บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

เกี่ยวกับรายการอัปเดตความปลอดภัย 2009-005

เอกสารนี้อธิบายรายการอัปเดตความปลอดภัย 2009-005

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตความปลอดภัย 2009-005

  • Alias Manager

    CVE-ID: CVE-2009-2800

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเปิดไฟล์นามแฝงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Overflow ในการจัดการกับไฟล์นามแฝง การเปิดไฟล์นามแฝงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple

  • CarbonCore

    CVE-ID: CVE-2009-2803

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายในการจัดการส่วนทรัพยากรโดย Resource Manager ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบส่วนทรัพยากรให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple

  • ClamAV

    CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372

    มีให้สําหรับ: Mac OS X Server v10.5.8

    ผลกระทบ: พบช่องโหว่หลายจุดใน ClamAV 0.94.2

    คําอธิบาย: พบช่องโหว่หลายจุดใน ClamAV 0.94.2 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.95.2 โดย ClamAV จะแจกจ่ายให้กับระบบเซิร์ฟเวอร์ Mac OS X เท่านั้น ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/ ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6

  • ColorSync

    CVE-ID: CVE-2009-2804

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การดูภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: Integer Overflow ในการจัดการกับภาพซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจส่งผลให้เกิด Heap Buffer Overflow ได้ การเปิดภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบโปรไฟล์ ColorSync เพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: Integer Overflow ในการจัดการกับไฟล์ PDF โดย CoreGraphics อาจส่งผลให้เกิด Heap Buffer Overflow ได้ การเปิดไฟล์ PDF ที่มีสตรีม JBIG2 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Will Dormann จาก CERT/CC ที่รายงานปัญหานี้ ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Heap Buffer Overflow ในการดึงสตริงข้อความที่มีขนาดยาว ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Will Drewry จาก Google Inc. ที่รายงานปัญหานี้

  • CUPS

    CVE-ID: CVE-2009-0949

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถปฏิเสธการเข้าถึงบริการแชร์เครื่องพิมพ์ได้

    คําอธิบาย: พบ Null Pointer Dereference ใน CUPS ผู้โจมตีระยะไกลอาจสามารถปฏิเสธการเข้าถึงบริการแชร์เครื่องพิมพ์ได้ด้วยการส่งคําขอตัวกําหนดเวลาที่ออกแบบมาเพื่อประสงค์ร้ายซ้ำไปเรื่อยๆ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบตัวกําหนดเวลาให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Anibal Sacco จาก CORE IMPACT Exploit Writing Team (EWT) ที่ Core Security Technologies ที่รายงานปัญหานี้

  • CUPS

    CVE-ID: CVE-2009-2807

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: ผู้ใช้เครื่องที่ไม่มีสิทธิ์ใดๆ อาจได้รับสิทธิ์ในระดับระบบ

    คําอธิบาย: พบ Heap Buffer Overflow ในแบ็คเอนด์ CUPS USB สิ่งนี้อาจอนุญาตให้ผู้ใช้เครื่องมีสิทธิ์ในระดับระบบได้ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6

  • Flash Player Plug-in

    CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870

    มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: พบช่องโหว่หลายจุดในปลั๊กอิน Adobe Flash Player

    คําอธิบาย: พบปัญหาหลายจุดในปลั๊กอิน Adobe Flash Player ซึ่งปัญหาที่ร้ายแรงที่สุดที่อาจทำให้เกิดการรันโค้ดโดยพลการเมื่อเปิดดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้ได้รับการแก้ไขโดยการอัปเดตปลั๊กอิน Flash Player บนระบบ Mac OS v10.5.8 เป็นเวอร์ชั่น 10.0.32.18 และเป็นเวอร์ชั่น 9.0.246.0 บนระบบ Mac OS X v10.4.11 สําหรับระบบ Mac OS X v10.6 ปัญหาเหล่านี้ได้รับการแก้ไขใน Mac OS X v10.6.1 แล้ว ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Adobe ที่ http://www.adobe.com/support/security/bulletins/apsb09-10.html

  • ImageIO

    CVE-ID: CVE-2009-2809

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การดูภาพ TIFF ที่เข้ารหัสโดย PixarFilm ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายหลายจุดเมื่อ ImageIO จัดการภาพ TIFF ที่เข้ารหัสโดย PixarFilm การดูภาพ TIFF ที่เข้ารหัสโดย PixarFilm ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบภาพ TIFF ที่เข้ารหัสโดย PixarFilm เพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple

  • Launch Services

    CVE-ID: CVE-2009-2811

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: อาจไม่มีการแสดงคําเตือนเมื่อพยายามเปิดเนื้อหาดาวน์โหลดที่ไม่ปลอดภัย

    คําอธิบาย: การอัปเดตนี้จะเพิ่ม '.fileloc' ลงในรายการประเภทเนื้อหาของระบบที่จะถูกตั้งค่าสถานะว่าอาจไม่ปลอดภัยภายใต้สถานการณ์บางอย่าง เช่น เมื่อดาวน์โหลดจากอีเมล แม้ว่าเนื้อหาประเภทเหล่านี้จะไม่ได้เปิดขึ้นโดยอัตโนมัติ แต่เมื่อถูกเปิดขึ้นมาอาจมีการใช้เพย์โหลดที่เป็นอันตรายได้ รายการอัปเดตนี้ช่วยปรับปรุงความสามารถของระบบในการแจ้งให้ผู้ใช้ทราบก่อนจัดการไฟล์ '.fileloc' แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple

  • Launch Services

    CVE-ID: CVE-2009-2812

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการรันโค้ดโดยพลการ

    คําอธิบาย: เมื่อดาวน์โหลดแอปพลิเคชัน Launch Services จะวิเคราะห์ประเภทเอกสารที่ส่งออก ปัญหาการออกแบบในการจัดการประเภทเอกสารที่ส่งออกอาจทําให้ Launch Services เชื่อมโยงนามสกุลไฟล์ที่ปลอดภัยกับ Uniform Type Identifier (UTI) ที่ไม่ปลอดภัย การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทําให้ประเภทไฟล์ที่ไม่ปลอดภัยเปิดขึ้นโดยอัตโนมัติ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการประเภทเอกสารที่ส่งออกจากแอปพลิเคชันที่ไม่น่าเชื่อถือให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ Apple

  • MySQL

    CVE-ID: CVE-2008-2079

    มีให้สําหรับ: Mac OS X Server v10.5.8

    ผลกระทบ: MySQL ได้รับการอัปเดตเป็นเวอร์ชั่น 5.0.82

    คําอธิบาย: MySQL ได้รับการอัปเดตเป็นเวอร์ชั่น 5.0.82 เพื่อแก้ไขปัญหาการใช้งานที่อนุญาตให้ผู้ใช้เครื่องได้รับสิทธิ์ในระดับที่สูงขึ้น ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ MySQL ที่ http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html

  • PHP

    CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498

    มีให้สำหรับ: Mac OS X v10.5, Mac OS X Server v10.5.8

    ผลกระทบ: พบช่องโหว่หลายจุดใน PHP 5.2.8

    คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.2.10 เพื่อแก้ไขช่องโหว่หลายจุด ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ PHP ที่ http://www.php.net/ ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6

  • SMB

    CVE-ID: CVE-2009-2813

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเปิดใช้งานการแชร์ไฟล์ Windows อาจทำให้เกิดการแชร์โฟลเดอร์โดยไม่คาดคิด

    คําอธิบาย: พบเงื่อนไขข้อผิดพลาดที่ไม่ได้ตรวจสอบใน Samba ผู้ใช้ที่ไม่มีโฮมไดเร็กทอรีที่กําหนดค่าไว้และเชื่อมต่อกับบริการแชร์ไฟล์ Windows จะสามารถเข้าถึงเนื้อหาของระบบไฟล์ภายใต้สิทธิ์ของระบบไฟล์ในเครื่องได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อผิดพลาดในการแก้ไขเส้นทางให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ J. David Hester จาก LCG Systems National Institutes of Health ที่รายงานปัญหานี้

  • Wiki Server

    CVE-ID: CVE-2009-2814

    มีให้สําหรับ: Mac OS X Server v10.5.8

    ผลกระทบ: ผู้โจมตีระยะไกลอาจเข้าถึงบัญชีผู้ใช้ Wiki Server ได้

    คําอธิบาย: พบปัญหาการส่งสคริปต์ข้ามไซต์ในการจัดการคําขอค้นหาของเซิร์ฟเวอร์ Wiki ที่มีข้อมูลเข้ารหัสที่ไม่ใช่ UTF-8 สิ่งนี้อาจทําให้ผู้โจมตีระยะไกลสามารถเข้าถึงเซิร์ฟเวอร์ Wiki ด้วยข้อมูลประจําตัวของผู้ใช้เซิร์ฟเวอร์ Wiki ที่ทําการค้นหาได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตั้งค่า UTF-8 เป็นอักขระเริ่มต้นที่ตั้งไว้ในการตอบสนอง HTTP ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ Apple

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: