关于 Security Update 2010-001

本文介绍了 Security Update 2010-001,您可以通过软件更新偏好设置或 Apple 下载来下载并安装此更新。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅 Apple 安全性更新

本文章已经归档,因此 Apple 将不再对其进行更新。

Security Update 2010-001

  • CoreAudio

    CVE-ID:CVE-2010-0036

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影响:播放恶意制作的 mp4 音频文件可能会导致应用程序意外终止或任意代码执行

    说明:处理 mp4 音频文件时存在缓冲区溢出。播放恶意制作的 mp4 音频文件可能会导致应用程序意外终止或任意代码执行。此问题可通过改进边界检查得到解决。感谢 trapkit.de 的 Tobias Klein 报告此问题。

  • CUPS

    CVE-ID:CVE-2009-3553

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影响:远程攻击者可能会导致 cupsd 应用程序意外终止

    说明:cupsd 中存在“释放后使用”(use-after-free) 问题。通过发布恶意制作的 get-printer-jobs 请求,攻击者可能会导致远程拒绝服务。cupsd 终止后会自动重新启动,减小此问题的影响。此问题可通过改进连接使用追踪功能得到解决。

  • Flash Player 插件

    CVE-ID:CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影响:Adobe Flash Player 插件中存在多个漏洞

    说明:Adobe Flash Player 插件中存在多个问题,其中最严重的可能导致在访问恶意制作的网站时执行任意代码。此问题可通过将 Flash Player 插件更新至版本 10.0.42 得到解决。如需更多信息,可访问 Adobe 网站 http://www.adobe.com/cn/support/security/bulletins/apsb09-19.html。感谢与 TippingPoints Zero Day Initiative 合作的一位匿名研究员和 Damian Put、Fortinet FortiGuard 全球安全研究团队的 Bing Liu、CERT 的 Will Dormann、Manuel Caballero 和 Microsoft Vulnerability Research (MSVR)。

  • ImageIO

    CVE-ID:CVE-2009-2285

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影响:查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行

    说明:ImageIO 在处理 TIFF 图像时存在缓冲区溢出。查看恶意制作的 TIFF 图像可能会导致应用程序意外终止或任意代码执行。此问题可通过改进边界检查得到解决。对于 Mac OS X v10.6 系统,此问题已在 Mac OS X v10.6.2 中得到了解决。

  • Image RAW

    CVE-ID:CVE-2010-0037

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影响:查看恶意制作的 DNG 图像可能会导致应用程序意外终止或任意代码执行

    说明:Image RAW 在处理 DNG 图像时存在缓冲区溢出。查看恶意制作的 DNG 图像可能会导致应用程序意外终止或任意代码执行。此问题可通过改进边界检查得到解决。感谢卡内基梅隆大学电算服务中心的 Jason Carr 报告此问题。

  • OpenSSL

    CVE-ID:CVE-2009-3555

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2

    影响:拥有特权网络地位的攻击者可截获数据或更改 SSL 保护区段中所执行的操作

    说明:SSL 和 TLS 协议中存在中间人漏洞。访问 http://www.phonefactor.com/sslgap 可查看更多信息。目前 IETF 正在修改重新协商协议。作为一项预防性安全措施,此更新会停用 OpenSSL 中的重新协商功能。此问题不影响使用 Secure Transport 的服务,因为 Secure Transport 不支持重新协商功能。感谢 PhoneFactor, Inc. 的 Steve Dispensa 和 Marsh Ray 报告此问题。

重要信息:文中提到的第三方网站和产品仅供参考,并不代表 Apple 的建议或认可。Apple 对在第三方网站上找到的信息或产品的选取、性能和使用不负有任何责任。Apple 提供此功能只是为了方便我们的用户。Apple 并未对这些网站上的信息进行测试,对其准确性和可靠性不做任何表态。使用在 Internet 上找到的信息或产品始终存在风险,Apple 对此不负任何责任。请谨记:第三方网站是独立于 Apple 的,Apple 无法控制这些网站上的内容。更多信息,请联系供应商。

发布日期: