Bezpečnostní aktualizace 2009-001

Bezpečnostní aktualizace 2009-001

První bezpečnostní aktualizace tohoto roku je venku. Apple v něm opravoval:

  • Chyby Safari RSS
  • Náchylnost k odmítnutí služby v AFP Serveru
  • Chybu v CoreTextu
  • Bezpečnostní chybu v manažeru složek, který dovoluje ostatním lokálním uživatelů přístup ke složce Downloads jiných uživatelů a další bezpečnostní chyb

Chyby opravují chyby v Leopardovi, Leopard Serveru, Tygrovi pro Intelovské Macy, Tygrovi pro PowerPC Macy, Tygr Server pro PowerPC a Server Universal. Součástí aktualizace jsou také bezpečnostní aktualizace Javy pro Intel a PowerPC macy pro Mac OS X 10.5.6 a ostatní.

A teď podrobněji:

  • AFP Server
    • CVE-ID: CVE-2009-0142
    • Dostupné pro: Mac OS X 10.5.6 a Mac OS X Server 10.5.6
    • Dopad: Uživatel s přístupem na AFP Server můž být schopen spustit chybu odmítnutí služby
    • Popis: Za určitých podmínek AFP Server může vést k nekonečné smyčce. Vyčíslení souborů v AFP serveru může vést k odmítnutí služby. Aktualizace řeší problém lepší logikou vyčíslení souborů. Problém se vyskytuje pouze u systému s Mac OS X 10.5.6
  • Apple Pixlet Video
    • CVE-ID: CVE-2009-0009
    • Dostupné pro: Mac OS X10.4.11, Mac OS X 10.4.11 Server, Mac OS X 10.5.6, Mac OS X 10.5.6 Server
    • Dopad: Otevření upraveného souboru filmu může vést k neočekávanému konci aplikace nebo spuštění kódu
    • Popis: Při zpracování filmů pomocí kodeku Pixlet dochází k poškození paměti. Otevřením upraveného sobuoru může vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problm pomocí vylepšených kontrol mezí.
  • CarbonCore
    • CVE-ID: CVE-2009-0020
    • Dostupné pro: Mac OS X10.4.11, Mac OS X 10.4.11 Server, Mac OS X 10.5.6, Mac OS X 10.5.6 Server
    • Dopad: Otevření souborů s upraveným obsahem může vést k ukončení aplikace nebo spuštění nežádoucího kódu
    • Popis: V Resource manažeru se provuje chyba poškození paměti při zpracování souborů. Otevřením souborů s upraveným obsahem můževést k neočekávaném ukončení aplikace nebo spuštění nežádoucího kódu. Tato aktualizace upravuje problém lepší kontrolou kódu.
  • CFNetwork
    • Dostupné pro: Mac OS X 10.5.6, Mac OS X Server 10.5.6
    • Dopad: Obnovuje správnou funkce cookies s nulový časem expirace
    • Popis: Aktualizace řeší regresi uvedenou v Mac OS X 10.5.6. Cookies nemusí být nastaveny jestliže web stránka nastavuje cookies s prázdnou hodnotou pole, misto vynechání pole. Aktualizace řeší problém ignorování pole "expires", jestliže má pole nulovou hodnotu.
  • CFNetwork
    • Dostupné pro: Mac OS X 10.5.6, Mac OS X Server 10.5.6
    • Dopad: obnovuje správnou práci session cookies v aplikaci
    • Popis: Aktualizace řeší regresi uvedenou v Mac OS X 10.5.6. CFNetwork nemusí uložit cookies na disk, jestliže více otevřených aplikací se pokouší nastavovat cookies relace. Aktualizace řeší problém zajištěním, že každá aplikace ukládá cookie relace zvlášť.
  • Asistent Certifikace
    • CVE-ID: CVE-2009-0011
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Lokální uživatel mohou manipulovat se soubory, na které má práva jiný uživatel
    • Popis: V Certificate Assistantovi existuje nebezpečná operace se souborem. To může dovolit lokálnímu uživateli přepsat soubor s právy jiného uživatele, který pracuje s Asistentem Certifikace. Aktualizace řeší problém lepší prací s dočasnými soubory. Problém se nevyskytuje v systémech před Mac OS X 10.5.
  • ClamAV
    • CVE-ID: CVE-2008-5050, CVE-2008-5314
    • Dostupné pro: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
    • Dopad: Více chyb v ClamAV 0.94
    • Popis: Několik chyb v ClamAV 0.94, nejvážnější může vést k neočekávaném spuštění kódu. Aktualizace řeší problém aktualizací ClamAV na 0.94.2. ClamAV je distribuován pouze s Mac OS X Server systémy. Další informace viz ClamAV.
  • CoreText
    • CVE-ID: CVE-2009-0012
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Zobrazení upraveného Unicode textu může vést k neočekávanému konci apllikace nebo spuštění nežádoucího kódu.
    • Popis: Zpracování unicode textů v CoreTextu může způsobit chybu přetečení bufferu. Zpracování upravených textů v Unicode, stejně jako zobrazování upravených web stránek, může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktulizace řeší problém lepší kontrolou mezí. Problém se neobjevuje před systémy Mac OS X 10.5. Poděkování patří Rosyně z Unsanity.
  • CUPS
    • CVE-ID: CVE-2008-5183
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Navštívení upravené web stránky může vést k neočekávaném ukončení aplikace
    • Popis: Překročením maximálního počtu RSS přihlášení vede k nullovému ukazateli v CUPS web rozhraní. To vede k neočekávanému ukončení aplikace při navštívení upravené www stránky. Aby se mohlo spustit napadení, musí být známy platné uživatelské údaje přímo útočníkem nebo musí být cachováno v prohlížeči uživatele. CUPS musí být před spuštěním chyby restartován. Tato aktualizace řeší problém správnou prací s počtem RSS přihlášení. Problém se vyskytuje až v Mac OS X 10.5.
  • DS Tools
    • CVE-ID: CVE-2009-0013
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Hesla posílaná na dscl jsou čitelná pro lokální uživatele
    • Popis: Řádkový příkaz dscl vyžaduje heslo vložené jako argument, potencionálně tak zveřejňuje heslo dalším lokálním uživatelům. Hesla byla tak přístupná k uživatelům a administrátorům. Tato aktualizace umožňuje parametr hesla jako volitelná a dscl se na heslo zeptá.
  • fetchmail
    • CVE-ID: CVE-2007-4565, CVE-2008-2711
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Více chyb ve fetchmail 6.3.8
    • Popis: Více chyb ve fetchmail 6.3.8, nejvážnější vedou k zamítnutí služby. Aktualizace řeší problém updatem na verzi 6.3.9. Další informace je dostupná přes stránky fetchmail služby.
  • FSEvents
    • CVE-ID: CVE-2009-0015
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Použitím FSEvents frameworku, lokální uživatelé mohou být schopni vidět aktivitu na souborovém systému, který by jinak nebyl dostupný.
    • Popis: Ve fseventsd existuje problém se správou. Pokud se použije FSEvent framework, lokální uživatel může být schopen vidět aktivitu na souborovém systému, který by jinak nebyl přístupný. To zahrnuje název složky kterou uživatel nemá být schopen být vidět a detekce aktivity složky v daném čase. Aktualizace řeší problém lepší kontrolou přístupů v fseventsd. Problém se nevyskytuje v systémech před Mac OS X 10.5. Poděkování za nahlášní problému patří Markovi Dalrymplovi.
  • Network Time
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Služba síťového času byla aktualizovaná
    • Popis: Proaktivní bezpečnostní úprava. Aktualizace mění základní konfigurace služby síťového času. Systémový čas a verze již není k dispozici v základní konfiguraci ntpd. V Mac OS X 10.4.11 systémech, nová konfigurace bude aktivní až po restartu systému.
  • perl
    • CVE-ID: CVE-2008-1927
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Použití regulárních výrazů obsahujících UTF-8 znaky může vést k neočekávanému ukončení aplikací nebo spuštění kódu.
    • Popis: Při zpracování UTF-8 znaků dochází k poškození paměti. Zpracování upraveného regulárního výrazu vede k ukončení aplikace nebo spuštění kódu. Aktualizace opravuje problémy lepší kontrolou regulárních výrazů.
  • Tisk
    • CVE-ID: CVE-2009-0017
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Lokální uživatel může získat systémová práva
    • Popis: V csregprinter špatně zpracovává chyby. To umožňuje lokálnímu uživateli získat systémová práva. Aktualizace řeší problém lepší kontrolou chyb. Poděkování patří Larsovi Haulinu za nahlášení.
  • Python
    • CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Více chyb v pythonu
    • Popis: V pythonu existuje více chyb, nejvážnější způsobuje spuštění nežádoucího kódu. To řeší aktualizace pythonu
  • Remote Apple Events
    • CVE-ID: CVE-2009-0018
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Odeslání Remote Apple eventu může vést k prozrazení sensitivních informací
    • Popis: Neinicializovaný buffer existuje v Remote Apple Event serveru, což vede k objevu obsahu paměti síťovým klientům. Aktualizace řeší problém správnou aktualizací paměti.
  • Remote Apple Events
    • CVE-ID: CVE-2009-0019
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Povolení Remote Apple Events může évst k neočekávanému konci aplikace nebo odhalení senstivních informací
    • Popis: V Remote Apple Events existuje chyba přístupu. Povolením Remote Apple Events může vést k neočekávanému ukončení aplikace nebo prozrazením sensitivních informací síťovým klientům. Tato aktualizace řeší problém správnou kontrolou mezí.
  • Safari RSS
    • CVE-ID: CVE-2009-0137
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Přistoupením na upraven feed může vést ke spuštění nežádoucího kódu
    • Popis: Zpracování URL feedů v Safari obsahuje několik chyb při ověřování vstupních dat. Problém vede ke spuštění JavaScriptu v bezpečnostní zóně. Tato aktualizace řeší problém lepší kontrolou vestavěných JavaScriptů do feedu. Poděkování patří Clinetovi Ruhoho z Laconic Security, Billimu Rios z Microsoftu a Brianu Mastenbrookovi za nahlášení těchto problémům.
  • servermgrd
    • CVE-ID: CVE-2009-0138
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Vzdálený útočník může přistupit k Server manažeru bez přihlášení
    • Popis: Problém Server Manageru při autorizace uživatelů může dovolit vzdálenému útočníkovi upravit systémovou konfiguraci. Aktualizace řeší problém pomocí další kontroly vstupních dat. Chyba se objevuje jen od systému Mac OS X 10.5.
  • SMB
    • CVE-ID: CVE-2009-0139
    • Dostupné pro: Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Připojení k upravenému SMB souborovému systému může vést k neočekávanému ukončení systému a spuštění nežádoucího kódu se systémovými právy
    • Popis: Přetečení integeru v SMB File Systomu může vést k přetečení bufferu. Připojení k upravenému SMB souborovém systému může vést k neočekávanému končení systému nebo spuštění nežádoucího spuštění kódu se systémovými právy. Aktualizace řeší problém lepší kontrolou vstupních dat. Systém se neobjevuje v systémech před Mac OS X 10.5.
  • SMB
    • CVE-ID: CVE-2009-0140
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Připojení k upravenému SMB souborovému systému může vést k neočekávanému vypnutí systému
    • Popis: Přetečení paměti způsobuje zpracování názvů souboru v SMB souborovém systému. Připojení upraveného SMB souborového systému pak vedek vypnutí systému. Aktualizace řeší problém omezení dostupné paměti pro klienty pro názvy souborů.
  • SquirrelMail
    • CVE-ID: CVE-2008-2379, CVE-2008-3663
    • Dostupné pro: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
    • Dopad: Více chyb ve SquirrelMailu
    • Popis: SquirrelMail je aktualizován na verzi 1.4.17 a řeší mnoho bezpečnostních chyb. Nejvážnější je cross-site scripting problémy. Další informace na stránkách Squirrel Mailu.
  • X11
    • CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Více chyb v X11 serveru
    • Popis: Více chyb v X11 serveru. Nejvážnější vede ke spuštění nežádoucího kódu s právy uživatele spouštějícího X11 serveru, jestliže útočník může autentifikovat X11 server. Aktualizace řeší problém aplikací patchů X.org. Další informace jsou dostupné k X.org web stránkach.
  • X11
    • CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11
    • Dopad: Více chyb ve FreeType 2.1.4
    • Popis: Více chyb ve FreeType 2.1.4, nejvážnější mohou vést ke spuštění kódu při zpracování upraveného písma. Tato aktualizace řeší problém zapracováním bezpečnostních oprav z verze 2.3.6. Další informace jsou dostupné na stránkách Freetype.
  • X11
    • CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11
    • Dopad: Více chyb v LibX11
    • Popis: Více chyb v LibX11, nejvážnější vede ke spuštění nežádoucího kódu při zpracování upraveného písma. Aktualizace řeší problém aplikování patchů X.org. Další informace jsou k dispozici přes X.org stránky.
  • Xterm
    • CVE-ID: CVE-2009-0141
    • Dostupné pro: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
    • Dopad: Lokální uživatelů mohou poslat informaci přímo dalšímu uživateli Xtermu
    • Popis: Problémy s právy v xtermu se projevují když jsou použity s luit, Xterm vytváří tty zařízení přístupné pro kohokoliv. Tato aktualizace řeší problém omezení práv Xtermu k tty zařízením pouze pro uživatele.
Poslat Bezpečnostní aktualizace 2009-001 na facebook
Publikováno 30.11.2008
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License