關於 Mac OS X 10.4.7 更新的保安內容

本文說明 Mac OS X 10.4.7 更新的保安內容,有關更新可以透過「軟件更新」「Apple 下載」頁面下載並安裝。

為保障客戶的安全,在開展完整調查並提供所有必要的修補程式或版本之前,Apple 不會披露、討論或確認保安問題。如要進一步了解 Apple 產品的保安,請參閱 Apple 產品保安網站。

如需 Apple 產品保安 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品保安 PGP 金鑰」。

在可能的情況下,CVE ID 會用於參照保安漏洞,以提供進一步資料。

如要了解其他保安更新,請參閱「Apple 保安更新」。

Mac OS X v10.4.7 更新

  • AFP

    CVE-ID:CVE-2006-1468

    適用於:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:檔案和資料夾名稱可能會外洩給未經授權的使用者

    說明:AFP 伺服器存在一項問題,可讓搜尋結果顯示執行搜尋的使用者並無存取權的檔案和資料夾名稱。如果這些名稱本身包含敏感資料,就可能導致資料外洩。這次更新透過確保搜尋結果只顯示使用者獲授權存取的項目,以解決此問題。此問題不影響 Mac OS X v10.4 之前的系統。

  • ClamAV

    CVE-ID:CVE-2006-1989

    適用於:Mac OS X Server v10.4.6

    影響:當病毒掃描設定為自動更新,惡意資料庫鏡像可能會導致執行任意程式碼

    說明:ClamAV 自動病毒資料庫更新存在的一項問題可能會導致堆疊型緩衝區溢出。惡意或偽造的 ClamAV 資料庫鏡像或可利用 ClamAV 權限執行任意程式碼。「郵件」服務、病毒掃描和自動病毒資料庫更新預設為關閉。這次更新透過納入 ClamAV 0.88.2,以解決此問題。此問題不影響 Mac OS X v10.4 之前的系統。

  • ImageIO

    CVE-ID:CVE-2006-1469

    適用於:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:檢視惡意製作的 TIFF 影像可能會導致應用程式當機或執行任意程式碼

    說明:攻擊者可以透過惡意製作損毀的 TIFF 影像來觸發堆疊型緩衝區溢出,繼而導致應用程式當機或執行任意程式碼。這次更新透過對 TIFF 影像執行額外驗證,以解決此問題。此問題不影響 Mac OS X v10.4 之前的系統。

  • launchd

    CVE-ID:CVE-2006-1471

    適用於:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:本機使用者或可獲得更高的權限

    說明:setuid 程式 launchd 中存在格式字串漏洞,經認證的本機使用者可能得以使用系統權限執行任意程式碼。此問題存在於 launchd 的記錄設施中。這次更新透過在記錄訊息時執行額外驗證,以解決此問題。此問題不影響 Mac OS X v10.4 之前的系統。感謝 DigitalMunition 的 Kevin Finisterre 報告此問題。

  • OpenLDAP

    CVE-ID:CVE-2006-1470

    適用於:Mac OS X v10.4.6、Mac OS X Server v10.4.6

    影響:遙距攻擊者或可導致 Open Directory 伺服器當機

    說明:攻擊者可以透過惡意製作無效的 LDAP 要求以在 OpenLDAP 伺服器中觸發斷言,繼而導致阻斷服務。這次更新透過捨棄無效的要求,以解決此問題。此問題不影響 Mac OS X v10.4 之前的系統。感謝 Mu Security 研究團隊報告此問題。

發佈日期: