這篇文章已封存,而且 Apple 也不會再更新。

關於安全性更新 2009-005

本文說明安全性更新 2009-005。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要了解其他安全性更新,請參閱「Apple 安全性更新」。

安全性更新 2009-005

  • Alias Manager

    CVE-ID:CVE-2009-2800

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:開啟惡意製作的替身檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理替身檔案時有緩衝區溢位問題。開啟惡意製作的替身檔案可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。此問題不影響 Mac OS X v10.6 系統。貢獻者:Apple。

  • CarbonCore

    CVE-ID:CVE-2009-2803

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:使用惡意製作 Resource Fork 開啟檔案可能導致應用程式意外終止或執行任意程式碼

    說明:Resource Manager 處理 Resource Fork 時有記憶體損毀問題。使用惡意製作 Resource Fork 開啟檔案可能導致應用程式意外終止或執行任意程式碼。此更新透過改進 Resource Fork 的驗證方式,藉此解決問題。此問題不影響 Mac OS X v10.6 系統。貢獻者:Apple。

  • ClamAV

    CVE-ID:CVE-2009-1241、CVE-2009-1270、CVE-2008-6680、CVE-2009-1371、CVE-2009-1372

    適用於:Mac OS X Server v10.5.8

    I影響:ClamAV 0.94.2 有多個漏洞

    說明:ClamAV 0.94.2 有多個漏洞,最嚴重者可能導致執行任意程式碼。此更新透過將 ClamAV 更新至 0.95.2 版,藉此解決問題。ClamAV 只隨 Mac OS X Server 系統一同發布。如需詳細資訊,請造訪 ClamAV 網站 https://www.clamav.net/。這些問題不影響 Mac OS X v10.6 系統。

  • ColorSync

    CVE-ID:CVE-2009-2804

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:檢視有內嵌「色彩同步」色彩描述的惡意製作影像時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理有內嵌「色彩同步」色彩描述的影像時出現整數溢位,可能導致堆疊緩衝區溢位。開啟惡意製作且內嵌「色彩同步」描述檔的影像可能導致應用程式意外終止或執行任意程式碼。此更新透過執行額外的「色彩同步」色彩描述驗證,藉此解決問題。此問題不影響 Mac OS X v10.6 系統。貢獻者:Apple。

  • CoreGraphics

    CVE-ID:CVE-2009-2805

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:開啟惡意製作的 PDF 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:CoreGraphics 處理 PDF 檔案時,整數溢位可能導致堆積緩衝區溢位。開啟含惡意製作 JBIG2 流的 PDF 檔案可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。感謝 CERT/CC 的 Will Dormann 回報此問題。此問題不影響 Mac OS X v10.6 系統。

  • CoreGraphics

    CVE-ID:CVE-2009-2468

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼

    說明:取得長文字字串時有堆積緩衝區溢位問題。造訪惡意製作的網站可能導致應用程式意外終止或執行任意程式碼。此更新透過改進界限檢查機制來解決此問題。此問題不影響 Mac OS X v10.6 系統。感謝 Google Inc. 的 Will Drewry 回報此問題。

  • CUPS

    CVE-ID:CVE-2009-0949

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:遠端攻擊者或許可以拒絕「印表機共享」服務的存取權

    說明:CUPS 有 null 指標取值問題。透過重複傳送惡意製作的安排器要求,遠端攻擊者或許可以拒絕「印表機共享」服務的存取權。此更新透過改進安排器要求的驗證方式,藉此解決問題。此問題不影響 Mac OS X v10.6 系統。感謝 Core Security Technologies 內部 CORE IMPACT Exploit Writing Team(EWT)的 Anibal Sacco 回報此問題。

  • CUPS

    CVE-ID:CVE-2009-2807

    適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:沒有權限的本機使用者或許可以取得系統權限

    說明:CUPS USB 後端有堆積緩衝區溢位問題。這可能讓本機使用者取得系統權限。此更新透過改進界限檢查機制來解決此問題。此問題不會影響 Mac OS X v10.5 之前的系統或 Mac OS X v10.6 系統。

  • Flash Player plug-in

    CVE-ID:CVE-2009-1862、CVE-2009-1863、CVE-2009-1864、CVE-2009-1865、CVE-2009-1866、CVE-2009-1867、CVE-2009-1868、CVE-2009-1869、CVE-2009-1870

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:Adobe Flash Player 外掛模組有多個漏洞

    說明:Adobe Flash Player 外掛模組有多個漏洞,最嚴重者可能導致在檢視惡意製作的網站時執行任意程式碼。將 Mac OS v10.5.8 上的 Flash Player 外掛模組更新至 10.0.32.18、Mac OS X v10.4.11 系統上的 Flash Player 外掛模組更新至 9.0.246.0 版後,已解決問題。針對 Mac OS X v10.6 系統,已在 Mac OS X v10.6.1 中解決問題。如需詳細資訊,請造訪 Adobe 網站 https://www.adobe.com/support/security/bulletins/apsb09-10.html。

  • ImageIO

    CVE-ID:CVE-2009-2809

    適用於:Mac OS X v10.4.11、Mac OS X Server v10.4.11、Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:檢視惡意製作的 PixarFilm 編碼 TIFF 影像可能導致應用程式意外終止或執行任意程式碼

    說明:ImageIO 處理 PixarFilm 編碼 TIFF 影像時有多個記憶體毀損問題。檢視惡意製作的 PixarFilm 編碼 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。此更新透過執行額外的 PixarFilm 編碼 TIFF 影像驗證,藉此解決問題。此問題不影響 Mac OS X v10.6 系統。貢獻者:Apple。

  • Launch Services

    CVE-ID:CVE-2009-2811

    適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:嘗試開啟不安全的下載檔案可能不會出現警告

    說明:此更新將 '.fileloc’ 新增到系統的內容類型列表中,這些內容類型在某些情況下(例如從電子郵件下載時)將被標記為可能不安全。雖然這些內容類型不會自動開啟,但手動開啟可能導致執行惡意負載。此更新提升了系統在處理「.fileloc」檔案之前通知使用者的能力。此問題不影響 Mac OS X v10.6 系統。貢獻者:Apple。

  • Launch Services

    CVE-ID:CVE-2009-2812

    適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:造訪惡意製作的網站可能導致執行任意程式碼

    說明:下載應用程式時,Launch Services 會分析應用程式的匯出文件類型。處理匯出文件類型時的設計問題可能導致 Launch Services 將安全副檔名與不安全的統一類型識別碼(UTI)建立關聯。造訪惡意製作的網站可能導致自動開啟不安全的檔案類型。此更新透過改進不受信任應用程式匯出檔案類型的處理機制,藉此解決問題。此問題不會影響 Mac OS X v10.5 之前的系統或 Mac OS X v10.6 系統。貢獻者:Apple。

  • MySQL

    CVE-ID:CVE-2008-2079

    適用於:Mac OS X Server v10.5.8

    影響:MySQL 更新至 5.0.82 版

    說明:MySQL 已更新至 5.0.82 版,藉此解決讓本機使用者取得更高權限的實作問題。此問題只影響 Mac OS X Server 系統。此問題不影響 Mac OS X v10.6 系統。如需詳細資訊,請造訪 MySQL 網站 https://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html。

  • PHP

    CVE-ID:CVE-2009-1271、CVE-2009-1272、CVE-2008-5498

    適用於:Mac OS X v10.5、Mac OS X Server v10.5.8

    影響:PHP 5.2.8 有多個漏洞

    說明:PHP 已更新至 5.2.10 版,藉此解決多個漏洞的問題,最嚴重者可能導致執行任意程式碼。如需詳細資訊,請造訪 PHP 網站 https://www.php.net/。這些問題不影響 Mac OS X v10.6 系統。

  • SMB

    CVE-ID:CVE-2009-2813

    適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8

    影響:啟用 Windows 檔案共享功能可能意外分享檔案夾

    說明:Samba 有未經檢查的錯誤情況。未設定主目錄且連線至 Windows 檔案共享功能的使用者,將能夠存取檔案系統的內容,受限於本機檔案系統權限。此更新透過改進路徑決議錯誤的處理機制,藉此解決問題。此問題不會影響 Mac OS X v10.5 之前的系統或 Mac OS X v10.6 系統。感謝 LCG Systems National Institutes of Health 的 J. David Hester 回報此問題。

  • Wiki Server

    CVE-ID:CVE-2009-2814

    適用於:Mac OS X Server v10.5.8

    影響:遠端攻擊者可能取得 Wiki 伺服器使用者帳號的權限

    說明:Wiki 伺服器處理含非 UTF-8 編碼資料的搜尋要求時有跨網站工序指令問題。這可讓遠端攻擊者使用進行搜尋的 Wiki 伺服器使用者憑證存取 Wiki 伺服器。此更新透過將 UTF-8 設為 HTTP 回應中設定的預設字元,藉此解決問題。此問題不會影響 Mac OS X v10.5 之前的系統或 Mac OS X v10.6 系統。貢獻者:Apple。

重要事項:本文提及的第三方網站與產品資訊僅供參考之用,且不構成背書或建議。對於第三方網站或產品的選擇、效能或使用,Apple 不負任何責任。前述內容僅為方便 Apple 使用者而提供。Apple 尚未測試這些網站上的資訊,對其準確性或可靠性未為任何聲明。使用網際網路上找到的任何資訊或產品有其風險,Apple 不負任何責任。請了解第三方網站與 Apple 各自獨立,Apple 對於該網站的內容不具有控制權。如需其他資訊,請聯絡廠商

發佈日期: