.4.7
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของรายการอัปเดต Mac OS X 10.4.7 ซึ่งสามารถดาวน์โหลดและติดตั้งโดยใช้รายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบอย่างเต็มรูปแบบ และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดไปที่หน้าเว็บไซต์การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
รายการอัปเดต Mac OS X 10.4.7
AFP
CVE-ID: CVE-2006-1468
มีให้สำหรับ: Mac OS X v10.4.6, Mac OS X Server v10.4.6
ผลกระทบ: ชื่อไฟล์และโฟลเดอร์อาจถูกเปิดเผยแก่ผู้ใช้ที่ไม่ได้รับอนุญาต
คำอธิบาย: ปัญหาในเซิร์ฟเวอร์ AFP ทำให้ผลการค้นหาแสดงชื่อไฟล์และโฟลเดอร์ที่ผู้ใช้ที่ทำการค้นหาไม่มีสิทธิ์เข้าถึง ซึ่งอาจส่งผลให้ข้อมูลถูกเปิดเผยหากชื่อไฟล์มีข้อมูลที่ละเอียดอ่อน รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการทำให้ผลการค้นหาแสดงเฉพาะรายการที่ผู้ใช้ได้รับอนุญาตเท่านั้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4
ClamAV
CVE-ID: CVE-2006-1989
มีให้สำหรับ: Mac OS X Server v10.4.6
ผลกระทบ: เมื่อกำหนดค่าให้การสแกนไวรัสอัปเดตโดยอัตโนมัติ มิเรอร์ของฐานข้อมูลที่ประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คำอธิบาย: ปัญหาในการอัปเดตฐานข้อมูลไวรัสโดยอัตโนมัติของ ClamAV อาจทำให้เกิด Overflow ในบัฟเฟอร์แบบสแต็ค มิเรอร์ฐานข้อมูล ClamAV ที่ประสงค์ร้ายหรือถูกปลอมแปลงอาจทำให้มีการรันโค้ดโดยพลการด้วยสิทธิพิเศษของ ClamAV ได้ และบริการเมล การสแกนไวรัส รวมถึงการอัปเดตฐานข้อมูลไวรัสจะปิดการทำงานตามค่าเริ่มต้น รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการผนวกรวม ClamAV 0.88.2 เข้ามาเป็นส่วนหนึ่ง และปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4
ImageIO
CVE-ID: CVE-2006-1469
มีให้สำหรับ: Mac OS X v10.4.6, Mac OS X Server v10.4.6
ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอปพลิเคชันขัดข้องหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: การออกแบบภาพ TIFF ที่มีข้อมูลอื่นแอบแฝงอยู่อย่างแยบยลช่วยให้ผู้โจมตีสามารถทำให้เกิด Overflow ในบัฟเฟอร์แบบสแต็ค ซึ่งอาจส่งผลให้แอปพลิเคชันล่มหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยตรวจสอบความถูกต้องของภาพ TIFF เพิ่มเติม ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4
launchd
CVE-ID: CVE-2006-1471
มีให้สำหรับ: Mac OS X v10.4.6, Mac OS X Server v10.4.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจได้รับสิทธิพิเศษที่สูงขึ้น
คำอธิบาย: ช่องโหว่ของฟอร์แมตสตริงในโปรแกรม setuid ที่ชื่อ launchd อาจทำให้ผู้ใช้เฉพาะเครื่องที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดโดยพลการด้วยสิทธิพิเศษของระบบ ปัญหานี้มีอยู่ในส่วน Logging Facility ของ launchd รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องเพิ่มเติมเมื่อมีการสร้างล็อกข้อความ ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4 ขอขอบคุณ Kevin Finisterre จาก DigitalMunition ที่รายงานปัญหานี้
OpenLDAP
CVE-ID: CVE-2006-1470
มีให้สำหรับ: Mac OS X v10.4.6, Mac OS X Server v10.4.6
ผลกระทบ: ผู้โจมตีอาจทำให้เซิร์ฟเวอร์ Open Directory ล่มจากระยะไกลได้
คำอธิบาย: ผู้โจมตีจากระยะไกลอาจสามารถทำให้เกิด Assertion ในเซิร์ฟเวอร์ OpenLDAP โดยใช้วิธีออกแบบคำขอ LDAP ที่ไม่ถูกต้องอย่างแยบยล ซึ่งส่งผลให้เกิด Denial-of-Service รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการทิ้งคำขอที่ไม่ถูกต้อง ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.4 ขอขอบคุณทีมวิจัย Mu Security ที่รายงานปัญหานี้