Güvenlik Güncellemesi 2009-005 Hakkında
Bu belgede, Güvenlik Güncellemesi 2009-005 açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Güvenlik Güncellemesi 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş bir diğer ad dosyasını açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Diğer ad dosyalarının işlenmesinde yığın taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir diğer ad dosyasını açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Teşekkür: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş bir kaynak çatalını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Resource Manager'ın kaynak çatallarını işlemesinde bir bellek bozulması sorunu vardır. Kötü amaçlarla oluşturulmuş bir kaynak çatalını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, kaynak çatallarının doğrulanmasını iyileştirerek sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Teşekkür: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
İlgili sürümler: Mac OS X Server 10.5.8
Etki: ClamAV 0.94.2'de birden fazla güvenlik açığı
Açıklama: ClamAV 0.94.2'de birden fazla güvenlik açığı vardır. Güvenlik açıklarının en ciddi düzeyde olanı rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ClamAV'yi 0.95.2 sürümüne güncelleyerek sorunları giderir. ClamAV, yalnızca Mac OS X Server sistemleriyle dağıtılır. ClamAV web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.clamav.net/ Bu sorunlar Mac OS X v10.6 sistemlerini etkilemez.
ColorSync
CVE-ID: CVE-2009-2804
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş gömülü ColorSync profiline sahip bir resmi açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Gömülü ColorSync profiline sahip resimlerin işlenmesinde bir tamsayı taşması sorunu vardır. Bu sorun, yığın arabellek taşmasına neden olabilir. Kötü amaçlarla oluşturulmuş gömülü ColorSync profiline sahip bir resmi açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, ColorSync profiller için ek doğrulama gerçekleştirerek sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Teşekkür: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: CoreGraphics'in PDF dosyalarını işlemesindeki bir tamsayı taşması sorunu, yığın arabellek taşmasına neden olabilir. Kötü amaçlarla oluşturulmuş bir JBIG2 akışı içeren PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorunu bildirdiği için CERT/CC'den Will Dormann'a teşekkür ederiz. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez.
CoreGraphics
CVE-ID: CVE-2009-2468
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Uzun metin dizgelerinin çekilmesinde bir yığın arabellek taşması sorunu vardır. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Google Inc. şirketinden Will Drewry'ye bu sorunu bildirdiği için teşekkür ederiz.
CUPS
CVE-ID: CVE-2009-0949
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Uzaktaki saldırgan, Yazıcı Paylaşma hizmetine erişimi reddedebilir
Açıklama: CUPS'de null işaretçi dereferansı vardır. Uzaktaki saldırgan, kötü amaçlarla oluşturulmuş zamanlayıcı isteklerini tekrar tekrar göndererek Yazıcı Paylaşma hizmetine erişimi reddedebilir. Bu güncelleme, zamanlayıcı isteklerinin doğrulanmasını iyileştirerek sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Core Security Technologies'deki CORE IMPACT Exploit Writing Team'den (EWT) Anibal Sacco'ya bu sorunu bildirdiği için teşekkür ederiz.
CUPS
CVE-ID: CVE-2009-2807
İlgili sürümler: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Ayrıcalıkları olmayan yerel kullanıcı, sistem ayrıcalıkları elde edebilir
Açıklama: CUPS USB arka ucunda bir yığın arabellek taşması sorunu vardır. Bu durum, yerel kullanıcının sistem ayrıcalıkları elde etmesine izin verebilir. Bu güncelleme, sınır denetimini iyileştirerek sorunu giderir. Bu sorun, Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri veya Mac OS X 10.6 sistemlerini etkilemez.
Flash Player yazılım eki
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Flash Player yazılım ekinde birden fazla güvenlik açığı
Açıklama: Adobe Flash Player yazılım ekinde birden fazla sorun bulunmaktadır. Bu sorunların en ciddi düzeyde olanı, kötü amaçlarla oluşturulmuş bir web sitesi görüntülendiğinde rastgele kod yürütülmesine neden olabilir. Mac OS 10.5.8 sistemlerinde Flash Player yazılım eki 10.0.32.18 sürümüne, Mac OS X 10.4.11 sistemlerinde 9.0.246.0 sürümüne güncellenerek sorunlar giderildi. Mac OS X 10.6 sistemleri için bu sorunlar, Mac OS X 10.6.1'de giderilmiştir. Adobe web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
İlgili sürümler: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş PixarFilm kodlu TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun PixarFilm kodlu TIFF resimlerini işlemesinde birden fazla bellek bozulması sorunu vardır. Kötü amaçlarla oluşturulmuş PixarFilm kodlu TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Bu güncelleme, PixarFilm kodlu TIFF resimlerinin ek doğrulamasını gerçekleştirerek bu sorunu giderir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Teşekkür: Apple.
Launch Services
CVE-ID: CVE-2009-2811
İlgili sürümler: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Güvenli olmayan indirilmiş içerikler açılmaya çalışıldığında uyarı verilmez
Açıklama: Bu güncelleme, sistemin belirli koşullar altında (ör. dosya e-postadan indirildiğinde) "güvenli olmayabilir" olarak işaretlenecek içerik türleri listesine ".fileloc" türünü ekler. Bu içerik türleri otomatik olarak açılmaz ancak elle açılırsa kötü amaçlı bir veri yükünün yürütülmesine neden olabilir. Bu güncelleme, sistemin ".fileloc" dosyalarını işlemeden önce kullanıcıları bilgilendirme becerisini geliştirir. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. Teşekkür: Apple.
Launch Services
CVE-ID: CVE-2009-2812
İlgili sürümler: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir
Açıklama: Bir uygulama indirildiğinde Launch Services, dışa aktarılan belge türlerini analiz eder. Dışa aktarılan belge türlerinin işlenmesindeki bir tasarım sorunu, Launch Services'ın güvenli bir dosya uzantısını güvenli olmayan bir Tek Tip Tür Tanımlayıcısı (UTI) ile ilişkilendirmesine neden olabilir. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, güvenli olmayan dosya türünün otomatik olarak açılmasına neden olabilir. Bu güncelleme, güvenilir olmayan kaynaklardan dışa aktarılan belge türlerinin işlenmesini iyileştirerek bu sorunu giderir. Bu sorun, Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri veya Mac OS X 10.6 sistemlerini etkilemez. Teşekkür: Apple.
MySQL
CVE-ID: CVE-2008-2079
İlgili sürümler: Mac OS X Server 10.5.8
Etki: MySQL, 5.0.82 sürümüne güncellenmiştir
Açıklama: Yerel bir kullanıcının yüksek ayrıcalıklar elde etmesine izin veren bir uygulama sorununu gidermek için MySQL, 5.0.82 sürümüne güncellenmiştir. Bu sorun yalnızca Mac OS X Server sistemlerini etkiler. Bu sorun, Mac OS X v10.6 sistemlerini etkilemez. MySQL web sitesinde daha ayrıntılı bilgi bulunabilir: http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
İlgili sürümler: Mac OS X 10.5.4, Mac OS X Server 10.5.4
Etki: PHP 5.2.8'de birden fazla güvenlik açığı
Açıklama: PHP, birden fazla güvenlik açığını gidermek için 5.2.10 sürümüne güncellenmiştir. Güvenlik açıklarının en ciddi düzeyde olanı rastgele kod yürütülmesine neden olabilir. PHP web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.php.net/ Bu sorunlar Mac OS X 10.6 sistemlerini etkilemez.
SMB
CVE-ID: CVE-2009-2813
İlgili sürümler: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Windows File Sharing'i etkinleştirmek klasörlerin beklenmedik şekilde paylaşılmasına neden olabilir
Açıklama: Samba'da denetlenmeyen bir hata koşulu vardır. Ana klasörü ayarlanmamış bir kullanıcı, Windows File Sharing hizmetine bağlandığında yerel dosya sistemi izinlerine bağlı olarak dosya sisteminin içeriklerine erişebilir. Bu güncelleme, yol çözümleme hatalarının işlenmesini iyileştirerek sorunu giderir. Bu sorun, Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri veya Mac OS X 10.6 sistemlerini etkilemez. LCG Systems National Institutes of Health'ten J. David Hester'a bu sorunu bildirdiği için teşekkür ederiz.
Wiki Server
CVE-ID: CVE-2009-2814
İlgili sürümler: Mac OS X Server 10.5.8
Etki: Uzaktaki bir saldırgan, Wiki Server kullanıcı hesaplarına erişim elde edebilir
Açıklama: Wiki Server'ın UTF-8 dışındaki bir biçimde kodlanmış veriler içeren arama isteklerini işlemesinde siteler arası betik saldırısı sorunu vardır. Bu sorun, uzaktaki bir saldırganın aramayı yapan Wiki Server kullanıcısının kimlik bilgileriyle Wiki Server'a erişmesine izin verir. Bu güncelleme, HTTP yanıtlarında saptanmış karakter seti olarak UTF-8'i ayarlama yoluyla sorunu giderir. Bu sorun, Mac OS X 10.5'ten önceki sürümlerin yüklü olduğu sistemleri veya Mac OS X 10.6 sistemlerini etkilemez. Teşekkür: Apple.
Önemli: Üçüncü taraf web siteleri ve ürünlerinden yalnızca bilgi vermek amacıyla bahsedilmektedir ve bu herhangi bir onay veya öneri niteliği taşımaz. Apple, üçüncü taraf web sitelerinde bulunan ürünlerin seçilmesi, performansı veya kullanılması ya da bu sitelerde yer alan bilgilerin kullanılması konusunda hiçbir sorumluluk kabul etmez. Apple, bu bilgileri yalnızca kullanıcılarına kolaylık sağlamak amacıyla sunmaktadır. Apple, bu sitelerde bulunan bilgileri test etmemiştir ve bunların doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. İnternette bulunan herhangi bir bilgi veya ürünün kullanılması çeşitli riskler içerir ve Apple bu konuda hiçbir sorumluluk üstlenmez. Lütfen üçüncü taraf web sitelerinin Apple'dan bağımsız olduğunu ve Apple'ın bu sitelerdeki içerik üzerinde hiçbir denetimi olmadığını unutmayın. Ek bilgi için lütfen tedarikçiyle irtibata geçin.