เกี่ยวกับรายการอัปเดตความปลอดภัย 2009-005
เอกสารนี้อธิบายรายการอัปเดตความปลอดภัย 2009-005
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"
รายการอัปเดตความปลอดภัย 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเปิดไฟล์นามแฝงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบ Buffer Overflow ในการจัดการกับไฟล์นามแฝง การเปิดไฟล์นามแฝงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple
CarbonCore
CVE-ID: CVE-2009-2803
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายในการจัดการส่วนทรัพยากรโดย Resource Manager ผลกระทบ: การเปิดไฟล์ที่มีส่วนทรัพยากรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบส่วนทรัพยากรให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
มีให้สําหรับ: Mac OS X Server v10.5.8
ผลกระทบ: พบช่องโหว่หลายจุดใน ClamAV 0.94.2
คําอธิบาย: พบช่องโหว่หลายจุดใน ClamAV 0.94.2 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.95.2 โดย ClamAV จะแจกจ่ายให้กับระบบเซิร์ฟเวอร์ Mac OS X เท่านั้น ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/ ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6
ColorSync
CVE-ID: CVE-2009-2804
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การดูภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: Integer Overflow ในการจัดการกับภาพซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจส่งผลให้เกิด Heap Buffer Overflow ได้ การเปิดภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync แบบฝังอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบโปรไฟล์ ColorSync เพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple
CoreGraphics
CVE-ID: CVE-2008-2322
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: Integer Overflow ในการจัดการกับไฟล์ PDF โดย CoreGraphics อาจส่งผลให้เกิด Heap Buffer Overflow ได้ การเปิดไฟล์ PDF ที่มีสตรีม JBIG2 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Will Dormann จาก CERT/CC ที่รายงานปัญหานี้ ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6
CoreGraphics
CVE-ID: CVE-2009-2468
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบ Heap Buffer Overflow ในการดึงสตริงข้อความที่มีขนาดยาว ด้วยเหตุนี้การเยี่ยมชมเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Will Drewry จาก Google Inc. ที่รายงานปัญหานี้
CUPS
CVE-ID: CVE-2009-0949
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถปฏิเสธการเข้าถึงบริการแชร์เครื่องพิมพ์ได้
คําอธิบาย: พบ Null Pointer Dereference ใน CUPS ผู้โจมตีระยะไกลอาจสามารถปฏิเสธการเข้าถึงบริการแชร์เครื่องพิมพ์ได้ด้วยการส่งคําขอตัวกําหนดเวลาที่ออกแบบมาเพื่อประสงค์ร้ายซ้ำไปเรื่อยๆ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบตัวกําหนดเวลาให้ดียิ่งขึ้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Anibal Sacco จาก CORE IMPACT Exploit Writing Team (EWT) ที่ Core Security Technologies ที่รายงานปัญหานี้
CUPS
CVE-ID: CVE-2009-2807
มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: ผู้ใช้เครื่องที่ไม่มีสิทธิ์ใดๆ อาจได้รับสิทธิ์ในระดับระบบ
คําอธิบาย: พบ Heap Buffer Overflow ในแบ็คเอนด์ CUPS USB สิ่งนี้อาจอนุญาตให้ผู้ใช้เครื่องมีสิทธิ์ในระดับระบบได้ การอัปเดตนี้ช่วยแก้ไขปัญหาดังกล่าวโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6
Flash Player Plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
มีให้สําหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: พบช่องโหว่หลายจุดในปลั๊กอิน Adobe Flash Player
คําอธิบาย: พบปัญหาหลายจุดในปลั๊กอิน Adobe Flash Player ซึ่งปัญหาที่ร้ายแรงที่สุดที่อาจทำให้เกิดการรันโค้ดโดยพลการเมื่อเปิดดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้ได้รับการแก้ไขโดยการอัปเดตปลั๊กอิน Flash Player บนระบบ Mac OS v10.5.8 เป็นเวอร์ชั่น 10.0.32.18 และเป็นเวอร์ชั่น 9.0.246.0 บนระบบ Mac OS X v10.4.11 สําหรับระบบ Mac OS X v10.6 ปัญหาเหล่านี้ได้รับการแก้ไขใน Mac OS X v10.6.1 แล้ว ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Adobe ที่ http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การดูภาพ TIFF ที่เข้ารหัสโดย PixarFilm ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายหลายจุดเมื่อ ImageIO จัดการภาพ TIFF ที่เข้ารหัสโดย PixarFilm การดูภาพ TIFF ที่เข้ารหัสโดย PixarFilm ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตรวจสอบภาพ TIFF ที่เข้ารหัสโดย PixarFilm เพิ่มเติม แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple
Launch Services
CVE-ID: CVE-2009-2811
มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: อาจไม่มีการแสดงคําเตือนเมื่อพยายามเปิดเนื้อหาดาวน์โหลดที่ไม่ปลอดภัย
คําอธิบาย: การอัปเดตนี้จะเพิ่ม '.fileloc' ลงในรายการประเภทเนื้อหาของระบบที่จะถูกตั้งค่าสถานะว่าอาจไม่ปลอดภัยภายใต้สถานการณ์บางอย่าง เช่น เมื่อดาวน์โหลดจากอีเมล แม้ว่าเนื้อหาประเภทเหล่านี้จะไม่ได้เปิดขึ้นโดยอัตโนมัติ แต่เมื่อถูกเปิดขึ้นมาอาจมีการใช้เพย์โหลดที่เป็นอันตรายได้ รายการอัปเดตนี้ช่วยปรับปรุงความสามารถของระบบในการแจ้งให้ผู้ใช้ทราบก่อนจัดการไฟล์ '.fileloc' แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ขอขอบคุณ Apple
Launch Services
CVE-ID: CVE-2009-2812
มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทำให้เกิดการรันโค้ดโดยพลการ
คําอธิบาย: เมื่อดาวน์โหลดแอปพลิเคชัน Launch Services จะวิเคราะห์ประเภทเอกสารที่ส่งออก ปัญหาการออกแบบในการจัดการประเภทเอกสารที่ส่งออกอาจทําให้ Launch Services เชื่อมโยงนามสกุลไฟล์ที่ปลอดภัยกับ Uniform Type Identifier (UTI) ที่ไม่ปลอดภัย การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจทําให้ประเภทไฟล์ที่ไม่ปลอดภัยเปิดขึ้นโดยอัตโนมัติ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการประเภทเอกสารที่ส่งออกจากแอปพลิเคชันที่ไม่น่าเชื่อถือให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ Apple
MySQL
CVE-ID: CVE-2008-2079
มีให้สําหรับ: Mac OS X Server v10.5.8
ผลกระทบ: MySQL ได้รับการอัปเดตเป็นเวอร์ชั่น 5.0.82
คําอธิบาย: MySQL ได้รับการอัปเดตเป็นเวอร์ชั่น 5.0.82 เพื่อแก้ไขปัญหาการใช้งานที่อนุญาตให้ผู้ใช้เครื่องได้รับสิทธิ์ในระดับที่สูงขึ้น ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ MySQL ที่ http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
มีให้สำหรับ: Mac OS X v10.5, Mac OS X Server v10.5.8
ผลกระทบ: พบช่องโหว่หลายจุดใน PHP 5.2.8
คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.2.10 เพื่อแก้ไขช่องโหว่หลายจุด ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ดูข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ PHP ที่ http://www.php.net/ ปัญหาเหล่านี้ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.6
SMB
CVE-ID: CVE-2009-2813
มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การเปิดใช้งานการแชร์ไฟล์ Windows อาจทำให้เกิดการแชร์โฟลเดอร์โดยไม่คาดคิด
คําอธิบาย: พบเงื่อนไขข้อผิดพลาดที่ไม่ได้ตรวจสอบใน Samba ผู้ใช้ที่ไม่มีโฮมไดเร็กทอรีที่กําหนดค่าไว้และเชื่อมต่อกับบริการแชร์ไฟล์ Windows จะสามารถเข้าถึงเนื้อหาของระบบไฟล์ภายใต้สิทธิ์ของระบบไฟล์ในเครื่องได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการปรับปรุงการจัดการข้อผิดพลาดในการแก้ไขเส้นทางให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ J. David Hester จาก LCG Systems National Institutes of Health ที่รายงานปัญหานี้
Wiki Server
CVE-ID: CVE-2009-2814
มีให้สําหรับ: Mac OS X Server v10.5.8
ผลกระทบ: ผู้โจมตีระยะไกลอาจเข้าถึงบัญชีผู้ใช้ Wiki Server ได้
คําอธิบาย: พบปัญหาการส่งสคริปต์ข้ามไซต์ในการจัดการคําขอค้นหาของเซิร์ฟเวอร์ Wiki ที่มีข้อมูลเข้ารหัสที่ไม่ใช่ UTF-8 สิ่งนี้อาจทําให้ผู้โจมตีระยะไกลสามารถเข้าถึงเซิร์ฟเวอร์ Wiki ด้วยข้อมูลประจําตัวของผู้ใช้เซิร์ฟเวอร์ Wiki ที่ทําการค้นหาได้ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการตั้งค่า UTF-8 เป็นอักขระเริ่มต้นที่ตั้งไว้ในการตอบสนอง HTTP ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.5 หรือ Mac OS X v10.6 ขอขอบคุณ Apple
สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม