关于安全性更新 2009-001 的安全性内容
本文介绍安全性更新 2009-001,可以通过“软件更新”偏好设置或“Apple 下载”下载和安装这些内容。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
安全性更新 2009-001
AFP Server
CVE-ID:CVE-2009-0142
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:能够连接到 AFP 服务器的客户或许能够触发拒绝服务
描述:AFP 服务器中的争用状态可能会导致无限循环。在 AFP 服务器上枚举文件可能会导致拒绝服务。这一更新通过改进文件枚举逻辑,解决了这个问题。这个问题只影响运行 Mac OS X v10.5.6 的系统。
Apple Pixlet Video
CVE-ID:CVE-2009-0009
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:打开恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行
描述:在使用 Pixlet 编解码器处理影片文件时会发生内存损坏问题。打开恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。报告者:Apple。
CarbonCore
CVE-ID:CVE-2009-0020
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:打开带有恶意制作资源分支的文件可能会导致应用程序意外终止或任意代码执行
描述:在资源管理器处理资源分支时会发生内存损坏问题。打开带有恶意制作资源分支的文件可能会导致应用程序意外终止或任意代码执行。这一更新通过改进资源分支的验证,解决了这个问题。报告者:Apple。
CFNetwork
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:使过期时间为空的 Cookie 恢复正常运行
描述:这一更新解决了 Mac OS X 10.5.6 中引入的非安全性回归。如果网站在尝试设置会话 Cookie 时在“过期”栏中提供了一个空值,而不是忽略这个栏位,则可能无法正确设置 Cookie。这一更新通过忽略具有空值的“过期”栏位,解决了这个问题。
CFNetwork
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:使应用程序中的会话 Cookie 恢复正常运行
描述:这个更新解决了 Mac OS X 10.5.6 中引入的非安全性回归。如果多个打开的应用程序尝试设置会话 Cookie,CFNetwork 可能无法将 Cookie 存储到磁盘。这一更新通过确保每个应用程序单独存储各自的会话 Cookie,解决了这个问题。
Certificate Assistant
CVE-ID:CVE-2009-0011
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:本地用户可能会使用另一个运行证书助理的用户的权限操作文件
描述:在证书助理处理临时文件时存在不安全的文件操作。这可能会使本地用户使用另一个正在运行证书助理的用户的权限覆盖文件。这一更新通过改进临时文件的处理,解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。报告者:Apple。
ClamAV
CVE-ID:CVE-2008-5050、CVE-2008-5314
适用于:Mac OS X Server v10.4.11、Mac OS X Server v10.5.6
影响:ClamAV 0.94 中存在多个漏洞
描述:ClamAV 0.94 中存在多个漏洞,其中最严重的漏洞可能导致任意代码执行。这一更新通过将 ClamAV 更新至版本 0.94.2,解决了上述问题。ClamAV 仅随 Mac OS X Server 系统分发。如需了解更多信息,请访问 ClamAV 网站:http://www.clamav.net/
CoreText
CVE-ID:CVE-2009-0012
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:查看恶意制作的 Unicode 内容可能会导致应用程序意外终止或任意代码执行
描述:在 CoreText 中处理 Unicode 字符串时可能发生堆缓冲区溢出。使用 CoreText 处理恶意制作的 Unicode 字符串(例如查看恶意制作的网页时)可能会导致应用程序意外终止或任意代码执行。这个更新通过改进边界检查解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。感谢 Unsanity 的 Rosyna 报告这个问题。
CUPS
CVE-ID:CVE-2008-5183
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:访问恶意制作的网站可能会导致应用程序意外终止
描述:超过 RSS 订阅的最大数量会导致 CUPS 网络接口中发生空指针取消引用。这可能会导致访问恶意制作的网站时应用程序意外终止。要触发这个问题,攻击者必须知道有效的用户凭证,或者这些凭证缓存在用户的网页浏览器中。触发这个问题后,CUPS 将自动重新启动。这一更新通过正确处理 RSS 订阅的数量,解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。
DS Tools
CVE-ID:CVE-2009-0013
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:提供给 dscl 的密码会被暴露给其他本地用户
描述:dscl 命令行工具要求传递密码时将密码包含在它的参数中,这可能会导致密码被暴露给其他本地用户。暴露的密码包括用户和管理员的密码。这一更新使密码参数变成可选项,并且 dscl 会根据需要提示输入密码。报告者:Apple。
fetchmail
CVE-ID:CVE-2007-4565、CVE-2008-2711
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:fetchmail 6.3.8 中存在多个漏洞
描述:fetchmail 6.3.8 中存在多个漏洞,其中最严重的漏洞可能会导致拒绝服务。这一更新通过更新至版本 6.3.9,解决了上述问题。如需更多信息,请访问 fetchmail 网站:http://fetchmail.berlios.de/
Folder Manager
CVE-ID:CVE-2009-0014
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:其他本地用户可能会访问下载文件夹
描述:文件夹管理器中存在默认权限问题。当某个用户删除他们的下载文件夹时,文件夹管理器会重新创建这个文件夹,并且每个人都对这个文件夹具有读取权限。这一更新通过让文件夹管理器限制权限,以便只有相应用户才能访问这个文件夹,解决了这个问题。这个问题只影响使用文件夹管理器的应用程序。这个问题不影响 Mac OS X v10.5 之前的系统。感谢 University of Brighton CENTRIM 的 Graham Perrin 报告这个问题。
FSEvents
CVE-ID:CVE-2009-0015
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:使用 FSEvents 框架时,本地用户或许能够看到原本不可能看到的文件系统活动
描述:fseventsd 中存在凭证管理问题。使用 FSEvents 框架时,本地用户或许能够看到原本不可能看到的文件系统活动。这包括用户本原本不可能看到的目录名称,以及在特定时间检测目录中的活动。这一更新通过改进 fseventsd 中的凭证验证,解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。感谢 Mark Dalrymple 报告这个问题。
Network Time
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:网络时间服务配置已更新
描述:作为一项主动安全措施,这一更新更改了网络时间服务的默认配置。默认 ntpd 配置中将不再提供系统时间和版本信息。在 Mac OS X v10.4.11 系统中,当启用了网络时间服务时,新配置会在系统重新启动后生效。
perl
CVE-ID:CVE-2008-1927
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:使用包含 UTF-8 字符的正则表达式可能会导致应用程序意外终止或任意代码执行
描述:在处理正则表达式中的某些 UTF-8 字符时会发生内存损坏问题。解析恶意制作的正则表达式可能会导致应用程序意外终止或任意代码执行。这一更新通过对正则表达式进行额外验证,解决了这个问题。
Printing
CVE-ID:CVE-2009-0017
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:本地用户可能会获得系统权限
描述:csregprinter 中存在错误处理问题,这可能会导致堆缓冲区溢出。这可能会使本地用户获得系统权限。这一更新通过改进处理错误,解决了这个问题。感谢 Lars Haulin 报告这个问题。
python
CVE-ID:CVE-2008-1679、CVE-2008-1721、CVE-2008-1887、CVE-2008-2315、CVE-2008-2316、CVE-2008-3142、CVE-2008-3144、CVE-2008-4864、CVE-2007-4965、CVE-2008-5031
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:python 中存在多个漏洞
描述:python 中存在多个漏洞,其中最严重的漏洞可能会导致任意代码执行。这一更新通过应用 python 项目的修补程序,解决了上述问题。
Remote Apple Events
CVE-ID:CVE-2009-0018
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:发送远程 Apple 事件可能会导致敏感信息泄露
描述:远程 Apple 事件服务器中存在缓冲区未初始化问题,这可能会导致内存内容泄露给网络客户端。这一更新通过正确的内存初始化,解决了这个问题。报告者:Apple。
Remote Apple Events
CVE-ID:CVE-2009-0019
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:启用远程 Apple 事件可能会导致应用程序意外终止或敏感信息泄露
描述:远程 Apple 事件中存在内存越界访问。启用远程 Apple 事件可能会导致应用程序意外终止或敏感信息泄露给网络客户端。这个更新通过改进边界检查解决了这个问题。报告者:Apple。
Safari RSS
CVE-ID:CVE-2009-0137
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:访问恶意制作的 feed: URL 可能会导致任意代码执行
描述:在 Safari 浏览器处理 feed: URL 时会发生多个输入验证问题。这些问题会导致在本地安全区中执行任意 JavaScript。这一更新通过改进 feed: URL 中内嵌 JavaScript 的处理,解决了上述问题。感谢 Laconic Security 的 Clint Ruoho、Microsoft 的 Billy Rios 以及 Brian Mastenbrook 报告这个问题。
servermgrd
CVE-ID:CVE-2009-0138
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:远程攻击者或许能够在没有有效凭证的情况下访问服务器管理器
描述:服务器管理器在验证鉴定凭证方面存在问题,这可能会使远程攻击者能够修改系统配置。这一更新通过对鉴定凭证进行额外验证,解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。报告者:Apple。
SMB
CVE-ID:CVE-2009-0139
适用于:Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:连接到恶意制作的 SMB 文件系统可能会导致系统意外关机或以系统权限执行任意代码
描述:SMB 文件系统中的整数溢出可能会导致堆缓冲区溢出。连接到恶意制作的 SMB 文件系统可能会导致系统意外关机或以系统权限执行任意代码。这个更新通过改进边界检查解决了这个问题。这个问题不影响 Mac OS X v10.5 之前的系统。报告者:Apple。
SMB
CVE-ID:CVE-2009-0140
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:连接到恶意制作的 SMB 文件服务器可能会导致系统意外关机
描述:在 SMB 文件系统处理文件系统名称时会发生内存耗尽问题。连接到恶意制作的 SMB 文件服务器可能会导致系统意外关机。这一更新通过限制客户端为文件系统名称分配的内存量,解决了这个问题。报告者:Apple。
SquirrelMail
。
Available for: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Impact: Multiple vulnerabilities in SquirrelMail
Description: SquirrelMail is updated to version 1.4.17 to address several vulnerabilities, the most serious of which is a cross-site scripting issue. Further information is available via the SquirrelMail web site at http://www.SquirrelMail.org/
X11
CVE-ID:CVE-2008-1377、CVE-2008-1379、CVE-2008-2360、CVE-2008-2361、CVE-2008-2362
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:X11 服务器中存在多个漏洞
描述:X11 服务器中存在多个漏洞。如果攻击者可以通过 X11 服务器的鉴定,则其中最严重的漏洞可能导致使用运行 X11 服务器的用户的权限执行任意代码。这一更新通过应用更新后的 X.Org 修补程序,解决了上述问题。如需了解更多信息,请访问 X.Org 网站:http://www.x.org/wiki/Development/Security
X11
CVE-ID:CVE-2006-1861、CVE-2006-3467、CVE-2007-1351、CVE-2008-1806、CVE-2008-1807、CVE-2008-1808
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11
影响:FreeType v2.1.4 中存在多个漏洞
描述:FreeType v2.1.4 中存在多个漏洞,其中最严重的漏洞可能导致在处理恶意制作的字体时执行任意代码。这一更新通过整合 FreeType 版本 2.3.6 中的安全性修复,解决了上述问题。如需更多信息,请访问 FreeType 网站:http://www.freetype.org/。上述问题在运行 Mac OS X v10.5.6 的系统中已得到了解决。
X11
CVE-ID:CVE-2007-1351、CVE-2007-1352、CVE-2007-1667
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11
影响:LibX11 中存在多个漏洞
描述:LibX11 中存在多个漏洞,其中最严重的漏洞可能导致在处理恶意制作的字体时执行任意代码。这一更新通过应用更新后的 X.Org 修补程序,解决了上述问题。如需更多信息,请访问 X.Org 网站:http://www.x.org/wiki/Development/Security。这些问题并不影响运行 Mac OS X v10.5 或更高版本的系统。
XTerm
CVE-ID:CVE-2009-0141
适用于:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.6、Mac OS X Server v10.5.6
影响:本地用户可能会直接向另一个用户的 Xterm 发送信息
描述:Xterm 中存在权限问题。与 luit 一起使用时,Xterm 会创建每个人都可以访问的 tty 设备。这一更新通过让 Xterm 限制权限,以便只有相应用户才能访问 tty 设备,解决了这个问题。
重要信息:提及的第三方网站和产品仅作参考,并不代表 Apple 的认可或推荐。Apple 对于第三方网站上所提供信息或产品的选择、性能或使用概不负责。Apple 提供这些网站只是为了方便用户。Apple 尚未测试这些网站上的信息,对信息的准确性或可靠性不作任何声明。使用互联网上的任何信息或产品均有一定风险,Apple 对于这些风险不承担任何责任。敬请理解:第三方网站与 Apple 互相独立,Apple 无法控制第三方网站上的内容。如需了解更多信息,请联系供应商。