Güvenlik Güncellemesi 2009-003/Mac OS X 10.5.8'in güvenlik içeriği hakkında

Bu belgede, Yazılım Güncelleme tercihleri veya Apple İndirilenler sayfasından indirilip yüklenebilen Güvenlik Güncellemesi 2009-003/Mac OS X 10.5.8'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Güvenlik Güncellemesi 2009-003/Mac OS X 10.5.8

  • bzip2

    CVE Kimliği: CVE-2008-1372

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulan sıkıştırılmış verileri açmak, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

    Açıklama: bzip2'de sınırların dışında bellek erişimi sorunu vardır. Kötü amaçlarla oluşturulan sıkıştırılmış bir dosyayı açmak, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir. Bu güncelleme bzip2'yi 1.0.5 sürümüne güncelleyerek bu sorunu giderir. bzip2 web sitesinde daha fazla bilgi bulunabilir: http://bzip.org/

  • CFNetwork

    CVE Kimliği: CVE-2009-1723

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesi; bir sertifika uyarısında, görüntülenen web sitesi URL'sini kontrol edebilir

    Açıklama: Safari bir 302 yeniden yönlendirmesi üzerinden bir web sitesine ulaştığında ve bir sertifika uyarısı görüntülendiğinde uyarı, geçerli web sitesi URL'sinin yerine orijinal web sitesi URL'sini içerir. Bu, kötü amaçlarla oluşturulan ve kullanıcının güvendiği bir web sitesindeki açık bir yeniden yönlendirici aracılığıyla ulaşılan bir web sitesinin bir sertifika uyarısında, görüntülenen web sitesi URL'sini kontrol etmesine izin verebilir. Temeldeki CFNetwork katmanında doğru URL döndürülerek bu sorun giderildi. Mac OS X 10.5 öncesi sistemler bu sorundan etkilenmez. Your.Org şirketinden Kevin Day'e ve Indiana Üniversitesinden Jason Mueller'e bu sorunu bildirdikleri için teşekkür ederiz.

  • ColorSync

    CVE Kimliği: CVE-2009-1726

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Gömülü ColorSync profili içeren, kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Gömülü bir ColorSync profili içeren resimlerin işlenmesinde bir yığın arabellek taşması sorunu vardır. Gömülü ColorSync profili içeren, kötü amaçlarla oluşturulmuş bir resmi açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ColorSync profiller için ek doğrulama gerçekleştirerek sorunu giderir. Google Security Team'den Chris Evans'a bu sorunu bildirdiği için teşekkür ederiz.

  • CoreTypes

    CVE Kimliği: CVE-2009-1727

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kullanıcılar güvenli olmama olasılığı olan belirli içerik türlerini açmadan önce uyarılmaz

    Açıklama: Bu güncelleme, sistemin belirli koşullar altında (örneğin, bir web sayfasından indirildiğinde) "güvenli olmayabilir" olarak işaretlenecek içerik türleri listesini genişletir. Bu içerik türleri otomatik olarak başlatılmaz ancak elle açılırsa kötü amaçlı bir JavaScript veri yükünün yürütülmesine neden olabilir. Bu güncelleme, sistemin Safari tarafından kullanılan içerik türlerini işlemeden önce kullanıcıları bilgilendirme becerisini iyileştirir. Brian Mastenbrook'a ve Laconic Security'den Clint Ruoho'ya bu sorunu bildirdikleri için teşekkür ederiz.

  • Dock

    CVE Kimliği: CVE-2009-0151

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kilitli bir sisteme fiziksel erişimi olan bir kişi, dört parmak Multi-Touch hareketlerini kullanabilir

    Açıklama: Ekran koruyucu, dört parmak Multi-Touch hareketlerini engellemez, bu da kilitli bir sisteme fiziksel erişimi olan bir kişinin uygulamaları yönetmesine veya Expose'yi kullanmasına izin verebilir. Bu güncelleme, ekran koruyucu çalışırken Multi-Touch hareketlerini doğru şekilde engelleyerek sorunu giderir. Yalnızca Multi-Touch izleme dörtgeni olan sistemler bu sorundan etkilenir.

  • Image RAW

    CVE Kimliği: CVE-2009-1728

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir Canon RAW resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: Canon RAW resimlerinin işlenmesinde yığın arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir Canon RAW resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Mac OS X 10.4 sistemlerinde Dijital Kamera RAW Uyumluluk Güncellemesi 2.6 ile bu sorun zaten giderilmiştir. Carnegie Mellon Üniversitesi Computing Services'ten Chris Ries'e bu sorunu bildirdiği için teşekkür ederiz.

  • ImageIO

    CVE Kimliği: CVE-2009-1722

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: ImageIO'nun OpenEXR resimlerini işlemesinde bir yığın arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, OpenEXR'yi 1.6.1 sürümüne güncelleyerek sorunu giderir. Sourcefire VRT'den Lurene Grenier'a ve Carnegie Mellon Üniversitesi Computing Services'ten Chris Ries bu sorunu bildirdikleri için teşekkür ederiz.

  • ImageIO

    CVE Kimliği: CVE-2009-1721

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: ImageIO'nun OpenEXR resimlerini işlemesinde ilklendirilmemiş bir bellek erişimi sorunu vardır. Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, uygun bellek ilklendirmesi ve OpenEXR resimleri için ek doğrulama ile bu sorunu giderir. Teşekkür: Apple.

  • ImageIO

    CVE Kimliği: CVE-2009-1720

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: ImageIO'nun OpenEXR resimlerini işlemesinde birden fazla tamsayı taşması vardır. Kötü amaçlarla oluşturulmuş bir OpenEXR resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunları giderir. Teşekkür: Apple.

  • ImageIO

    CVE Kimliği: CVE-2009-2188

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: ImageIO'nun EXIF meta verilerini işlenmesinde arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir resmi görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Mac OS X v10.5 öncesindeki sistemler bu sorundan etkilenmez.

  • ImageIO

    CVE Kimliği: CVE-2009-0040

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir PNG resmini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: PNG resimlerinin işlenmesinde ilklendirilmemiş bir işaretçi sorunu vardır. Kötü amaçlarla oluşturulmuş bir PNG resmini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, PNG görüntüleri için ek doğrulama gerçekleştirerek sorunu giderir. Google Security Team'den Tavis Ormandy'ye bu sorunu bildirdiği için teşekkür ederiz.

  • Kernel

    CVE Kimliği: CVE-2009-1235

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Yerel bir kullanıcı, sistem ayrıcalıkları edinebilir

    Açıklama: Çekirdeğin fcntl sistem çağrılarını işlemesinde bir uygulama sorunu vardır. Yerel bir kullanıcı çekirdek belleğin üzerine yazabilir ve sistem ayrıcalıklarıyla rastgele kod yürütebilir. Bu güncelleme, fcntl sistem çağrılarının işlenmesini iyileştirerek sorunu giderir. Johns Hopkins Üniversitesi, HiNRG'den Razvan Musaloiu-E.'ye bu sorunu bildirdiği için teşekkür ederiz.

  • launchd

    CVE Kimliği: CVE-2009-2190

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: inetd tabanlı bir launchd servisiyle çok sayıda bağlantı açmak, servis reddine yol açabilir

    Açıklama: inetd bazlı bir launchd servisiyle çok sayıda bağlantı açmak, sistemin bir sonraki yeniden başlatma işlemine kadar bu launchd'nin bu servisle olan gelen bağlantıları sunmayı durdurmasına neden olabilir. Bu güncelleme, hata işlemeyi iyileştirerek sorunu giderir.

  • Login Window

    CVE Kimliği: CVE-2009-2191

    İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Oturum Açma Penceresindeki bir format dizesi sorunu, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir

    Açıklama: Oturum Açma penceresinin uygulama adlarını işlemesindeki bir format dizesi sorunu, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir. Bu güncelleme, uygulama adlarının işlenmesini iyileştirerek sorunu giderir. 0xcafebabe.it'ten Alfredo Pesoli'ye bu sorunu bildirdiği için teşekkür ederiz.

  • MobileMe

    CVE Kimliği: CVE-2009-2192

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: MobileMe'den çıkış yapmak, tüm kimlik bilgilerini kaldırmaz

    Açıklama: MobileMe tercih bölmesinde bir mantık sorunu vardır. Tercih bölmesinden çıkış yapmak, tüm kimlik bilgilerini silmez. Yerel kullanıcı hesabına erişimi olan bir kişi, ilgili yerel hesap için daha önce giriş yapılmış olan MobileMe hesabıyla ilişkili diğer herhangi bir sisteme erişebilmeye devam edebilir. Bu güncelleme, çıkış yapıldığında tüm kimlik bilgilerini silerek sorunu giderir.

  • Networking

    CVE Kimliği: CVE-2009-2193

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir AppleTalk yanıt paketi almak, sistem ayrıcalıklarıyla rastgele kod yürütülmesine veya sistemin beklenmedik şekilde kapatılmasına yol açabilir

    Açıklama: Çekirdeğin AppleTalk yanıt paketlerini işlemesinde bir arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir AppleTalk yanıt paketi almak, sistem ayrıcalıklarıyla rastgele kod yürütülmesine veya sistemin beklenmedik şekilde kapatılmasına yol açabilir. Bu güncelleme, AppleTalk yanıt paketlerinin doğrulanmasını iyileştirerek sorunu giderir. IOActive'den Ilja van Sprundel'a bu sorunu bildirdiği için teşekkür ederiz.

  • Networking

    CVE Kimliği: CVE-2009-2194

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Yerel bir kullanıcı, sistemin beklenmedik şekilde kapatılmasına neden olabilir

    Açıklama: Yerel yuvalar üzerinden dosya açıklayıcısı paylaşımının işlenmesinde bir eşzamanlama sorunu vardır. Bir kullanıcı, alıcısı olmayan bir yuvaya dosya açıklayıcıları içeren mesajlar göndererek sistemin beklenmedik şekilde kapatılmasına neden olabilir. Bu güncelleme, dosya açıklayıcısı paylaşımının işlenmesini iyileştirerek sorunu giderir. Google Inc. şirketinden Bennet Yee'ye bu sorunu bildirdiği için teşekkür ederiz.

  • XQuery

    CVE Kimliği: CVE-2008-0674

    İlgili sürümler: Mac OS X 10.5 ila 10.5.7 sürümler, Mac OS X Server 10.5 ila 10.5.7 sürümler

    Etki: Kötü amaçlarla oluşturulmuş XML içeriğini işlemek, rastgele kod yürütülmesine yol açabilir

    Açıklama: XQuery tarafından kullanılan Perl Uyumlu Kurallı İfadeler (PCRE) kitaplığındaki kurallı ifadelerde yer alan karakter sınıflarının işlenmesinde bir arabellek taşması vardır. Bu, uzaktaki bir saldırganın 255'ten büyük Unicode kod puanı olan, çok sayıda karaktere sahip bir karakter sınıfının yer aldığı kurallı ifade aracılığıyla rastgele kod yürütmesine izin verebilir. Bu güncelleme, PCRE'yi 7.6 sürümüne güncelleyerek sorunu giderir.

Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.

Yayın Tarihi: