Оновлення системи безпеки 2009-005
У цьому документі описано оновлення системи безпеки 2009-005.
Щоб захистити клієнтів, Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки повністю не завершено вивчення відповідної проблеми та не опубліковано необхідні виправлення або нові випуски. Щоб дізнатися більше про засоби безпеки продуктів Apple, відвідайте вебсайт, присвячений безпеці продуктів Apple.
Інформацію про використання PGP-ключа безпеки продуктів Apple наведено на сторінці «Як використовувати PGP-ключ безпеки продуктів Apple».
Якщо можливо, для отримання подальшої інформації про вразливості використовуються ідентифікатори CVE.
Про інші оновлення системи безпеки розказано в статті «Випуски безпеки Apple».
Оновлення системи безпеки 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: відкриття шкідливого файлу псевдоніма може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: обробка файлів псевдонімів переповнює буфер. Відкриття шкідливого файлу псевдоніма може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Ця проблема не виникає в Mac OS X 10.6. Подяка: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: відкриття файлу зі шкідливим відгалуженням ресурсів може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: обробка відгалужень ресурсів у Resource Manager пошкоджує дані в пам’яті. Відкриття файлу зі шкідливим відгалуженням ресурсів може призводити до несподіваного завершення роботи програми або виконання довільного коду. У цьому оновленні проблему вирішено завдяки вдосконаленню перевірки відгалужень ресурсів. Ця проблема не виникає в Mac OS X 10.6. Подяка: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Цільові продукти: Mac OS X Server 10.5.8
Вплив: кілька вразливостей у ClamAV 0.94.2.
Опис: у ClamAV 0.94.2 є кілька вразливостей, найсерйозніша з яких призводить до виконання довільного коду. У цьому оновленні проблеми вирішено завдяки випуску ClamAV 0.95.2. ClamAV використовується лише в системах із Mac OS X Server. Додаткову інформацію див. на сайті ClamAV за адресою http://www.clamav.net/ Ці проблеми не виникають у Mac OS X 10.6.
ColorSync
CVE-ID: CVE-2009-2804
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: перегляд шкідливого зображення у вбудованому профілі ColorSync може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: під час обробки зображень у вбудованому профілі ColorSync виникає цілочисельне переповнення, яке може переповнювати буфер динамічної пам’яті. Відкриття шкідливого зображення у вбудованому профілі ColorSync може призводити до несподіваного завершення роботи програми або виконання довільного коду. У цьому оновленні проблему вирішено завдяки виконанню додаткової перевірки профілів ColorSync. Ця проблема не виникає в Mac OS X 10.6. Подяка: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: відкриття шкідливого PDF-файлу може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: цілочисельне переповнення під час обробки PDF-файлів у CoreGraphics може переповнювати буфер динамічної пам’яті. Відкриття PDF-файлу зі шкідливим потоком JBIG2 може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Дякуємо Will Dormann із CERT/CC за повідомлення про цю проблему. Ця проблема не виникає в Mac OS X 10.6.
CoreGraphics
CVE-ID: CVE-2009-2468
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: відображення довгих текстових рядків переповнює буфер динамічної пам’яті. Відвідування шкідливого сайту може призводити до несподіваного завершення роботи програми або виконання довільного коду. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Ця проблема не виникає в Mac OS X 10.6. Дякуємо Will Drewry з Google Inc. за повідомлення про цю проблему.
CUPS
CVE-ID: CVE-2009-0949
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: зловмисник може віддалено заборонити спільний доступ до принтера.
Опис: у CUPS розіменовується нульовий покажчик. Зловмисник може безперервно надсилати шкідливі запити до планувальника й так віддалено заборонити спільний доступ до принтера. У цьому оновленні проблему вирішено завдяки вдосконаленню перевірки запитів до планувальника. Ця проблема не виникає в Mac OS X 10.6. Дякуємо Anibal Sacco з CORE IMPACT Exploit Writing Team (EWT) при Core Security Technologies за повідомлення про цю проблему.
CUPS
CVE-ID: CVE-2009-2807
Цільові продукти: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: непривілейований локальний користувач може отримати системні привілеї.
Опис: на серверній частині CUPS USB переповнюється буфер динамічної пам’яті. Через це локальний користувач може отримати системні привілеї. Це оновлення вирішує проблему за рахунок покращення перевірки меж. Ця проблема не виникає у версіях Mac OS X до 10.5 і в Mac OS X 10.6.
Плагін Flash Player
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: кілька вразливостей у плагіні Adobe Flash Player.
Опис: у плагіні Adobe Flash Player виникає кілька проблем, найсерйозніша з яких призводить до виконання довільного коду під час перегляду шкідливого сайту. Ці проблеми усунено завдяки оновленню плагіна Flash Player до версії 10.0.32.18 у Mac OS 10.5.8 і до версії 9.0.246.0 у Mac OS X 10.4.11. Системи з Mac OS X 10.6 отримають виправлення у версії 10.6.1. Додаткову інформацію див. на сайті Adobe за адресою http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
Цільові продукти: Mac OS X 10.4.11, Mac OS X Server 10.4.11, Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: перегляд шкідливого TIFF-зображення з кодуванням PixarFilm може призводити до несподіваного завершення роботи програми або виконання довільного коду.
Опис: обробка TIFF-зображень із кодуванням PixarFilm в ImageIO викликає кілька проблем із пошкодженням даних у пам’яті. Перегляд шкідливого TIFF-зображення з кодуванням PixarFilm може призводити до несподіваного завершення роботи програми або виконання довільного коду. У цьому оновленні проблему вирішено завдяки виконанню додаткової перевірки TIFF-зображень із кодуванням PixarFilm. Ця проблема не виникає в Mac OS X 10.6. Подяка: Apple.
Launch Services
CVE-ID: CVE-2009-2811
Цільові продукти: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: спроба відкрити небезпечне завантаження може не викликати попередження.
Опис: у цьому оновленні файли .fileloc додано до списку типів вмісту, які система позначатиме як потенційно небезпечні за певних умов, наприклад під час завантаження з електронного листа. Вміст цих типів не відкривається автоматично, але якщо його відкрити вручну, може бути запущено шкідливий набір даних. У цьому оновленні вдосконалено здатність системи сповіщати користувачів перед обробкою файлів .fileloc. Ця проблема не виникає в Mac OS X 10.6. Подяка: Apple.
Launch Services
CVE-ID: CVE-2009-2812
Цільові продукти: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: відвідування шкідливого сайту може призводити до виконання довільного коду.
Опис: під час завантаження програми Launch Services аналізує типи експортованих документів. Через проблему з обробкою типів експортованих документів Launch Services може зв’язувати безпечне розширення файлів із небезпечним узагальненим ідентифікатором типу (UTI). Відвідування шкідливого сайту може призводити до автоматичного відкриття файлу небезпечного типу. У цьому оновленні проблему вирішено завдяки вдосконаленню обробки типів документів, що експортуються з ненадійних програм. Ця проблема не виникає у версіях Mac OS X до 10.5 і в Mac OS X 10.6. Подяка: Apple.
MySQL
CVE-ID: CVE-2008-2079
Цільові продукти: Mac OS X Server 10.5.8
Вплив: MySQL оновлено до версії 5.0.82.
Опис: MySQL оновлено до версії 5.0.82, щоб вирішити проблему реалізації, яка підвищує рівень привілеїв локального користувача. Ця проблема виникає лише в Mac OS X Server. Ця проблема не виникає в Mac OS X 10.6. Додаткову інформацію див. на сайті MySQL за адресою http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Цільові продукти: Mac OS X 10.5, Mac OS X Server 10.5.8
Вплив: кілька вразливостей у PHP 5.2.8.
Опис: PHP оновлено до версії 5.2.10, щоб усунути кілька вразливостей. Найсерйозніша з них може призводити до виконання довільного коду. Додаткову інформацію див. на сайті PHP за адресою http://www.php.net/ Ці проблеми не виникають у Mac OS X 10.6.
SMB
CVE-ID: CVE-2009-2813
Цільові продукти: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Вплив: сервіс обміну файлами Windows може поширювати непередбачені папки.
Опис: у Samba є неперевірена умова помилки. Користувач, який підключається до сервісу обміну файлами Windows і не має налаштованого домашнього каталогу, може отримати доступ до вмісту файлової системи, на який розповсюджуються локальні права. У цьому оновленні проблему вирішено завдяки вдосконаленню обробки помилок щодо перетворення шляхів. Ця проблема не виникає у версіях Mac OS X до 10.5 і в Mac OS X 10.6. Дякуємо J. David Hester з LCG Systems National Institutes of Health за повідомлення про цю проблему.
Wiki Server
CVE-ID: CVE-2009-2814
Цільові продукти: Mac OS X Server 10.5.8
Вплив: зловмисник може віддалено отримати доступ до облікових записів користувачів Wiki Server.
Опис: коли Wiki Server обробляє пошукові запити з даними, які закодовано не за стандартом UTF-8, виникає проблема міжсайтового виконання сценаріїв. Через це зловмисник може віддалено отримати доступ до Wiki Server за допомогою облікових даних користувача, який здійснює пошук. У цьому оновленні проблему вирішено завдяки встановленню UTF-8 як стандартного набору символів в HTTP-відповідях. Ця проблема не виникає у версіях Mac OS X до 10.5 і в Mac OS X 10.6. Подяка: Apple.
Важливо. Згадування сторонніх вебсайтів і продуктів призначене лише для інформаційних цілей та не є ні заявою про підтримку, ні рекомендацією. Apple не несе відповідальності за вибір, продуктивність чи використання інформації або продуктів зі сторонніх вебсайтів. Apple надає цю інформацію лише для зручності наших користувачів. Компанія Apple не перевіряла інформацію, знайдену на цих вебсайтах, і не робить жодних заяв щодо її точності або надійності. Використання будь-якої інформації або продуктів, знайдених в інтернеті, пов’язане з ризиком, і Apple не несе жодної відповідальності щодо цього. Пам’ятайте, що сторонній вебсайт існує незалежно від Apple, і Apple не контролює вміст такого вебсайту. Зв’яжіться з постачальником послуг, щоб отримати додаткову інформацію.