Güvenlik Güncellemesi 2010-001 Hakkında

Bu belgede Yazılım Güncelleme tercihleri veya Apple İndirilenler aracılığıyla indirilip yüklenebilen Güvenlik Güncellemesi 2010-001 açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Güvenlik Güncellemesi 2010-001

• CoreAudio

  CVE-ID: CVE-2010-0036

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Etki: Kötü amaçlarla oluşturulmuş bir mp4 ses dosyasını çalmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: mp4 ses dosyalarının işlenmesinde bir arabellek taşması sorunu vardır. Kötü amaçlarla oluşturulmuş bir mp4 ses dosyasını çalmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Bu sorunu bildirdiği için trapkit.de'den Tobias Klein'a teşekkür ederiz.

• CUPS

  CVE-ID: CVE-2009-3553

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Etki: Uzaktaki bir saldırgan, cupsd için uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

  Açıklama: cupsd'de boşaltılan belleğin kullanılması sorunu vardır. Uzaktaki bir saldırgan, kötü amaçlarla oluşturulmuş bir get-printer-jobs isteği göndererek hizmetin reddedilmesine neden olabilir. cupsd sonlandırıldıktan sonra otomatik olarak yeniden başlatılması aracılığıyla bu sorunun etkileri azaltıldı. Bağlantı kullanımı takibi iyileştirilerek bu sorun giderildi.

• Flash Player plug-in

  CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Etki: Adobe Flash Player yazılım ekinde birden fazla güvenlik açığı

  Açıklama: Adobe Flash Player yazılım ekinde birden fazla sorun bulunmaktadır. Bunlardan en önemlisi, kötü amaçlarla oluşturulmuş bir web sitesi görüntülendiğinde rastgele kod yürütülmesine neden olabilir. Bu sorunlar, Flash Player yazılım ekini 10.0.42 sürümüne güncelleyerek giderildi. Adobe web sitesinde daha ayrıntılı bilgi bulunabilir: http://www.adobe.com/support/security/bulletins/apsb09-19.html TippingPoint'in Zero Day Initiative programıyla çalışan anonim bir araştırmacıya ve Damian Put'a, Fortinet'in FortiGuard Global Security Research Team'inden Bing Liu'ya, CERT'ten Will Dormann'a, Manuel Caballero'ya ve Microsoft Vulnerability Research'e (MSVR) bu sorunu bildirdikleri için teşekkür ederiz.

• ImageIO

  CVE-ID: CVE-2009-2285

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8

  Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: ImageIO'nun TIFF resimlerini işlemesinde arabellek boşalması sorunu vardır. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Mac OS X 10.6 sistemleri için bu sorun Mac OS X v10.6.2 sürümünde giderilmiştir.

• Image RAW

  CVE-ID: CVE-2010-0037

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Etki: Kötü amaçlarla oluşturulmuş bir DNG resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

  Açıklama: mageIO'nun TIFF resimlerini işlemesinde arabellek boşalması sorunu vardır. Kötü amaçlarla oluşturulmuş bir DNG resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir. Sınır denetimi iyileştirilerek bu sorun giderildi. Carnegie Mellon Üniversitesi Bilgi İşlem Hizmetleri'nden Chris Ries'e bu sorunu bildirdiği için teşekkür ederiz.

• OpenSSL

  CVE-ID: CVE-2009-3555

  İlgili sürümler: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

  Etki: Ayrıcalıklı ağ konumuna sahip bir uzaktaki saldırgan, veri yakalayabilir veya SSL tarafından korunan oturumlarda gerçekleştirilen işlemleri değiştirebilir

  Açıklama: SSL ve TLS protokollerinde ortadaki adam güvenlik açığı vardır. Daha fazla bilgi http://www.phonefactor.com/sslgap adresinde bulunabilir. IETF'de yeniden anlaşma protokolüyle ilgili çalışmalar devam etmektedir. Bu güncelleme, önleyici bir güvenlik önlemi olarak OpenSSL'de yeniden anlaşmayı devre dışı bırakır. Secure Transport, yeniden anlaşmayı desteklemediğinden bu sorun, Secure Transport kullanan hizmetleri etkilemez. Steve Dispensa'ya ve PhoneFactor, Inc.den Marsh Ray'e bu sorunu bildirdikleri için teşekkür ederiz.