Apple vydal další bezpečnostní balíček

Apple vydal další bezpečnostní balíček

Včera Apple vypustil Security Update 2006-002. Ten je doporučen všem uživatelům a vylepšuje spolehlivost a bezpečnost následujících komponent: apache_mod_php, CoreTypes, LaunchServices, Mail, Safari a rync. Specificky aktualizace opravuje problém, kdy vzdálená www stránka mohla přinutit JavaScript aby obešel bezpečnostní pravidla a poklepání na attachment v Mailu který mohl spustit nežádoucí kód.

  • CoreTypes
    Dostupné pro Mac OS X 10.4.5 a Mac OS X Server 10.4.5

    Dopad: Vzdálená www stránka může způsobit, že JavaScript obejde bezpečnostní pravidla

    Popis: Když dokument obsahující JavaScript je nahrán ze vzdáleného serveru, přístup k datům je omezen bezpečnostním pravidlem, které omezuje přístup k datům pouze na vzdálený server. Nicméně za specifických podmínek, pozměněný archív může toto omezení obejít. Aktualizace řeší problém označením těchto dokumentů jako podezřelých.

  • Mail
    Dostupné pro Mac OS X 10.4.5 a Mac OS X Server 10.4.5

    Dopad: Poklepání na přílohu Mailu může způsobit spuštění nežádoucího kódu.

    Popis: Převením specielně upravené zprávy v příloze a povzbuzení uživatele an poklepání na přílohu u Mailu, je útočník spustí buffer overflow. To vede ke spuštění nežádoucího kódu s právy uživatele, spouštějícího Mail. V aktualizace je problém řešen prováděním dalšího testu. Problém nijak neovlivňuje systémy starší než Mac OS X 10.4. Na problém upozornil Kevin Finisterre z DigitalMunition.

  • Safari, LaunchServices,CoreTypes
    Dostupné por Mac OS X 10.4.5 a Mac OS X Server 10.4.5

    Dopad: Zobrazení web stránky může vést ke spuštění nežádoucího kódu.

    Popis: Security Update 2006-001 opravuje chybu, kde Safari mohlo automatickz otevřít soubor, který vypadal jako bezpečný (obrázek nebo film), ale ve skutečnosti se jednalo o aplikaci. Tato aktualizaci provádí další kontrolu aby identifikovalo typ souboru, takže soubor není automaticky otevřen. Problém nijak neovlivňuje systémy starší než Mac OS X 10.4. Na problém upozornil Will Dorman z CERT/CC a Andirs Baumberger.

V bezpečnostní aktualizaci byly opraveny i následující problémy, nesouvisející s bezpečnosti:
  • Potvrzení stahování: Bezpečnostní Update 2006-001 mohl způsobit, že se Safari ptalu na potvrzení i u bezpečných souborů, jako například Wordovského dokumentu či složky obsahující vlastní ikony. Tyto nepotřebná varování byly u aktualizace smazány.
  • apache_mod_php: Regrese v PHP 4.4.1 mohla zabránil SquirrelMailu správně fungovat, v updatu je to již opraveno.
  • rsync: regrese v rsyncu způsobila, že volba "--delete" nefungovala. Problém je v aktualizaci opraven.

Aktualizaci je možné stáhnout pomocí Software Update aplikace nebo si ji stáhnout přímo od Apple.

Poslat Apple vydal další bezpečnostní balíček na facebook
Publikováno 30.11.2005
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License