บทความนี้ถูกเก็บถาวรและไม่ได้รับการอัพเดทจาก Apple อีกต่อไป

เกี่ยวกับรายการอัปเดตความปลอดภัย 2010-005

เอกสารนี้อธิบายเกี่ยวกับรายการอัปเดตความปลอดภัย 2010-005

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

รายการอัปเดตความปลอดภัย 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีฟอนต์แบบฝังที่ออกแบบมาเพื่อประสงค์ร้ายอาจนําไปสู่การรันโค้ดโดยพลการ

    คําอธิบาย: พบบัฟเฟอร์ล้นทับกันในการจัดการฟอนต์แบบฝังโดย Apple Type Services การดูหรือดาวน์โหลดเอกสารที่มีฟอนต์แบบฝังที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

  • CFNetwork

    CVE-ID: CVE-2010-1800

    มีให้สำหรับ: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูลประจำตัวของผู้ใช้หรือข้อมูลละเอียดอ่อนอื่นๆ

    คำอธิบาย: CFNetwork อนุญาตให้มีการเชื่อมต่อ TLS/SSL แบบไม่ระบุชื่อ ซึ่งอาจทำให้ผู้โจมตีที่เป็นคนกลางรีไดเร็กการเชื่อมต่อและดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ ได้ ปัญหานี้ไม่ส่งผลกระทบต่อแอปพลิเคชันเมล ปัญหานี้ได้รับการแก้ไขโดยการปิดการใช้งานการเชื่อมต่อ TLS/SSL แบบไม่ระบุชื่อ ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6.3 ขอขอบคุณ Aaron Sigel จาก vtty.com, Jean-Luc Giraud จาก Citrix, Tomas Bjurman จาก Sirius IT และ Wan-Teh Chang จาก Google, Inc. ที่รายงานปัญหานี้

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    มีให้สำหรับ: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    ผลกระทบ: พบช่องโหว่หลายจุดใน ClamAV

    คําอธิบาย: พบช่องโหว่หลายจุดใน ClamAV ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.96.1 โดย ClamAV จะแจกจ่ายให้กับระบบ Mac OS X Server เท่านั้น ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบบัฟเฟอร์ล้นแบบพอกพูนเมื่อจัดการกับไฟล์เสียง การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ขอขอบคุณ Rodrigo Rubira Branco จาก Check Point Vulnerability Discovery Team (VDT) ที่รายงานปัญหานี้

  • libsecurity

    CVE-ID: CVE-2010-1802

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิพิเศษที่สามารถเรียกดูชื่อโดเมนที่ต่างจากโดเมนที่ถูกต้องเฉพาะอักขระสุดท้ายอาจสามารถแอบอ้างเป็นโฮสต์ในโดเมนนั้นได้

    คำอธิบาย: มีปัญหาเมื่อจัดการกับใบรับรองชื่อโฮสต์ สำหรับชื่อโฮสต์ที่มีสามคอมโพเนนต์ขึ้นไป ระบบจะไม่ได้เปรียบเทียบอักขระชุดสุดท้ายอย่างถูกต้อง ในกรณีที่ชื่อประกอบด้วยสามคอมโพเนนต์ ระบบจะไม่ตรวจสอบเฉพาะอักขระสุดท้าย ตัวอย่างเช่น หากผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิพิเศษสามารถเรียกดูใบรับรองสำหรับ www.example.con ผู้โจมตีก็สามารถแอบอ้างเป็น www.example.com ได้ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการกับใบรับรองชื่อโฮสต์ให้ดียิ่งขึ้น ขอขอบคุณ Peter Speck ที่รายงานปัญหานี้

  • PHP

    CVE-ID: CVE-2010-1205

    มีให้สำหรับ: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: การโหลดภาพ PNG ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้หยุดแอปพลิเคชันโดยไม่คาดคิดหรือการรันโค้ดโดยพลการ

    คำอธิบาย: พบบัฟเฟอร์ล้นในคลัง libpng ของ PHP การโหลดภาพ PNG ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้หยุดแอปพลิเคชันโดยไม่คาดคิดหรือการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการอัปเดต libpng ภายใน PHP เป็นเวอร์ชัน 1.4.3 แต่ปัญหานี้ไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    มีให้สำหรับ: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.3.1

    คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.3.2 เพื่อแก้ไขช่องโหว่หลายจุด โดยช่องโหว่ที่ร้ายแรงที่สุดนั้นอาจทำให้เกิดการรันโค้ดโดยพลการได้ ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ PHP ที่ http://www.php.net

  • Samba

    CVE-ID: CVE-2010-2063

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    ผลกระทบ: ผู้โจมตีระยะไกลที่ไม่ผ่านการรับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการให้บริการหรือการรันโค้ดโดยพลการ

    คำอธิบาย: พบบัฟเฟอร์ล้นใน Samba ผู้โจมตีระยะไกลที่ไม่ผ่านการรับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการให้บริการหรือการรันโค้ดโดยพลการโดยการส่งแพ็คเกตที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบความถูกต้องของแพ็กเกตใน Samba เพิ่มเติม

สำคัญ: การอ้างอิงเว็บไซต์และผลิตภัณฑ์ของบริษัทอื่นมีจุดประสงค์เพื่อให้ข้อมูลเท่านั้น และไม่ได้เป็นการรับรองหรือแนะนำแต่อย่างใด Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของผู้ให้บริการรายอื่น Apple ให้ข้อมูลนี้เพื่อความสะดวกของลูกค้าเท่านั้น Apple ไม่ได้ตรวจสอบข้อมูลที่พบบนเว็บไซต์เหล่านี้ และไม่ได้รับรองความถูกต้องและความเชื่อถือได้ของข้อมูลดังกล่าว การใช้ข้อมูลหรือผลิตภัณฑ์ใดๆ ก็ตามบนอินเทอร์เน็ตมีความเสี่ยง และ Apple ไม่มีส่วนรับผิดชอบในเรื่องนี้ โปรดเข้าใจว่าเว็บไซต์ของบุคคลที่สามดำเนินการอย่างเป็นอิสระจาก Apple และ Apple ไม่ได้ควบคุมเนื้อหาบนเว็บไซต์ดังกล่าว โปรดติดต่อผู้จำหน่ายเพื่อสอบถามข้อมูลเพิ่มเติม

วันที่เผยแพร่: