Mac OS X 10.4.8 Güncellemesi ve Güvenlik Güncellemesi 2006-006'nın güvenlik içeriği hakkında

Bu belgede, Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler sayfasından indirilip yüklenebilen Mac OS X 10.4.8 ve Güvenlik Güncellemesi 2006-006'nın güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Mac OS X 10.4.8 ve Güvenlik Güncellemesi 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Safari gibi CFNetwork istemcileri, kimliği doğrulanmamış SSL sitelerinin kimliği doğrulanmış gibi görünmesine izin verebilir

    Açıklama: SSL kullanılarak oluşturulan bağlantıların kimliği normal şekilde doğrulanıyor ve şifreleniyor. Şifreleme, kimlik doğrulama olmadan uygulandığında, kötü amaçlı siteler güvenilir siteler gibi görünebilir. Safari için bu, uzak bir sitenin kimliği güvenilir olmadığında da kilit simgesinin görüntülenmesine yol açabilir. Bu güncelleme, saptanmış ayar olarak anonim SSL bağlantılarına izin vermeyerek bu sorunu giderir. Bu sorunu bildirdiği için Queensland University of Technology'den Adam Bryzak'a teşekkür ederiz.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Flash içeriklerinin oynatılması rastgele kod yürütülmesine neden olabilir

    Açıklama: Adobe Flash Player, kötü amaçlarla oluşturulmuş bir içeriği işlerken rastgele kod yürütülmesine yol açabilecek kritik güvenlik açıkları içeriyor. Bu güncelleme, Mac OS X v10.3.9 yüklü sistemlerde Flash Player sürüm 9.0.16.0 ve Mac OS X v10.4 yüklü sistemlerde Flash Player sürüm 9.0.20.0'ın dahil edilmesiyle sorunları giderir.

    Daha fazla bilgiye, http://www.adobe.com/support/security/bulletins/apsb06-11.html adresindeki Adobe web sitesinden ulaşılabilir.

  • ImageIO

    CVE-ID: CVE-2006-4391

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Kötü amaçlarla oluşturulmuş bir JPEG2000 dosyasını görüntülemek uygulamanın çökmesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Bir saldırgan, dikkatlice bozuk bir JPEG2000 görüntüsü oluşturarak arabellek taşmasını tetikleyebilir ve bu da uygulamanın çökmesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, JPEG2000 görüntüleri için ek doğrulama gerçekleştirerek bu sorunu giderir. Mac OS X 10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için Idle Loop Software Design'dan Tom Saxton'a teşekkür ederiz.

  • Kernel

    CVE-ID: CVE-2006-4392

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Yerel kullanıcılar, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

    Açıklama: Çekirdekteki Mach istisna bağlantı noktaları olarak adlandırılan bir hata işleme mekanizması, belirli türde hatalarla karşılaşıldığında programları kontrol etme olanağı sağlar. Kötü niyetli yerel kullanıcılar, bir hatayla karşılaşıldığında ayrıcalıklı programlarda rastgele kod yürütmek için bu mekanizmayı kullanabilir. Bu güncelleme, ayrıcalıklı programların Mach istisna bağlantı noktalarına erişimini kısıtlayarak sorunu giderir. Bu sorunu bildirdiği için Matasano Security'den Dino Dai Zovi'ye teşekkür ederiz.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Bir ağ hesabında başarısız bir oturum açma girişiminin ardından diğer yerel kullanıcılar Kerberos biletlerine erişebilir

    Açıklama: Kontrol edilmeyen bir hata durumu nedeniyle, oturum açma penceresi aracılığıyla bir ağ hesabında başarısız bir oturum açma girişiminde bulunulduktan sonra Kerberos biletleri uygun bir şekilde imha edilmeyebilir. Bu durum, diğer yerel kullanıcıların önceki kullanıcının Kerberos biletlerine yetkisiz erişim elde etmesine neden olabilir. Bu güncelleme, başarısız oturum açma işlemlerinden sonra kimlik bilgileri önbelleğini temizleyerek bu sorunu giderir. Mac OS X v10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için Digital Peaks Corporation'dan Patrick Gallagher'a teşekkür ederiz.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Kullanıcılar Arası Hızlı Geçiş etkinleştirildiğinde diğer yerel kullanıcılar Kerberos biletlerine erişebilir

    Açıklama: Kullanıcılar Arası Hızlı Geçiş'in işlenmesindeki bir hata, yerel bir kullanıcının, diğer yerel kullanıcıların Kerberos biletlerine erişmesine izin verebilir. Bu durumun önlenmesi için Kullanıcılar Arası Hızlı Geçiş güncellendi. Mac OS X v10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için İsviçre, Stockholm'deki Royal Institute of Technology'den Ragnar Sundblad'a teşekkür ederiz.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Ağ hesapları, loginwindow servisi erişim denetimini atlayabilir

    Açıklama: Servis erişimi kontrolleri, bir sistemde hangi kullanıcıların oturum açma penceresi aracılığıyla oturum açmasına izin verileceğini kısıtlamak için kullanılabilir. Oturum açma penceresindeki bir mantık hatası, GUID'leri olmayan ağ hesaplarının servis erişimi denetimilerini atlamasına izin verir. Bu sorun yalnızca oturum açma penceresi için servis erişimi denetimlerini kullanacak ve ağ hesaplarının GUID olmadan kullanıcıların kimliğini doğrulamasına izin verecek şekilde ayarlanmış sistemleri etkiler. Loginwindow'daki servis erişimi denetimlerinin uygun şekilde işlenmesiyle bu sorun giderildi. Mac OS X 10.4 sürümü öncesindeki sistemler bu sorundan etkilenmez.

  • Preferences

    CVE-ID: CVE-2006-4387

    İlgili sürümler: Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Bir hesabın Yönetici ayrıcalıkları kaldırıldıktan sonra hesap, WebObjects uygulamalarını yönetmeye devam edebilir

    Açıklama: Sistem Tercihleri'nde "Bu kullanıcının bu bilgisayarı yönetmesine izin ver" onay kutusunun temizlenmesi, hesabı appserveradm veya appserverusr gruplarından kaldırmayabilir. Bu gruplar, WebObjects uygulamalarının yönetilmesine izin verir. Bu güncelleme, hesabın uygun gruplardan kaldırılmasını sağlayarak bu sorunu giderir. Mac OS X 10.4 öncesi sistemler bu sorundan etkilenmez. Bu sorunu bildirdiği için Fruit Bat Software'den Phillip Tejada'ya teşekkür ederiz.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Kötü amaçlarla oluşturulmuş bir PICT görüntüsünü belirli uygulamalarla açmak uygulamanın çökmesine ve rastgele kod yürütülmesine neden olabilir

    Açıklama: Bazı uygulamalar PICT dosyalarını görüntülemek için desteklenmeyen bir QuickDraw işlemini başlatır. Dikkatlice bozuk bir PICT görüntüsü oluşturan bir saldırgan, bu uygulamalarda bellek bozulmasını tetikleyebilir ve bu da uygulamanın çökmesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, desteklenmeyen işlemi engelleyerek bu sorunu giderir.

  • SASL

    CVE-ID: CVE-2006-1721

    İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Uzaktaki saldırganlar, IMAP sunucusunda bir servis reddine neden olabilir

    Açıklama: Cyrus SASL'deki DIGEST-MD5 anlaşma desteğindeki bir sorun, IMAP sunucusunda kötü amaçla oluşturulmuş bir bölge başlığıyla segmentasyon hatasına neden olabilir. Bu güncelleme, kimlik doğrulama girişimlerinde bölge başlıklarının daha iyi işlenmesi yoluyla sorunu giderir.

  • WebCore

    CVE-ID: CVE-2006-3946

    İlgili sürümler: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 - Mac OS X v10.4.7, Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: Kötü amaçlarla oluşturulmuş bir web sayfasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: WebKit'in belirli HTML kodlarını işlemesindeki bir bellek yönetimi hatası, kötü amaçlı bir web sitesinin çökmeye neden olmasına veya kullanıcı siteyi görüntülerken rastgele kod yürütülmesine neden olabilir. Bu güncelleştirme, taşmaya neden olan durumu önleyerek sorunu giderir. Bu sorunu bildirdikleri için Netzallee'den Jens Kutilek'e, Sourcefire VRT Kıdemli Araştırma Mühendisi Lurene Grenier'e ve ONZRA Güvenlik Analisti Jose Avila III'e teşekkür ederiz.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    İlgili sürümler: Mac OS X Server v10.4 - Mac OS X Server v10.4.7

    Etki: NetInfo üst öğesindeki ShadowHash parolalarını kullanıyor gibi görünen hesaplar, yine de crypt kullanıyor olabilir

    Açıklama: Workgroup Manager, bir NetInfo üst sunucusundaki crypt kimlik doğrulama türünün ShadowHash şifreleri şeklinde değiştirilmesine izin veriyor gibi görünür, ancak gerçekte izin vermez. NetInfo üst öğesindeki bir hesabın görünümünü yenilemek, hâlâ crypt'in kullanılmakta olduğunu doğru şekilde gösterir. Bu güncelleme, yöneticilerin bir NetInfo üst öğesindeki hesaplar için ShadowHash parolalarını seçmesine izin vermeyerek bu sorunu giderir. Bu sorunu bildirdiği için Rockefeller University'den Chris Pepper'a teşekkür ederiz.

Yükleme notu

Yazılım Güncelleme, sistem konfigürasyonunuz için geçerli olan güncellemeyi sunar. Yalnızca bir güncelleme gereklidir.

Güvenlik Güncellemesi 2006-006, Mac OS X v10.3.9 ve Mac OS X Server v10.3.9 yüklü sistemlere yüklenebilir.

Mac OS X v10.4.8, Güvenlik Güncellemesi 2006-006'da bulunan güvenlik düzeltmelerini içerir ve Mac OS X v10.4 veya sonraki sürümlerin yanı sıra Mac OS X Server v10.4 veya sonraki sürümlerin yüklü olduğu sistemlere yüklenebilir.

Önemli: Apple tarafından üretilmeyen ürünlerle ilgili bilgiler yalnızca bilgi amaçlı verilmiştir ve bu ürünlerin Apple tarafından önerildiği veya desteklendiği anlamına gelmez. Ek bilgi için lütfen tedarikçiyle irtibata geçin.

Yayın Tarihi: