Apple vypustil bezpečnostní aktualizaci pro Mac OS X

Apple vypustil bezpečnostní aktualizaci pro Mac OS X

Včera vyšla další bezpečnostní akutalizace pro Mac OS X, která upravuje mnoho komponent a technologií operačního systému. Mezi opravované komponenty patří AppKit, BlueTooth, CoreFoundation, cups, Directory Services, HIToolBox, Kerberos, loginwindow, Mail, OpenSSL, QuartzComposerScreenSaver, Security Interface, Safari, X11 a zlib. Aktualizace jsou k dispozici pro systém Mac OS X 10.3.9 ale i pro Mac OS X 10.4.2

  • Apache 2
    • Problém přetečení bufferu u programu htdigest
    • Dvě bezpečnostní chyby vyřešení aktualizací Apache z verze 2.0.52 na 2.0.53, Apache 2 je k dispozici pouze u serverové verze Mac OS X
    • Základní nastavení Apache 2 neblokuje zcela přístup k souborům .ht a .DS_Store
  • AppKit
    • Otevření RTF souboru mohlo vést ke spuštění nežádoucího kódu
    • Otevření .doc souboru mohlo vést ke spuštění nežádoucího kódu
    • Neposlušný uživatel s fyzickým přístupem k počítači mohl vytvářet další lokální účty.
  • BlueTooth
    • Informace System Profileru jestli BlueTooth zařízení vyžaduje autentifikaci byla zavádějící.
  • CoreFoundation
    • Chyba přetečení dat při používání příkazového řádku s argumentem pro aplikace s CoreFoundation.
    • Vložení špatně formátovaného datumu v CoreFoundation frameworku mohlo způsobit zaseknutí aplikace.
  • CUPS
    • CUPS tiskové služby netiskly, dokud nebyly restartovány při tisku více úloh najednou.
  • Directory services
    • Chyba přetečení bufferu v Directory Services mohla vést ke vzdálenému provedení kódu
    • Utilita dsidentity s právy administrátora měla bezpečnostní chybu, která mohla vést k přidávání nebo mazání uživatelských účtů v Directory Services neoprávněným uživatelem.
    • Nezabezpečený dočasný soubor mohl vést k eskalaci lokální práv
  • HItoolbox
    • VoiceOver mohl číst obsah ze zabezpečených vstupních polí (například pro vložení hesla)
  • Kerberos
    • Autentifikovaný uživatel mohl provést kód na serveru KDC a kompromitovat na Kerberosovský realm.
    • Několik chyb přetečení bufferu mohlo vést v odmítnutí služby či kompromitaci KDC
    • Přístup pomocí Kerberos a LDAP technologií mohlo vést ke kompromitaci roota.
  • loginwindow
    • Uživatel mohl získat přístup k jinému přihlášenému uživateli, pokud bylo zapnuto Fast User Switching a znal přístup ke dvěma jiným účtům.
  • Mail
    • Ztráta soukromí díky nahrávání obrázků z HTML emailů, způsobena nechtěný nahrávání HTML obrázků při forwardování či tisku zprávy.
  • MySQL
    • Několik chyb v MySQL, které umožňovaly spuštění nežádoucího kódu vzdáleným uživatelem. MySQL je instalováno pouze na Mac OS X Server a chyba se neobjevuje v Mac OS X 10.4.
  • OpenSSL
    • Několik chyb způsobujících odmítnutí služby v OpenSSL řešených aktualizací na verzi 0.9.7g
  • ping
    • Buffer overflow, který může vést k lokální eskalaci práv a provedení nežádoucího kódu.
  • QuartzComposerScreenSaver
    • Uživatel mohl otevřít www stránku, prestože RSS Visualizer screen saver uzamykal počítač.
  • Safari
    • Klepnutí na odkaz se závadným obsahem v RTF souboru mohlo vést k provedení nežádoucího kódu.
    • Informace mohla být odeslána na špatnou www stránku.
  • SecurityInterface
    • Naposledy použitá hesla byly viditelná přes password assistenta.
  • servermgrd
    • Přetečení bufferu mohlo vést ke vzdálenému spuštění nežádoucího kódu.
  • servermgr_ipfilter
    • Některé nastavení firewallu vytvořené pomoci Server Admina nebyly vždy zapsány do Aktivních pravidel.
  • SquirrelMail
    • Několik chyb SquirrelMailu, včetně cross-site scriptingu bylo vyřešeno aktualizací na verzi 1.4.5.
  • traceroute
    • Chyba přetečení dat mohla vést k eskalaci lokálních práv a vykonání nežadoucího kódu.
  • WebKit
    • Klepnutí na PDF soubor v Safari mohlo vést k provedení nežádoucího příkazu.
  • Weblog Server
    • Problémy s cross-site scriptingem.
  • X11
    • Chyba přetečení dat vedoucí k provedení nežádoucího kódu.
  • zlib
    • Aplikace slinkovaná se zlib knihovnou byla náchylná k DOS útokům a potencionálnímu spuštění nežádoucího kódu.

Poslat Apple vypustil bezpečnostní aktualizaci pro Mac OS X na facebook
Publikováno 30.11.2004
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License