Про оновлення системи безпеки 2008-005

У цьому документі описано оновлення системи безпеки 2008-005, яке можна можна завантажити й інсталювати за допомогою функції Оновлення ПЗ або на сторінці або на сторінці завантажень Apple.

Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.

Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.

Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.

Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.

Про оновлення системи безпеки 2008-005

  • Open Scripting Architecture

    CVE-ID: CVE-2008-2830

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: локальний користувач може виконувати команди з підвищеним рівнем привілеїв

    Опис: у бібліотеках Open Scripting Architecture виникає помилка розробки під час визначення того, чи завантажувати плагіни додавання скриптів у програми, запущені з підвищеним рівнем привілеїв. Надсилання команд додавання скриптів у привілейовану програму може дозволити виконання довільного коду з цими привілеями. Це оновлення вирішує проблему завдяки тому, що додаткові плагіни скриптів не завантажуються в програми, запущені із системними привілеями. Це оновлення вирішує нещодавно зареєстровані проблеми ARDAgent і SecurityAgent. Подяка за повідомлення про цю проблему: Anthony Holder.

  • BIND

    CVE-ID: CVE-2008-1447

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: сервер BIND чутливий до отруєння кешу DNS і може повертати оманливу інформацію

    Опис: сервер Berkeley Internet Name Domain (BIND) поширюється з Mac OS X, і за замовчуванням його не ввімкнено. Якщо сервер BIND увімкнено, він забезпечує переклад між іменами хостів і IP-адресами. Через уразливість у протоколі DNS віддалені зловмисники можуть здійснювати атаки з отруєнням кешу DNS. У результаті системи, які покладаються на сервер BIND для DNS, можуть отримувати оманливу інформацію. Це оновлення вирішує проблему завдяки застосуванню рандомізації вихідного порту, щоб підвищити стійкість до атак з отруєнням кешу. Для систем Mac OS X версії 10.4.11 сервер BIND оновлено до версії 9.3.5-P1. Для систем Mac OS X версії 10.5.4 сервер BIND оновлено до версії 9.4.2-P1. Подяка за повідомлення про цю проблему: Dan Kaminsky з IOActive.

  • CarbonCore

    CVE-ID: CVE-2008-7259

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: обробка довгих імен файлів може призвести до неочікуваного завершення програми або виконання довільного коду

    Опис: під час обробки довгих імен файлів може виникнути переповнення буфера стека. Обробка довгих імен файлів може призводити до неочікуваного завершення програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка за повідомлення про цю проблему: Thomas Raffetseder з International Secure Systems Lab і Sergio 'shadown' Alvarez із n.runs AG.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: відвідування шкідливого вебсайту може призвести до неочікуваного завершення програми або виконання довільного коду

    Опис: CoreGraphics містить проблеми з пошкодженням пам’яті під час обробки аргументів. Передавання недовірених вхідних даних у CoreGraphics через програму, наприклад веббраузер, може призвести до неочікуваного завершення програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Подяка за повідомлення про цю проблему: Michal Zalewski з компанії Google.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: перегляд шкідливого PDF-файлу може призвести до неочікуваного завершення програми або виконання довільного коду

    Опис: цілочисельне переповнення під час обробки файлів PDF може призвести до переповнення буфера купи. Перегляд шкідливого файлу PDF може призвести до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці PDF-файлів. Подяка за повідомлення про цю проблему: Pariente Kobi, що співпрацює з iDefense VCP.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Доступно для: Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: перегляд шкідливих повідомлень за допомогою функцій розпізнавання даних може призвести до несподіваного припинення роботи програми

    Опис: функції розпізнавання даних використовуються для отримання довідкової інформації з текстового контенту чи архівів. Під час обробки текстового контенту функціями розпізнавання даних виникає проблема споживання ресурсів. Перегляд шкідливого контенту в програмі, яка використовує функції розпізнавання даних, може призвести до відмови в обслуговуванні, але не до довільного виконання коду. Ця проблема не виникає у версіях Mac OS X до 10.5.

  • Disk Utility

    CVE-ID: CVE-2008-2324

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11

    Вплив: локальний користувач може отримати системні привілеї

    Опис: інструмент «Полагодити привілеї» в Дисковій утиліті виконує команду /usr/bin/emacs setuid. Після запуску інструменту «Полагодити привілеї» локальний користувач може використовувати emacs для виконання команд із системними привілеями. Це оновлення вирішує проблему, виправляючи дозволи, застосовані до emacs в інструменті «Полагодити привілеї». Ця проблема не виникає у версіях Mac OS X 10.5 і новіших версій. Подяка за повідомлення про цю проблему: Anton Rang і Brian Timares.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: віддалений зловмисник може спричинити несподіване завершення програми

    Опис: під час розшифрування ASN.1 BER в OpenLDAP виникає проблема. Обробка шкідливого повідомлення LDAP може ініціювати твердження й призводити до неочікуваного завершення роботи програми демона OpenLDAP, slapd. Це оновлення вирішує проблему завдяки додатковій перевірці повідомлень LDAP.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: віддалений зловмисник може спричинити несподіване завершення програми або виконання довільного коду

    Опис: в OpenSSL існує проблема перевірки діапазону у службовій функції SSL_get_shared_ciphers(). У програмі, яка використовує цю функцію, обробка шкідливих пакетів може призвести до неочікуваного завершення програми або виконання довільного коду. Це оновлення вирішує проблему завдяки покращеній перевірці меж.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Доступно для: Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: численні вразливості в PHP 5.2.5

    Опис: PHP оновлено до версії 5.2.6, щоб усунути численні вразливості, найсерйозніша з яких може призводити до виконання довільного коду. Більше інформації можна знайти на сайті PHP http://www.php.net/ PHP версії 5.2.x надається лише в системах Mac OS X v10.5.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: завантаження шкідливого файлу Microsoft Office може призвести до неочікуваного завершення програми або виконання довільного коду

    Опис: під час обробки файлів Microsoft Office QuickLook існує кілька проблем із пошкодженням пам’яті. Вплив: завантаження шкідливого файлу Microsoft Office може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему завдяки покращеній перевірці меж. Ця проблема не виникає у версіях Mac OS X до 10.5.

  • rsync

    CVE-ID: CVE-2007-6199, CVE-2007-6200

    Доступно для: Mac OS X версії 10.4.11, Mac OS X Server версії 10.4.11, Mac OS X версії 10.5.4, Mac OS X Server версії 10.5.4

    Вплив: до файлів поза коренем модуля можна отримати доступ, або їх можна віддалено перезаписати

    Опис: у режимі демона існує проблема перевірки шляху під час обробки символьних посилань у модулі rsync. Через розміщення символьних посилань у модулі rsync до файлів поза коренем модуля можна отримати доступ, або їх можна віддалено перезаписати. Це оновлення вирішує проблему завдяки покращеній обробці символьних посилань. Більше інформації про застосовані виправлення можна знайти на сайті rsync http://rsync.samba.org/

Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником для отримання додаткової інформації.

Дата опублікування: