Mac OS X 10.4.7 Güncellemesi'nin güvenlik içeriği hakkında

Bu belgede, Yazılım Güncelleme kullanılarak veya Apple İndirilenler'den indirilip yüklenebilen Mac OS X 10.4.7 Güncellemesi'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesini ziyaret edin.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Mac OS X v10.4.7 Güncellemesi

  • AFP

    CVE-ID: CVE-2006-1468

    İlgili ürünler: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Etki: Dosya ve klasör adları yetkisiz kullanıcılara ifşa edilebilir

    Açıklama: AFP sunucusundaki bir sorun, arama sonuçlarında, aramayı yapan kullanıcının erişimi olmayan dosya ve klasör adlarının yer almasına olanak tanır. Bu sorun, adların hassas bilgiler olması halinde bilgilerin ifşa edilmesine yol açabilir. Bu güncelleme, arama sonuçlarının yalnızca kullanıcının yetkisi olan öğeleri içermesini sağlayarak sorunu giderir. Mac OS X 10.4 sürümü öncesindeki sistemler bu sorundan etkilenmez.

  • ClamAV

    CVE-ID: CVE-2006-1989

    İlgili ürün: Mac OS X Server v10.4.6

    Etki: Virüs taraması otomatik olarak güncellenecek şekilde yapılandırıldığında kötü amaçlı bir veritabanı yansıtması rastgele kod yürütülmesine neden olabilir

    Açıklama: ClamAV'nin otomatik virüs veritabanı güncellemesindeki bir sorun, yığın tabanlı arabellek taşmasıyla sonuçlanabilir. Kötü amaçlı veya sahte bir ClamAV veritabanı yansıtması, ClamAV ayrıcalıklarıyla rastgele kod yürütülmesine yol açabilir. Mail servisi, virüs taraması ve otomatik virüs veritabanı güncellemeleri saptanmış olarak kapalıdır. Bu güncelleme, ClamAV 0.88.2 sürümünü içererek sorunu giderir. Mac OS X v10.4 öncesi sistemler bu sorundan etkilenmez.

  • ImageIO

    CVE-ID: CVE-2006-1469

    İlgili ürünler: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Etki: Kötü amaçlarla oluşturulan bir TIFF görüntüsünün görüntülenmesi uygulamanın çökmesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Bir saldırgan, dikkatli bir şekilde bozuk bir TIFF görüntüsü oluşturarak yığın tabanlı arabellek taşması tetikleyebilir. Bu da, uygulamanın çökmesiyle veya rastgele kod yürütülmesiyle sonuçlanabilir. Bu güncelleme, TIFF görüntüleri için ek doğrulama gerçekleştirerek sorunu giderir. Mac OS X 10.4 sürümü öncesindeki sistemler bu sorundan etkilenmez.

  • launchd

    CVE-ID: CVE-2006-1471

    İlgili ürünler: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Etki: Yerel kullanıcılar yükseltilmiş ayrıcalıklar elde edebilir

    Açıklama: setuid program launchd öğesindeki bir biçim dizesi güvenlik açığı, kimliği doğrulanmış bir yerel kullanıcının, sistem ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyabilir. Bu sorun launchd'nin kayda geçirme özelliğinde bulunur. Bu güncelleme, iletileri kayda geçirirken ek doğrulama gerçekleştirerek sorunu giderir. Mac OS X v10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için DigitalMunition şirketinden Kevin Finisterre'ye teşekkür ederiz.

  • OpenLDAP

    CVE-ID: CVE-2006-1470

    İlgili ürünler: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Etki: Uzaktaki saldırganlar Open Directory sunucusunun çökmesine neden olabilir

    Açıklama: Uzaktaki bir saldırgan, dikkatli bir şekilde geçersiz bir LDAP isteği oluşturarak OpenLDAP sunucusunda bir bildiri tetikleyebilir, bu da servis reddi ile sonuçlanabilir. Bu güncelleme, geçersiz isteği çıkararak sorunu giderir. Mac OS X v10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için Mu Security araştırma ekibine teşekkür ederiz.

Yayın Tarihi: