关于安全性更新 2010-005

本文稿介绍了安全性更新 2010-005,可以通过“软件更新”偏好设置或从 Apple 下载中下载并安装该更新软件。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请访问 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

本文章已经归档,因此 Apple 将不再对其进行更新。

安全性更新 2010-005

  • ATS

    CVE-ID:CVE-2010-1808

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:查看或下载包含恶意制作的嵌入式字体的文稿可能会导致任意代码执行

    说明:Apple Type Services 在处理嵌入式字体时存在堆栈缓冲区溢出。查看或下载包含恶意制作的嵌入式字体的文稿可能会导致任意代码执行。此问题已通过改进边界检查得到解决。

  • CFNetwork

    CVE-ID:CVE-2010-1800

    适用于:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:拥有特权网络地位的攻击者可能会拦截用户凭证或其他敏感信息

    说明:CFNetwork 允许匿名的 TLS/SSL 连接。这可能允许中间人攻击者重定向连接并拦截用户凭证或其他敏感信息。此问题并不影响 Mail 应用程序。此问题已通过停用匿名的 TLS/SSL 连接得到解决。它并不影响 Mac OS X v10.6.3 之前的系统。感谢 vtty.com 的 Aaron Sigel、Citrix 的 Jean-Luc Giraud、Sirius IT 的 Tomas Bjurman 以及 Google, Inc. 的 Wan-Teh Chang 报告此问题。

  • ClamAV

    CVE-ID:CVE-2010-0098、CVE-2010-1311

    适用于:Mac OS X Server v10.5.8、Mac OS X Server v10.6.4

    影响:ClamAV 中存在多个漏洞

    说明:ClamAV 中存在多个漏洞,其中最严重的漏洞可能导致任意代码执行。本更新通过将 ClamAV 更新至版本 0.96.1 来解决上述问题。ClamAV 仅随 Mac OS X Server 系统一起发布。如需更多信息,请访问 ClamAV 网站 http://www.clamav.net/

  • CoreGraphics

    CVE-ID:CVE-2010-1801

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:打开恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行

    说明:CoreGraphics 在处理 PDF 文件时存在堆缓冲区溢出。打开恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行。此问题已通过改进边界检查得到解决。感谢 Check Point Vulnerability Discovery Team(VDT)的 Rodrigo Rubira Branco 报告此问题。

  • libsecurity

    CVE-ID:CVE-2010-1802

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:拥有特权网络地位的攻击者可以获取只有最后一个字符与合法域名不同的域名,并假冒该域中的主机

    说明:在处理主机名称验证时存在问题。对于包含三个或以上组成部分的主机名称,不会对最后一个字符做完全比较。对于正好包含三个组成部分的名称,唯独不检查最后一个字符。例如,如果攻击者拥有特权网络地位,可获取 www.example.con 的验证,则该攻击者可能会假冒 www.example.com。此问题已通过改进对主机名称的验证方式得到解决。感谢 Peter Speck 报告此问题。

  • PHP

    CVE-ID:CVE-2010-1205

    适用于:Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:加载恶意制作的 PNG 图像可能会导致应用程序意外终止或任意代码执行

    说明:PHP 的 libpng 库中存在缓存区溢出。加载恶意制作的 PNG 图像可能会导致应用程序意外终止或任意代码执行。此问题已通过将 PHP 内的 libpng 更新至版本 1.4.3 得到解决。它并不影响 Mac OS X v10.6 之前的系统。

  • PHP

    CVE-ID:CVE-2010-1129、CVE-2010-0397、CVE-2010-2225、CVE-2010-2531、CVE-2010-2484

    适用于:Mac OS X v10.6.4, Mac OS X Server v10.6.4

    影响:PHP 5.3.1 中存在多个漏洞

    说明:PHP 已更新为版本 5.3.2 以解决多个漏洞,其中最严重的漏洞可能导致任意代码执行。通过 PHP 网站 http://www.php.net/,可以获得更多信息

  • Samba

    CVE-ID:CVE-2010-2063

    适用于:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.4、Mac OS X Server v10.6.4

    影响:未经鉴定的远程攻击者可能会导致服务遭到拒绝或任意代码执行

    说明:Samba 中存在缓冲区溢出。未经鉴定的远程攻击者通过发送恶意制作的数据包,可能导致服务遭到拒绝或任意代码执行。此问题已通过对 Samba 中的数据包执行附加验证而得到解决。

重要信息:文中提到的第三方网站和产品仅供参考,并不代表 Apple 的建议或认可。Apple 对在第三方网站上找到的信息或产品的选取、性能和使用不负有任何责任。Apple 提供此功能只是为了方便我们的用户。Apple 并未对这些网站上的信息进行测试,对其准确性和可靠性不做任何表态。使用在 Internet 上找到的信息或产品始终存在风险,Apple 对此不负任何责任。请谨记:第三方网站是独立于 Apple 的,Apple 无法控制这些网站上的内容。更多信息,请联系供应商。

发布日期: