เกี่ยวกับเนื้อหาความปลอดภัยของรายการอัปเดตความปลอดภัย 2009-001
เอกสารนี้อธิบายรายการการอัปเดตความปลอดภัย 2009-001 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจาก รายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"
รายการอัปเดตความปลอดภัย 2009-001
AFP Server
CVE-ID: CVE-2009-0142
มีให้สำหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้ใช้ที่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ AFP อาจทริกเกอร์การปฏิเสธการให้บริการได้
คำอธิบาย: สภาวะการแข่งขันในเซิร์ฟเวอร์ AFP อาจทำให้เกิดการทำงานแบบวนซ้ำไม่สิ้นสุด การแจกแจงไฟล์บนเซิร์ฟเวอร์ AFP อาจทำให้เกิดการปฏิเสธการให้บริการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการแจกแจงไฟล์ให้ดียิ่งขึ้น ปัญหานี้มีผลเฉพาะกับระบบที่ใช้ Mac OS X v10.5.6 เท่านั้น
Apple Pixlet Video
CVE-ID: CVE-2009-0009
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับไฟล์ภาพยนตร์โดยใช้ Pixlet codec การเปิดไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Apple
CarbonCore
CVE-ID: CVE-2009-0020
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายในการจัดการส่วนทรัพยากรโดย Resource Manager ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบส่วนทรัพยากรให้ดียิ่งขึ้น ขอขอบคุณ Apple
CFNetwork
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: กู้คืนการทํางานที่เหมาะสมของคุกกี้ที่มีเวลาหมดอายุเป็นค่า null
คําอธิบาย: การอัปเดตนี้จะแก้ไขการเปลี่ยนแปลงที่ไม่เกี่ยวข้องกับความปลอดภัยที่นํามาใช้ใน Mac OS X 10.5.6 ซึ่งอาจทำให้คุกกี้มีการตั้งค่าไม่ถูกต้อง หากเว็บไซต์พยายามตั้งค่าคุกกี้ชั่วคราวโดยระบุค่า null ในฟิลด์ "หมดอายุ" แทนที่จะละเว้นฟิลด์นั้นไว้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการละเว้นฟิลด์ "หมดอายุ" หากมีค่า null
CFNetwork
มีให้ใช้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: กู้คืนการทํางานที่เหมาะสมของคุกกี้ชั่วคราวที่ทำงานข้ามแอปพลิเคชัน
คําอธิบาย: การอัปเดตนี้จะแก้ไขการเปลี่ยนแปลงที่ไม่เกี่ยวข้องกับความปลอดภัยที่นํามาใช้ใน Mac OS X 10.5.6 ซึ่งอาจทำให้ CFNetwork ไม่บันทึกคุกกี้ลงในดิสก์ หากแอปพลิเคชันที่เปิดอยู่หลายแอปพยายามตั้งค่าคุกกี้ชั่วคราว รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบให้แน่ใจว่าแต่ละแอปพลิเคชันจัดเก็บคุกกี้ชั่วคราวของตนแยกกัน
Certificate Assistant
CVE-ID: CVE-2009-0011
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้ใช้ทั่วไปบนเครื่องอาจจัดการไฟล์ด้วยสิทธิ์ของผู้ใช้รายอื่นที่ใช้ Certificate Assistant
คําอธิบาย: พบการใช้ไฟล์ที่ไม่ปลอดภัยในการจัดการไฟล์ชั่วคราวโดย Certificate Assistant สิ่งนี้อาจทําให้ผู้ใช้ทั่วไปบนเครื่องสามารถเขียนทับไฟล์ด้วยสิทธิ์ของผู้ใช้รายอื่นที่ใช้ Certificate Assistant ได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการไฟล์ชั่วคราวให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Apple
ClamAV
CVE-ID: CVE-2008-5050, CVE-2008-5314
มีให้สําหรับ: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
ผลกระทบ: พบช่องโหว่หลายจุดใน ClamAV 0.94
คําอธิบาย: พบช่องโหว่หลายจุดใน ClamAV 0.94 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.94.2 โดย ClamAV จะแจกจ่ายให้กับระบบเซิร์ฟเวอร์ Mac OS X เท่านั้น ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/
CoreText
CVE-ID: CVE-2009-0012
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การดูเนื้อหา Unicode ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คําอธิบาย: อาจเกิด Heap Buffer Overflow เมื่อประมวลผลสตริง Unicode ใน CoreText การใช้ CoreText เพื่อจัดการกับสตริง Unicode ที่ออกแบบมาเพื่อประสงค์ร้าย เช่น เมื่อดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Rosyna จาก Unsanity ที่รายงานปัญหานี้
CUPS
CVE-ID: CVE-2008-5183
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิด
คําอธิบาย: การสมัครรับข้อมูล RSS ที่เกินจำนวนสูงสุดจะทำให้เกิด Null Pointer Dereference ในอินเทอร์เฟซเว็บของ CUPS สิ่งนี้อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดเมื่อมีการเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้จะเกิดขึ้นเมื่อผู้โจมตีรู้จักข้อมูลประจําตัวของผู้ใช้ที่ถูกต้องหรือข้อมูลดังกล่าวถูกเก็บไว้ในเว็บเบราว์เซอร์ของผู้ใช้ CUPS จะรีสตาร์ทโดยอัตโนมัติหลังจากปัญหานี้เกิดขึ้น รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการจัดการจํานวนการสมัครรับข้อมูล RSS อย่างเหมาะสม ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5
DS Tools
CVE-ID: CVE-2009-0013
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: รหัสผ่านที่ส่งไปยัง dscl ถูกเปิดเผยต่อผู้ใช้เครื่องรายอื่นๆ
คําอธิบาย: เครื่องมือ Dscl command-line กําหนดให้มีการส่งรหัสผ่านไปในอาร์กิวเมนต์ ซึ่งอาจเปิดเผยรหัสผ่านให้กับผู้ใช้เครื่องรายอื่นๆ รหัสผ่านที่เปิดเผยรวมถึงรหัสผ่านสําหรับผู้ใช้และผู้ดูแลระบบ รายการอัปเดตนี้ทำให้พารามิเตอร์รหัสผ่านกลายเป็นตัวเลือกที่ไม่บังคับ และ dscl จะแจ้งให้ป้อนรหัสผ่าน หากจำเป็น ขอขอบคุณ Apple
fetchmail
CVE-ID: CVE-2007-4565, CVE-2008-2711
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: พบช่องโหว่หลายจุดใน fetchmail 6.3.8
คําอธิบาย: พบช่องโหว่หลายจุดใน fetchmail 6.3.8 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนําไปสู่การปฏิเสธการให้บริการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดตเป็นเวอร์ชั่น 6.3.9 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ fetchmail ที่ http://fetchmail.berlios.de/
Folder Manager
CVE-ID: CVE-2009-0014
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้ใช้เครื่องรายอื่นๆ อาจเข้าถึงโฟลเดอร์ดาวน์โหลดได้
คําอธิบาย: พบปัญหาการอนุญาตเริ่มต้นในตัวจัดการโฟลเดอร์ เมื่อผู้ใช้ลบโฟลเดอร์ดาวน์โหลดและตัวจัดการโฟลเดอร์ได้สร้างโฟลเดอร์นั้นขึ้นมาใหม่ โฟลเดอร์ดังกล่าวจะถูกสร้างขึ้นพร้อมสิทธิ์ในการอ่านสําหรับทุกคน รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการจํากัดการอนุญาตของตัวจัดการโฟลเดอร์เพื่อจำกัดการเข้าถึงโฟลเดอร์สำหรับผู้ใช้เท่านั้น ปัญหานี้มีผลกับแอปพลิเคชันที่ใช้ตัวจัดการโฟลเดอร์เท่านั้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Graham Perrin จาก CENTRIM, University of Brighton ที่รายงานปัญหานี้
FSEvents
CVE-ID: CVE-2009-0015
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การใช้เฟรมเวิร์ก FSEvents อาจทำให้ผู้ใช้เครื่องเห็นกิจกรรมระบบไฟล์ที่ไม่สามารถใช้งานได้
คําอธิบาย: พบปัญหาการจัดการข้อมูลประจําตัวใน fseventsd การใช้เฟรมเวิร์ก FSEvents อาจทำให้ผู้ใช้เครื่องเห็นกิจกรรมระบบไฟล์ที่ไม่สามารถใช้งานได้ ซึ่งรวมถึงชื่อของไดเร็กทอรีที่ผู้ใช้จะมองไม่เห็นและการตรวจจับกิจกรรมในไดเร็กทอรีในเวลาที่กําหนด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบข้อมูลประจําตัวที่ได้รับการปรับปรุงใน fseventsd ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Mark Dalrymple ที่รายงานปัญหานี้
Network Time
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การกําหนดค่าบริการ Network Time ได้รับการอัปเดตใหม่
คําอธิบาย: การอัปเดตนี้จะเปลี่ยนการกําหนดค่าเริ่มต้นสําหรับบริการ Network Time เพื่อเป็นมาตรการรักษาความปลอดภัยเชิงรุก ข้อมูลเวลาและเวอร์ชั่นของระบบจะไม่สามารถใช้ในการกําหนดค่าเริ่มต้นของ ntpd ได้อีกต่อไป การกําหนดค่าใหม่ในระบบ Mac OS X v10.4.11 จะมีผลหลังจากรีสตาร์ทระบบเมื่อเปิดใช้งานบริการ Network Time
perl
CVE-ID: CVE-2008-1927
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การใช้นิพจน์ทั่วไปที่มีอักขระ UTF-8 อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับนิพจน์ทั่วไปที่มีอักขระ UTF-8 บางอย่าง การแยกวิเคราะห์นิพจน์ทั่วไปที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบความถูกต้องของนิพจน์ทั่วไปเพิ่มเติม
Printing
CVE-ID: CVE-2009-0017
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้ใช้เครื่องอาจมีสิทธิ์ในระดับระบบ
คําอธิบาย: พบปัญหาการจัดการข้อผิดพลาดใน csregprinter ซึ่งอาจส่งผลให้เกิด Heap Buffer Overflow สิ่งนี้อาจอนุญาตให้ผู้ใช้เครื่องมีสิทธิ์ในระดับระบบได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น ขอขอบคุณ Lars Haulin ที่รายงานปัญหานี้
python
CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: พบช่องโหว่หลายรายการใน Python
คําอธิบาย: พบช่องโหว่หลายรายการใน Python ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการใช้แพตช์จากโปรเจ็กต์ Python
Remote Apple Events
CVE-ID: CVE-2009-0018
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การส่ง Remote Apple Events อาจนําไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน
คําอธิบาย: พบปัญหาบัฟเฟอร์ที่ไม่ได้เริ่มต้นในเซิร์ฟเวอร์ Remote Apple Events ซึ่งอาจนําไปสู่การเปิดเผยเนื้อหาหน่วยความจําไปยังไคลเอนต์เครือข่ายได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการเริ่มต้นหน่วยความจำที่เหมาะสม ขอขอบคุณ Apple
Remote Apple Events
CVE-ID: CVE-2009-0019
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเปิดใช้ Remote Apple Events อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการเปิดเผยข้อมูลที่ละเอียดอ่อน
คําอธิบาย: มีการเข้าถึงหน่วยความจํานอกขอบเขตใน Remote Apple Events การเปิดใช้ Remote Apple Events อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการเปิดเผยข้อมูลที่ละเอียดอ่อนไปยังไคลเอนต์เครือข่าย การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Apple
Safari RSS
CVE-ID: CVE-2009-0137
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเข้าถึง URL "feed:" ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ
คําอธิบาย: พบปัญหาการตรวจสอบอินพุตหลายรายการในการจัดการ URL "feed:" ของ Safari ปัญหานี้ทำให้เกิดการรัน JavaScript โดยพลการในเขตความปลอดภัยบนเครื่อง รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการ JavaScript ที่ฝังอยู่ใน URL "feed:" ขอขอบคุณ Clint Ruoho จาก Laconic Security, Billy Rios จาก Microsoft และ Brian Mastenbrook ที่รายงานปัญหาเหล่านี้
servermgrd
CVE-ID: CVE-2009-0138
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเข้าถึงตัวจัดการเซิร์ฟเวอร์ได้โดยไม่มีข้อมูลประจําตัวที่ถูกต้อง
คําอธิบาย: ปัญหาในการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ของผู้จัดการเซิร์ฟเวอร์อาจทําให้ผู้โจมตีระยะไกลสามารถเปลี่ยนแปลงการกําหนดค่าระบบได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบข้อมูลประจำตัวสำหรับการตรวจสอบสิทธิ์เพิ่มเติม ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Apple
SMB
CVE-ID: CVE-2009-0139
มีให้สําหรับ: Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเชื่อมต่อกับระบบไฟล์ SMB ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการด้วยสิทธิ์ในระดับระบบ
คําอธิบาย: Integer Overflow ในระบบไฟล์ SMB อาจส่งผลให้เกิด Heap Buffer Overflow การเชื่อมต่อกับระบบไฟล์ SMB ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการด้วยสิทธิ์ในระดับระบบ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 ขอขอบคุณ Apple
SMB
CVE-ID: CVE-2009-0140
มีให้งานสําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: การเชื่อมต่อกับเซิร์ฟเวอร์ไฟล์ SMB ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดทำงานโดยไม่คาดคิด
คําอธิบาย: พบปัญหาการใช้หน่วยความจําเกินในการจัดการชื่อไฟล์ของ SMB File System การเชื่อมต่อกับเซิร์ฟเวอร์ไฟล์ SMB ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทําให้ระบบปิดทำงานโดยไม่คาดคิด รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการจํากัดจํานวนหน่วยความจําที่จัดสรรโดยไคลเอ็นต์สําหรับชื่อไฟล์ระบบ ขอขอบคุณ Apple
SquirrelMail
CVE-ID: CVE-2008-2379, CVE-2008-3663
มีให้สำหรับ: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
ผลกระทบ: พบช่องโหว่หลายจุดใน SquirrelMail
คำอธิบาย: SquirrelMail ได้รับการอัปเดตเป็นเวอร์ชั่น 1.4.17 เพื่อแก้ไขช่องโหว่หลายจุด โดยช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการส่งสคริปต์แบบข้ามไซต์ได้ ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ SquirrelMail ที่ http://www.SquirrelMail.org/
X11
CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: พบช่องโหว่หลายจุดในเซิร์ฟเวอร์ X11
คําอธิบาย: พบช่องโหว่หลายจุดในเซิร์ฟเวอร์ X11 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการด้วยสิทธิ์ของผู้ใช้ที่ใช้เซิร์ฟเวอร์ X11 หากผู้โจมตีสามารถรับรองความถูกต้องกับเซิร์ฟเวอร์ X11 ได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการใช้แพตช์ X.Org ที่อัปเดตใหม่ ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ X.Org ที่ http://www.x.org/wiki/Development/Security
X11
CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11
ผลกระทบ: พบช่องโหว่จำนวนมากใน FreeType v2.1.4
คำอธิบาย: พบช่องโหว่จำนวนมากใน FreeType v2.1.4 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการเมื่อประมวลผลข้อมูลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการนำการแก้ไขด้านความปลอดภัยจาก FreeType เวอร์ชั่น 2.3.6 มาใช้ ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ FreeType ที่ http://www.freetype.org/ ปัญหาได้รับการแก้ไขแล้วในระบบที่ใช้ Mac OS X v10.5.6.
X11
CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11
ผลกระทบ: พบช่องโหว่จำนวนมากใน LibX11
คำอธิบาย: พบช่องโหว่จำนวนมากใน LibX11 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการเมื่อเข้าถึงข้อมูลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการใช้แพตช์ X.Org ที่อัปเดตใหม่ ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ X.Org ที่ http://www.x.org/wiki/Development/Security ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบที่ใช้ Mac OS X v10.5 หรือใหม่กว่า
XTerm
CVE-ID: CVE-2009-0141
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
ผลกระทบ: ผู้ใช้เครื่องอาจส่งข้อมูลไปยัง Xterm ของผู้ใช้รายอื่นโดยตรง
คําอธิบาย: พบปัญหาการอนุญาตใน Xterm เมื่อใช้กับ luit Xterm จะสร้างอุปกรณ์ tty ที่ทุกคนสามารถเข้าถึงได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยให้ Xterm จํากัดสิทธิ์เพื่อให้อุปกรณ์ tty สามารถเข้าถึงได้โดยผู้ใช้เท่านั้น
สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม