关于 Mac OS X 10.4.7 更新的安全性内容

本文介绍了 Mac OS X 10.4.7 更新的安全性内容，这个版本可通过“软件更新”或“Apple 下载”进行下载和安装。

为保护我们的客户，在未进行详尽调查并推出任何必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请访问“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

Mac OS X v10.4.7 更新

• AFP

  CVE-ID：CVE-2006-1468

  适用于：Mac OS X v10.4.6、Mac OS X 服务器 v10.4.6

  影响：文件和文件夹的名称可能会被泄露给未经授权的用户

  描述：AFP 服务器中出现的问题会导致用户执行搜索时，搜索结果中包含这名用户无权访问的文件和文件夹的名称。如果这些名称本身就是敏感信息，这会导致信息泄露。这一更新通过确保搜索结果只包含当前用户有权访问的项目解决了这个问题。这个问题不影响 Mac OS X v10.4 之前的系统。

• ClamAV

  CVE-ID：CVE-2006-1989

  适用于：Mac OS X 服务器 v10.4.6

  影响：当病毒扫描配置为自动更新时，恶意数据库镜像可能会导致任意代码执行

  描述：ClamAV 病毒数据库自动更新过程中出现的问题可能会导致堆栈缓冲区溢出。恶意或伪造的 ClamAV 数据库镜像或许能够导致利用 ClamAV 的权限执行任意代码。“邮件”服务、病毒扫描和病毒数据库自动更新均默认关闭。这一更新通过整合 ClamAV 0.88.2 解决了这个问题。这个问题不影响 Mac OS X v10.4 之前的系统。

• ImageIO

  CVE-ID：CVE-2006-1469

  适用于：Mac OS X v10.4.6、Mac OS X 服务器 v10.4.6

  影响：查看恶意制作的 TIFF 图像可能会导致应用程序崩溃或任意代码执行

  描述：攻击者可以通过精心制作损坏的 TIFF 图像，触发堆栈缓冲区溢出，这可能会导致应用程序崩溃或任意代码执行。这一更新通过对 TIFF 图像进行额外验证解决了这个问题。这个问题不影响 Mac OS X v10.4 之前的系统。

• launchd

  CVE-ID：CVE-2006-1471

  适用于：Mac OS X v10.4.6、Mac OS X 服务器 v10.4.6

  影响：本地用户可能会获得提升的权限

  描述：由于 setuid 程序 launchd 中的一个格式化字符串漏洞，经过身份验证的本地用户或许能够以系统权限执行任意代码。这个问题存在于 launchd 的日志记录系统中。这一更新通过在记录信息时进行额外验证解决了这个问题。这个问题不影响 Mac OS X v10.4 之前的系统。感谢 DigitalMunition 的 Kevin Finisterre 报告这个问题。

• OpenLDAP

  CVE-ID：CVE-2006-1470

  适用于：Mac OS X v10.4.6、Mac OS X 服务器 v10.4.6

  影响：远程攻击者可能会导致 Open Directory 服务器崩溃

  描述：远程攻击者或许能够通过精心制作无效的 LDAP 请求，在 OpenLDAP 服务器中触发声明，从而导致拒绝服务。这一更新通过丢弃无效请求解决了这个问题。这个问题不影响 Mac OS X v10.4 之前的系统。感谢 Mu Security 研究团队报告这个问题。