บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

เกี่ยวกับเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2008-008 / Mac OS X v10.5.6

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2008-008 / Mac OS X v10.5.6 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่ความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตความปลอดภัย 2008-008 / Mac OS X v10.5.6

  • ATS

    CVE-ID: CVE-2008-4236

    มีให้สําหรับ: Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การดูหรือดาวน์โหลดไฟล์ PDF ที่มีแบบอักษรแบบฝังที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการ

    คําอธิบาย: การจัดการแบบอักษรแบบฝังในไฟล์ PDF ของเซิร์ฟเวอร์ Apple Type Services อาจทำงานแบบวนลูปไปเรื่อยๆ การดูหรือดาวน์โหลดไฟล์ PDF ที่มีแบบอักษรแบบฝังที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการปฏิเสธการให้บริการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบแบบอักษรแบบฝังเพิ่มเติม ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Michael Samarin และ Mikko Vihonen จาก Futurice Ltd. ที่รายงานปัญหานี้

  • BOM

    CVE-ID: CVE-2008-4217

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การดาวน์โหลดหรือดูไฟล์เก็บถาวร CPIO ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการหรือทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

    คําอธิบาย: พบปัญหาการลงนามในการจัดการส่วนหัว CPIO ของ BOM ซึ่งอาจส่งผลให้เกิด Stack Buffer Overflow การดาวน์โหลดหรือดูไฟล์เก็บถาวร CPIO ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการหรือทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบส่วนหัว CPIO เพิ่มเติม ขอขอบคุณ Apple

  • CoreGraphics

    CVE-ID: CVE-2008-3623

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Heap Buffer Overflow ในการจัดการกับพื้นที่สีภายใน CoreGraphics การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Apple

  • CoreServices

    CVE-ID: CVE-2008-3170

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การเปิดเผยข้อมูลประจําตัวของผู้ใช้

    คําอธิบาย: Safari อนุญาตให้เว็บไซต์ตั้งค่าคุกกี้เฉพาะประเทศ สําหรับโดเมนระดับบนสุด ซึ่งอาจอนุญาตให้ผู้โจมตีระยะไกลทําการโจมตีการแก้ไขเซสชั่นและขโมยข้อมูลประจําตัวของผู้ใช้ได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการดำเนินการตรวจสอบชื่อโดเมนเพิ่มเติม ขอขอบคุณ Alexander Clauss จาก iCab.de ที่รายงานปัญหานี้

  • CoreTypes

    CVE-ID: CVE-2008-4234

    มีให้สําหรับ: Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การพยายามเปิดเนื้อหาดาวน์โหลดที่ไม่ปลอดภัยอาจไม่แสดงคําเตือน

    คําอธิบาย: Mac OS X มาพร้อมความสามารถในการตรวจสอบการดาวน์โหลดเพื่อระบุไฟล์ที่อาจไม่ปลอดภัย แอปพลิเคชันต่างๆ เช่น Safari และอื่นๆ จะใช้การตรวจสอบการดาวน์โหลดเพื่อเตือนผู้ใช้ก่อนที่จะเปิดไฟล์ที่ทําเครื่องหมายว่าอาจไม่ปลอดภัย รายการอัปเดตนี้จะเพิ่มในประเภทรายการที่อาจไม่ปลอดภัย และเพิ่มประเภทเนื้อหาสําหรับไฟล์ที่มีสิทธิ์ในระดับปฏิบัติการและไม่มีการเชื่อมโยงกับแอปพลิเคชันเฉพาะ ไฟล์เหล่านี้อาจไม่ปลอดภัยเนื่องจากจะเปิดขึ้นในเทอร์มินัลและเนื้อหาจะถูกดําเนินการในฐานะคําสั่ง แม้ว่าไฟล์เหล่านี้จะไม่ได้เปิดขึ้นโดยอัตโนมัติ แต่อาจทำให้เกิดการรันโค้ดโดยพลการได้ หากผู้ใช้เปิดด้วยตนเอง ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5

  • Flash Player Plug-in

    CVE-2007-4324, CVE-2007-6243, CVE-2008-3873, CVE-2008-4401, CVE-2008-4503, CVE-2008-4818, CVE-2008-4819, CVE-2008-4820, CVE-2008-4821, CVE-2008-4822, CVE-2008-4823, CVE-2008-4824, CVE-2008-5361, CVE-2008-5362, CVE-2008-5363

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: พบช่องโหว่หลายจุดในปลั๊กอิน Adobe Flash Player

    คําอธิบาย: พบปัญหาหลายจุดในปลั๊กอิน Adobe Flash Player ซึ่งปัญหาที่ร้ายแรงที่สุดที่อาจทำให้เกิดการรันโค้ดโดยพลการเมื่อเปิดดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดตปลั๊กอิน Flash Player เป็นเวอร์ชั่น 9.0.151.0 ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Adobe ที่ http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID: CVE-2008-4218

    มีให้สําหรับ: Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: ผู้ใช้เครื่องอาจได้รับสิทธิ์ในระดับระบบ

    คําอธิบาย: พบปัญหา Integer Overflow ในการเรียกระบบ i386_set_ldt และ i386_get_ldt ซึ่งอาจอนุญาตให้ผู้ใช้เครื่องรันโค้ดด้วยสิทธิ์ในระดับระบบโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ PowerPC ขอขอบคุณ Richard van Eeden จาก IOActive, Inc. ที่รายงานปัญหาเหล่านี้

  • Kernel

    CVE-ID: CVE-2008-4219

    มีให้สําหรับ: Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การเรียกใช้ไฟล์ปฏิบัติการที่เชื่อมโยงไลบรารีแบบไดนามิกบนการแชร์ NFS อาจทำให้ระบบหยุดทำงานโดยไม่คาดคิด

    คําอธิบาย: อาจเกิดการทำงานแบบวนลูปไปเรื่อยๆ เมื่อโปรแกรมที่อยู่ในการแชร์ NFS ได้รับข้อยกเว้น ซึ่งอาจทำให้ระบบปิดการทำงานได้โดยไม่คาดคิด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อยกเว้นให้ดียิ่งขึ้น ขอบคุณ Ben Loer จาก Princeton University ที่รายงานปัญหานี้

  • Libsystem

    CVE-ID: CVE-2008-4220

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: แอปพลิเคชันที่ใช้ inet_net_pton API อาจเสี่ยงต่อการรันโค้ดโดยพลการหรือทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด

    คําอธิบาย: พบ Integer Overflow ใน inet_net_pton API ของ Libsystem ซึ่งอาจนําไปสู่การรันโค้ดโดยพลการหรือทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดโดยใช้ API การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปกติแล้ว API นี้จะไม่ถูกเรียกด้วยข้อมูลที่ไม่น่าเชื่อถือ และไม่ทราบแน่ชัดถึงการใช้ประโยชน์ของปัญหานี้ การอัปเดตนี้จัดทําขึ้นเพื่อช่วยลดการโจมตีที่อาจเกิดขึ้นกับแอปพลิเคชันใดๆ โดยใช้ API นี้

  • Libsystem

    CVE-ID: CVE-2008-4221

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: แอปพลิเคชันที่ใช้ strptime API อาจเสี่ยงต่อการรันโค้ดโดยพลการหรือทำให้แอปพลิเคชั่นหยุดทำงานโดยไม่คาดคิด

    คําอธิบาย: พบปัญหาหน่วยความจําเสียหายใน strptime API ของ Libsystem การแยกวิเคราะห์สตริงวันที่ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการรันโค้ดโดยพลการหรือทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดสรรหน่วยความจำให้ดียิ่งขึ้น ขอขอบคุณ Apple

  • Libsystem

    CVE-ID: CVE-2008-1391

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: แอปพลิเคชันที่ใช้ strfmon API อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Integer Overflow หลายจุดในการใช้งาน strfmon ของ Libsystem แอปพลิเคชันที่เรียก strfmon ด้วยค่าขนาดใหญ่ของฟิลด์ Integer บางฟิลด์ในอาร์กิวเมนต์สตริงฟอร์แมตอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

  • Managed Client

    CVE-ID: CVE-2008-4237

    มีให้สําหรับ: Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: ระบบไม่ใช้งานการตั้งค่าโปรแกรมรักษาหน้าจอที่มีการจัดการ

    คําอธิบาย: ซอฟต์แวร์ในระบบไคลเอ็นต์ที่มีการจัดการอาจใช้วิธีติดตั้งข้อมูลการกําหนดค่าต่อโฮสต์ที่ไม่สามารถระบุระบบได้อย่างถูกต้อง หากมีการระบุระบบผิดพลาด จะไม่มีการใช้การตั้งค่าต่อโฮสต์รวมถึงการล็อคโปรแกรมรักษาหน้าจอ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการให้ลูกค้าที่มีการจัดการใช้การระบุระบบที่ถูกต้อง ปัญหานี้ไม่ส่งผลกระทบต่อระบบที่มีอีเทอร์เน็ตในตัว ขอขอบคุณ John Barnes จาก ESRI และ Trevor Lalish-Menagh จาก Tamman Technologies, Inc. ที่รายงานปัญหานี้

  • network_cmds

    CVE-ID: CVE-2008-4222

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจทําให้เกิดการปฏิเสธการให้บริการได้หากเปิดใช้งานการแชร์อินเทอร์เน็ต

    คําอธิบาย: อาจเกิดการทำงานแบบวนลูปไปเรื่อยๆ ในการจัดการแพ็คเก็ต TCP ใน natd ผู้โจมตีระยะไกลอาจทําให้เกิดการปฏิเสธการให้บริการได้หากเปิดใช้งานการแชร์อินเทอร์เน็ตด้วยการส่งแพ็คเก็ต TCP ที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้จะแก้ไขปัญหาดังกล่าวด้วยการตรวจสอบแพ็คเก็ต TCP เพิ่มเติม ขอบคุณ Alex Rosenberg จาก Ohmantics และ Gary Teter จาก Paizo Publishing ที่รายงานปัญหานี้

  • Podcast Producer

    CVE-ID: CVE-2008-4223

    มีให้สําหรับ: Mac OS X Server v10.5 through v10.5.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเข้าถึงฟังก์ชั่นการดูแลระบบของ Podcast Producer ได้

    คําอธิบาย: พบปัญหาบายพาสการตรวจสอบสิทธิ์ใน Podcast Producer Server ซึ่งอาจอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงฟังก์ชั่นการดูแลระบบในเซิร์ฟเวอร์ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น Podcast Producer มีให้ใช้งานใน Mac OS X Server v10.5

  • UDF

    CVE-ID: CVE-2008-4224

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 ถึง v10.5.5, Mac OS X Server v10.5 ถึง v10.5.5

    ผลกระทบ: การเปิดไฟล์ ISO อาจทำให้ระบบปิดทำงานโดยไม่คาดคิด

    คําอธิบาย: พบปัญหาการตรวจสอบอินพุตในการจัดการโวลุ่ม UDF ที่ผิดรูปแบบ ผลกระทบ: การเปิดไฟล์ ISO ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดทำงานได้โดยไม่คาดคิด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น ขอบคุณ Mauro Notarianni จาก PCAX Solutions ที่รายงานปัญหานี้

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: