เกี่ยวกับรายการอัปเดตความปลอดภัย 2010-001

เอกสารนี้อธิบายรายการการอัปเดตความปลอดภัย 2010-001 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจาก รายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตความปลอดภัย 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    มีให้สำหรับ: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การเล่นไฟล์เสียง MP4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Overflow ในการจัดการกับไฟล์เสียง mp4 ด้วยเหตุนี้การเล่นไฟล์เสียง mp4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอบคุณ Tobias Klein จาก trapkit.de ที่รายงานปัญหานี้

  • CUPS

    CVE-ID: CVE-2009-3553

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถทำให้แอปพลิเคชันของ cupsd หยุดทำงานโดยไม่คาดคิด

    คำอธิบาย: พบปัญหา use-after-free ใน cupsd ผู้โจมตีอาจทำให้เกิดการปฏิเสธการให้บริการจากระยะไกลด้วยคำขอ get-printer-jobs ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้สามารถบรรเทาลงได้ด้วยการรีสตาร์ท cupsd โดยอัตโนมัติหลังจากสิ้นสุดการทำงาน ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามการใช้การเชื่อมต่อให้ดียิ่งขึ้น

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    ผลกระทบ: พบช่องโหว่หลายจุดในปลั๊กอิน Adobe Flash Player

    คําอธิบาย: พบปัญหาหลายจุดในปลั๊กอิน Adobe Flash Player ซึ่งปัญหาที่ร้ายแรงที่สุดที่อาจทำให้เกิดการรันโค้ดโดยพลการเมื่อเปิดดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหาดังกล่าวได้รับการแก้ไขโดยการอัปเดตปลั๊กอิน Flash Player เป็นเวอร์ชัน 10.0.42 ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ Adobe ที่ {http://www.adobe.com/support/security/bulletins/apsb09-19.html ขอขอบคุณนักวิจัยนิรนามและ Damian Put ที่ทํางานร่วมกับ TippingPoints Zero Day Initiative, Bing Liu จากทีมวิจัย FortiGuard Global Security ของ Fortinet, Will Dormann จาก CERT, Manuel Caballero และ Microsoft Vulnerability Research (MSVR)

  • ImageIO

    CVE-ID: CVE-2009-2285

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Underflow เมื่อ ImageIO จัดการภาพ TIFF ด้วยเหตุนี้การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วใน Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    ผลกระทบ: การดูภาพ DNG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Overflow เมื่อ RAW จัดการกับภาพ DNG การดูภาพ DNG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Jason Carr จาก Carnegie Mellon University Computing Services ที่รายงานปัญหานี้

  • OpenSSL

    CVE-ID: CVE-2009-3555

    มีให้สําหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    ผลกระทบ: ผู้โจมตีที่มีตําแหน่งเครือข่ายที่มีสิทธิพิเศษอาจเก็บข้อมูลหรือเปลี่ยนการดําเนินการในเซสชันที่ป้องกันโดย SSL

    คําอธิบาย: พบช่องโหว่สำหรับการโจมตีแบบ Man-in-the-Middle ในโปรโตคอล SSL และ TLS ดูข้อมูลเพิ่มเติมได้ที่ http://www.phonefactor.com/sslgap กำลังมีการเปลี่ยนแปลงโปรโตคอล Renegotiation ใน IETF การอัปเดตนี้จะปิดใช้งาน Renegotiation ใน OpenSSL เพื่อเป็นมาตรการป้องกันความปลอดภัย ปัญหานี้ไม่ส่งผลกระทบต่อบริการที่ใช้ Secure Transport เนื่องจากไม่รองรับ Renegotiation ขอขอบคุณ Steve Dispensa และ Marsh Ray จาก PhoneFactor, Inc. ที่รายงานปัญหานี้

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: