Про оновлення системи безпеки Mac OS X 10.4.7
У цьому документі описано проблеми системи безпеки, які усунено в оновленні Mac OS X 10.4.7, яке можна завантажити й інсталювати за допомогою функції Оновлення ПЗ або на сторінці завантажень Apple.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Відомості про ключ PGP безпеки продуктів Apple наведено в статті Як використовувати ключ PGP безпеки продуктів Apple.
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Відомості про інші оновлення системи безпеки наведено в статті Випуски безпеки Apple.
Оновлення Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Доступно для: Mac OS X версії 10.4.6, Mac OS X Server версії 10.4.6
Вплив: назви файлів і папок можуть бути розкриті неавторизованим користувачам
Опис: через проблему на сервері AFP результати пошуку можуть включати назви файлів і папок, до яких користувач, який виконує пошук, не має доступу. Це може призвести до розкриття інформації, якщо такі назви є конфіденційною інформацією. Це оновлення вирішує проблему завдяки тому, що результати пошуку включають лише ті елементи, до яких користувачу дозволено мати доступ. Ця проблема не виникає у версіях Mac OS X до 10.4.
ClamAV
CVE-ID: CVE-2006-1989
Доступно для: Mac OS X Server версії 10.4.6
Вплив: коли інструмент перевірки наявності вірусів налаштовано на автоматичне оновлення, зловмисне дзеркало бази даних може спричинити виконання довільного коду
Опис: проблема в автоматичному оновленні бази даних ClamAV з інформацією про віруси може призвести до переповнення буфера на основі стека. Зловмисне або підроблене дзеркало бази даних ClamAV може викликати довільне виконання коду з привілеями ClamAV. Сервіс «Пошта», перевірку на наявність вірусів і автоматичне оновлення баз даних за замовчуванням вимкнено. Це оновлення вирішує проблему, упроваджуючи ClamAV 0.88.2. Ця проблема не стосується систем із версіями Mac OS X до 10.4.
ImageIO
CVE-ID: CVE-2006-1469
Доступно для: Mac OS X версії 10.4.6, Mac OS X Server версії 10.4.6
Вплив: перегляд шкідливого зображення TIFF може призвести до збою програми або виконання довільного коду
Опис: створивши пошкоджене зображення TIFF, зловмисник може спричинити переповнення буфера стека, що може призвести до збою програми або виконання довільного коду. Це оновлення вирішує проблему завдяки додатковій перевірці зображень TIFF. Ця проблема не виникає у версіях Mac OS X до 10.4.
launchd
CVE-ID: CVE-2006-1471
Доступно для: Mac OS X версії 10.4.6, Mac OS X Server версії 10.4.6
Вплив: локальні користувачі можуть отримати привілеї вищого рівня
Опис: через уразливість рядка форматування в програмі setuid launchd автентифікований локальний користувач може виконувати довільний код із системними привілеями. Проблема виникає в системі реєстрації launchd. Це оновлення вирішує проблему завдяки додатковій перевірці під час реєстрації повідомлень. Ця проблема не виникає у версіях Mac OS X до 10.4. Подяка за повідомлення про цю проблему: Kevin Finisterre із DigitalMunition.
OpenLDAP
CVE-ID: CVE-2006-1470
Доступно для: Mac OS X версії 10.4.6, Mac OS X Server версії 10.4.6
Вплив: віддалені зловмисники можуть спричинити збій сервера Open Directory
Опис: створивши недійсний запит LDAP, віддалений зловмисник може ініціювати твердження на сервері OpenLDAP, що призведе до відмови обслуговування. Це оновлення вирішує проблему завдяки тому, що недійсний запит відхиляється. Ця проблема не виникає у версіях Mac OS X до 10.4. Подяка за повідомлення про цю проблему дослідницькій команді Mu Security.