Bezpečnostní aktualizace 2009-006

Bezpečnostní aktualizace 2009-006

Bezpečnostních aktualizací bylo mnoho, některé se však týkaly pouze Mac OS X 10.5.8, některé se však týkaly pouze nových verzí operačních systémů. Podívejme se tedy co vše Apple opravil.

AFP klient

  • CVE-ID: CVE-2009-2819
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Přístupem k upravenému AFP serveru můžete ukončit systém nebo spustit nežádoucí kód se systémovými právy
  • Popis: AFP klient obsahuje několik problémů s poškozením paměti. Připojením se na upravený AFP server může způsobit neočekávaný pád systému nebo spuštění kódu se systémovými právy. Aktualizace řeší problém lepší kontrolou hranic. Problém se neobjevuje v Mac OS X 10.6 systémech. Kredit: Apple.

Adaptivní Firewall

  • CVE-ID: CVE-2009-2818
  • Pro: Serverové verze Mac OS X 10.5.8,10.6,10.6.1
  • Dopad: Útoky hrubou silou nebo slovníkové útoky na SSH server nemusí být detekovány adaptivním Firewallem
  • Popis: Adaptivní Firewall odpovídá na podezřelou aktivitu, jako neobvyklé množství přístup vytvořením dočasného pravidla pro omezení přístupu. Za určitých okolností, adaptivní Firewall nemusí detekovat pokusy o přihlášení k SSH serveru pomocí špatných uživatelských jmen. Tato aktualizace řeší problém lepší detekcí pokusů o přihlášení k SSH. Problém se objevuje pouze u Mac OS X Serverů. Kredit: Apple.

Apache

  • CVE-ID: CVE-2009-0023, CVE-2009-1191, CVE-2009-1195, CVE-2009-1890, CVE-2009-1891, CVE-2009-1955, CVE-2009-1956
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Více chyb v Apache web serveru 2.2.1
  • Popis: Apache byl aktualizován na verzi 2.2.13 aby se vyřešily chyby, nejvážnější mohla vést k eskalaci práv. Další informace jsou dostupné na stránkách Apache projektu http://httpd.apache.org/
  • CVE-ID: CVE-2009-2823
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Vzdálený útočník může úspěšně provést cross-site scripting útok
  • Popis: Apache web server dovoluje TRACE http metodu. Vzdálený útočník tak může využít tuto vlastnost  a provést cross-site scripting útok přes určitý klientský software. Aktualizace řeší problém změnou konfigurace, takže TRACE metoda je zakázána.


Apache Portable Runtime

  • CVE-ID: CVE-2009-0023, CVE-2009-1955, CVE-2009-1956, CVE-2009-2412
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Aplikace používající Apache Portable Runtime (apr) mohou být využity ke spuštění nežádoucího kódu
  • Popis: V Apache Portable Runtime existuje několik chyb přetečení integeru které mohou vést k ukončení aplikace nebo spuštění nežádoucího kódu. Tyto problémy byly vyřešeny aktualizaceí Apache Portable Runtime na verzi 1.3.8 u Mac OS X 10.6 systémů. U starších systému byl problém vyřešen aplikací záplat. Systémy s Mac OS X 10.6 byly postiženy pouze chybou CVE-2009-2412. Další informace jsou k dispozici na stránkách Apache Portable Runtime projektu http://apr.apache.org/

ATS

  • CVE-ID: CVE-2009-2824
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Zobrazení nebo stažení dokumentu obsahující upravené vložené písmo, může vést ke spuštění nežádoucího kódu
  • Popis: Více chyb přetečení bufferu v Apple Type Services může vést při prohlížení nebo stažení dokumentu obsahujícího vložené písmo může vést ke spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Tato chyba se neobjevuje u Mac OS X 10.6. Kredit: Apple

Certificate Assistant

  • CVE-ID: CVE-2009-2825
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Uživatel může být naveden k přijmutí falešného certifikátu
  • Popis: Při práci s SSL certifikáty došlo k chybě v implementaci. V případě že certifikát obsahuje znak NUL v Common Name poli, uživatel může certifikát přijmou v domnění, že patří k jiné doméně, protože se tak vizuálně prezentuje. Dopad tohoto problému v Mac OS X je minimálně, protože systém jej nepovažuje za platný pro jakoukoliv doménu. Aktualizace řeší problém lepší prací s SSL certifikáty.

CoreGraphics

  • CVE-ID: CVE-2009-2826
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Otevření upraveného PDF souboru může vést k ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s PDF soubory se v knihovně CoreGraphics objevuje problém přetečení integeru, což může vyústit v přetečení bufferu. Otevřením upraveného PDF souboru pak vede k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém se neobjevuje v Mac OS X 10.6 systémech. Kredit: Apple

CoreMedia

  • CVE-ID: CVE-2009-2202
  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného H.264 filmu může vést k ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s H.264 filmy dochází k poškození paměti. Zobrazením upraveného H.264 filmu může vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém se neobjevuje u systémů před Mac OS X 10.6. Kredit: Tom Ferris z Adobe Software Engineering Teamu

CVE-ID: CVE-2009-2799

  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného H.264 filmu může vést k ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s H.264 filmy dochází k přetečení bufferu. Zobrazením upraveného H.264 filmu pak může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém se neobjevuje na systémech před Mac OS X 10.6. Kredit: anonymní výzkumník pracující v TippingPoint a Zero Day Initiative.

CUPS

  • CVE-ID: CVE-2009-2820
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Přístup na upravené www stránky nebo URL může vést ke cross-site scripting útoku nebo rozdělení http dotazu
  • Popis: Problém v CUPS může vést ke cross-site scripting útoku a rozdělení HTTP dotazu. Přístupem k upravené www stránk nebo url může získat útočník přístup k současnému uživateli pomocí CUPS web rozhraní. To může dovolit zobrazit nastavení tisku a tituly úloh, které byly vytisknuty. Problém byl vyřešen lepší prací s HTTP hlavičkami a HTML předlohami. Kredit: Apple.

Dictionary

  • CVE-ID: CVE-2009-2831
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Uživatel na lokální síti může být schopen spustit nežádoucí kód
  • Popis: Chyba v návrhu Dictionary umožňuje upravenému Javascriptu zapisovat data tam, kam by zapisovat neměl. To může dovolit jinému uživateli na lokální síti spustit kód na systému uživatele. Aktualizace řeší problém odstraněním chybného kódu. Problém se neobjevuje na systémech Mac OS X 10.6. Kredit: Apple


DirectoryService

  • CVE-ID: CVE-2009-2828
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Vzdálený útočník může způsobit ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: DirectoryService poškozuje paměť. To může dovolit vzdálenému útočníkovi ukončit aplikaci nebo spustit nežádoucí kód. Problém se vyskytuje pouze na systémech, které fungují jako DirectoryService servery. Aktualizace řeší problém vylepšenou správou paměti. Problém se neobjevuje na systémech Mac OS X 10.6. Kredit: Apple

Disk Images

  • CVE-ID: CVE-2009-2827
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Stažení upraveného diskového obrazu může vést k ukončení aplikace nebo spuštění kódu
  • Popis: Při práci s FAT souborovým systémem v diskovém obrazu dochází k přetečení bufferu. Stažení upraveného diskového obrazu může vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém se netýká systémů Mac OS X 10.6. Kredit: Apple

Dovecot

  • CVE-ID: CVE-2009-3235
  • Pro: Mac OS X 10.6,10.6.1 server
  • Dopad: lokální uživatel může způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Dovecot-sieve má několik chyb přetečení bufferu. Implementací upraveného dovecot-sieve skriptu lokální uživatel může způsobit ukončení aplikace nebo spuštění kódu se systémovými právy. Aktualizace řeší problém prováděním další kontrol dovecot-sieve skriptů. Problém zasahuje pouze Mac OS X Servery. Problém se netýká systémů před Mac OS X 10.6

Event Monitor

  • CVE-ID: CVE-2009-2829
  • Pro: Mac OS X Server 10.5.8
  • Dopad: Vzdálený útočník může využít log injection
  • Popis: Event Monitor umožňuje log injection. Připojením na SSH server upravenou autentifikační informací může vzdálený útočník způsobit vložení nežádoucího záznamu do logu. To může vést k odmítnutí služby, protože data v logu jsou zpracovávána dalšími službami. Aktualizace řeší problém lepším zpracováním XML výstupu. Problém se objevuje pouze na Mac OS X Serverech a neobjevuje se v systémech Mac OS X 10.6. Kredit : Apple.

fetchmail

  • CVE-ID: CVE-2009-2666
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: fetchmail je aktualizován na verzi 6.3.11
  • Popis: fetchmail byl aktualizován na verzi 6.3.11 aby se vyřešil problém útoku man-in-the-middle. Další informace jsou k dispozici na stránkách projektu fetchmail http://fetchmail.berlios.de/

file

  • CVE-ID: CVE-2009-2830
  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: Spuštění příkazu file nad upraveným souborem ve formátu Common Dokument Format (CDF) může vést k ukončení aplikace nebo spuštění nežádoucího kódu.
  • Popis: Příkaz file trpí několika chybami přetečení bufferu. Spuštěním příkazu nad upraveným souborem ve formátu CDF může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Problém se řeší aktualizací příkazu na verzi 5.03. Problém se nevyskytuje na systémech před Mac OS X 10.6.

FTP server

  • CVE-ID: CVE-2009-2832
  • Pro: Mac OS X Server 10.5.8,10.6,10.6.1
  • Dopad: Útočník s přístupem na FTP a možností vytvářet adresáře může být schopen ukončit aplikaci nebo spustit nežádoucí kód
  • Popis: Příkaz CWD v FTP serveru trpí chybou přetečení bufferu. Spuštěním příkazu CWD na hluboko vnořeném adresáři může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém se objevuje pouze na Mac OS X Server systémech. Kredit: Apple.

Help Viewer

  • CVE-ID: CVE-2009-2808
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Použití Help Vieweru na nezabezpečené síti může vyústit ve spuštění nežádoucího kódu
  • Popis: Help Viewer nepoužívá HTTPS pro zobrazení obsahu nápovědy ze vzdáleného serveru. Uživatel na lokální síti může odeslat podvrhnutou http odpověď obsahující skripty nebo falešnou pomoc. Aktualizace řeší problém použitím HTTPS komunikace při požadavcích na vzdálený obsah nápovědy. Kredit: Brian Masterbrook.

ImageIO

  • CVE-ID: CVE-2009-2285
  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného TIFF obrázku může vést k ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: Při zpracování TIFF obrázků docházelo k přetečení bufferu. Zobrazení upraveného TIFF obrázku mohlo tak vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic.

Internation Components for Unicode

  • CVE-ID: CVE-2009-2833
  • Pro: Mac OS X 10.5.8  server i klient
  • Dopad: Aplikace, které používají UCCompareTextDefault API mohou být náchylné na neočekávané ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: UCCompareTextDefault APi obsahuje chybu přetečení bufferu, která může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší správou paměti. Problém se nevyskytuje na Mac OS X 10.6 systémech. Kredit: Nikita Zhuk, Petteri Kamppuri z MK&C.

IOKit

  • CVE-ID: CVE-2009-2834
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Neprivilegovaný uživatel může být schopen modifikovat firmware klávesnice
  • Popis: Neprivilegovaný uživatel může změnit firmware v připojené USB nebo Bluetooth Apple Klávesnici. Aktualizace řeší problém požadavkem mít systémová práv na to, aby bylo možné odeslat firmware do USB nebo Bluetooth Apple klávesnic. Kredit: K. Chen z Georgia Institute of Technology

IPSec

  • CVE-ID: CVE-2009-1574, CVE-2009-1632
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Více chyb v racoon démonovi může vést k odmítnutí služby
  • Popis: Více chyb v racoon démonovi obsaženého v ipsec-tools může vést k odmítnutí služby. Problém se řeší aplikováním záplat z IPSec-Tools projektu. Další informace jsou dostupné na stránkách IPSec-Tools projektu http://ipsec-tools.sourceforge.net/

Kernel

  • CVE-ID: CVE-2009-2835
  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: lokální uživatel může mít uvolnit nežádoucí informace, neočekávaně vypnout system a spustit nežádoucí kód
  • Popis: V jádře existuje několik chybných kontrol vstupu, což může dovolit uživateli uvolnit nežádoucí informace, vypnout system nebo spustit nežádoucí kód. Aktualizace řeší problém lepší kontrolou vstupu. Kredit: Regis Duchesne z VMware, Inc.

Launch Services

  • CVE-ID: CVE-2009-2810
  • Pro: Mac OS X 10.6,10.6.1 server i klient
  • Dopad: Při pokusu o otevření nebezpečného obsahu nemusí docházet k varování
  • Popis: Když Launch Services zavolá karanténní složku, rekurzivně smaže karanténní informace ze všech souborů ve složce. Karanténní informace jsou používány pro spouštění varování pro uživatele před otevřením souboru. To umožňuje uživateli spusti potencionálně nebezpečnou položku, jako aplikace bez příslušného varování. Aktualizace řeší problém tím, že se nemaže karanténí informace z vnořených souborů ve složce. Problém se neobjevuje před Mac OS X 10.6. Kredit: Apple.

libsecurity

  • CVE-ID: CVE-2009-2409
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Podpora pro X.509 certifikáty s MD2 hashemi může vystavit uživatele podvrženými informacemi díky vylepšování dosavadních útoků
  • Popis: MD2 algoritmus má známé kryptografické chyby. Ty se s nárůstem počítačového výkonu stávají hrozbou a další výzkum může dovolit vytváření X.509 certifkátů, u nichž útočník ovládá hodnoty, které jsou pro systém důvěryhodné. To vystavuje protokoly na bázi X.509 hrozbě podvrhů, útoků man-in-the-middle a prozrazení informací. Přestože se dosud nepovažuje tato možnost útoku za hrozbu, tato aktualizace ruší podporu pro X.509 certifikáty s MD2 hashem pro jiné použití než důvěryhodný root certifikát. Jedná se o proaktivní změnu zaměřenou na ochranu uživatele před útoky tohoto typu. Kredit: Dan Gaminsky IOACTIVE a Microsoft Vulnerability Research (MSVR)

libxml

  • CVE-ID: CVE-2009-2414, CVE-2009-2416
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Zpracování upraveného XML souboru může vést k ukončení aplikace
  • Popis: V libxml2 knihovně existují chyby při práci s pamětí, nejvážnější vede k ukončení aplikace. Aktualizace řeší problém lepší prací s pamětí. Kredit: Rauli Kaksonen, Jukka Taimisto z CROSS projektu v Condenomicon Ltd.

Login Windows

  • CVE-ID: CVE-2009-2836
  • Pro: Mac OS X  10.6,10.6.1 server i klient
  • Dopad: Uživatel se může přihlásit na účet bez zadání hesla
  • Popis: Pokud účet nemá v systému heslo, jako například účet pro hosta, uživatel se může přihlásit na jakýkoliv jiný účet bez zadání hesla. Aktualizace řeší problém lepší kontrolou přístupu. Problém se nevyskytuje před Mac OS X 10.6.

OpenLDAP

  • CVE-ID: CVE-2009-2408
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: OpenLDAP komunikace je náchylná na útok man-in-the-middle i když používá SSL komunikaci
  • Popis: Implementační Chyba SSL protokolu v OpenLDAP umožňuje, aby certifikát obsahují znak NUL v Common Name poli se vydával za certifikát jiný. Aktualizace řeší problém lepší kontrolou SSL certifikátů.
  • CVE-ID: CVE-2007-5707, CVE-2007-6698, CVE-2008-0658
  • Pro: Mac OS X v10.5.8 server i klient
  • Dopad:  Více bezpečnostních chyb v OpenLDAPu
  • Popis: Několik bezpečnostních chyb v OpenLDAPu, nejvážnější může vést k odmítnutí služby nebo spuštění nežádoucího kódu. Aktualizace řeší problém aplikováním záplat pro výše uvedené CVE ID. Další informace jsou k dispozici na stránkách projektu OpenLDAP http://www.openldap.org/


OpenSSH

  • CVE-ID: CVE-2008-5161
  • Pro: Mac OS X v10.5.8 server i klient
  • Dopad: Data v OpenSSH spojení mohou být prozrazena
  • Popis: Chyba při práci s chybami v OpenSSH může odhalit určitá data v SSH relaci. Aktualizace řeší problém upgradem OpenSSH na verzi 5.2p1. Další informace jsou k dispozici na OpenSSH stránkách na http://www.openssh.com/txt/release=5.2 Problém se nevyskytuje na systémech Mac OS X 10.6

PHP

  • CVE-ID: CVE-2009-3291, CVE-2009-3292, CVE-2009-3293
  • Pro: Mac OS X v10.5.8 server i klient
  • Dopad: Více chyb v PHP 5.2.10
  • Popis: PHP je aktualizován noa verzi 5.2.11, čímž řeší několik chyb, nejvážnější vede ke spuštění nežádoucího kódu. Další informace jsou dostupné na webu PHP projektu http://www.php.net/ . Tyto problémy se nevyskytují na Mac OS X 10.6 systémech.

QuickDraw Manager

  • CVE-ID: CVE-2009-2837
  • Pro: Mac OS X 10.5.8, 10.6,10.6.1 server i klient
  • Dopad: Otevření upraveného obrázku ve formátu PICT může vést k neočekávanému ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s obrázky PICT dochází v QuickDraw k chybě přetečení dat. Otevření upraveného obrázku tak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém další kontrolou PICT obrázků. Kredit: Nicolas Joly z VUPEN Vulnerability Research Teamu

QuickLook

  • CVE-ID: CVE-2009-2838
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Stažení upraveného MS Office dokumentu může vést k ukončení aplikace nebo spuštění nežádoucího kódu
  • Popis: QuickLook při práci s MS Office dokumenty obsahuje chybu přetečení integeru. To pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém další lepší kontrolou hranic. Problém se nevyskytuje na Mac OS X 10.6. Kredit: Apple

QuickTime

  • CVE-ID: CVE-2009-2202
  • Pro: Mac OS X  10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného H.264 filmu může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s H.264 film se poškozuje paměť. Zobrazením upraveného filmu může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém již byl vyřešen v QuickTime 7.6.4 v Mac OS X i ve Windows. Kredit: Tom Ferris z Adobe Secure Software Engineering
  • CVE-ID: CVE-2009-2799
  • Pro: Mac OS X  10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného filmu ve formátu H.264 může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s H.264 filmy dochází k přetečení bufferu. Zobrazením upraveného filmu může vést k ukončení aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém již byl vyřešen v QuickTime 7.6.4 v Mac OS X i ve Windows. Kredit: anonymní výzkumní z TippingPoint a Zero Day Initiative
  • CVE-ID: CVE-2009-2203
  • Pro: Mac OS X  10.6,10.6.1 server i klient
  • Dopad: Otevřením upraveného MPEG-4 filmu může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Chyba přetečení bufferu při práci s MPEG-4 video soubory může způsobit pád aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém již byl vyřešen v QuickTime 7.6.4 jak pro Mac OS 10.5.8, tak pro Windows. Kredit: Alex Selivanov.
  • CVE-ID: CVE-2009-2798
  • Pro: Mac OS X  10.6,10.6.1 server i klient
  • Dopad: Zobrazení upraveného FlashPix souboru může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s FlashPix soubory se objevuje v QuickTimu přetečení bufferu. Zobrazení upraveného FlashPix souboru pak může vést k pádu aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém lepší kontrolou hranic. Problém je již vyřešen v QuickTime 7.6.4 pro Mac OS X i Windows. Kredit: Daman Put v TippingPoint a Zero Day Initiative.

FreeRADIUS

  • CVE-ID: CVE-2009-3111
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Vzdálený útočník může ukončit operace RADIUS služby
  • Popis: FreeRADIUS má problémy při zpracování Access-Request zpráv. Vzdálený útočník může zastavit RADIUS službu tím, že odešle Access-Request zprávu obsahující atribut Tunnel-Password s nulovou délkou hodnoty. Po nečekaném ukončení, RADIUS služba se automaticky restartuje. Aktualizace řeší problém lepší kontrolou nulových hodnot. Problém se nevyskytuje na Mac OS X 10.6 systémech.

Screen sharing

  • CVE-ID: CVE-2009-2839
  • Pro: Mac OS X  10.5.8.10.6,10.6.1 server i klient
  • Dopad: Přístup k upraveným VNC serverům může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Screen sharing klient obsahuje chybu způsobující poškození paměti. Přístupem na upravený VNC server (otevření URL vnc://URL) může způsobit pád aplikace nebo spuštění nežádoucího kodu. Tato aktualizace řeší problém lepší prací s pamětí. Problém se nevyskytuje u Mac OS X 10.6 systémů. (Vím je to v rozporu z hlavičkou, ale takto to má Apple na stránkách)


Spotlight

  • CVE-ID: CVE-2009-2840
  • Pro: Mac OS X 10.5.8 server i klient
  • Dopad: Lokální uživatel může manipulovat se soubory na které nemá práva
  • Popis: Spotlight používá nezabezpečenou manipulaci s dočasnými soubory. To umožňuje lokálnímu uživateli aby přepisovat soubory s právy jiného uživatele. Aktualizace řeší problém lepší prací s dočasnými soubory. Kredit: Apple

Subversion

  • CVE-ID: CVE-2009-2411
  • Pro: Mac OS X  10.5.8.10.6,10.6.1 server i klient
  • Dopad: Přístup k repozitáři Subversion může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Několik chyb přetečení bufferu v Subversion může évst k pádu aplikace nebo spuštění nežádoucího kódu. Aktualizace řeší problém upgradem Subversion na verzi 1.6.5 pro Mac OS X 10.6 a aplikováním záplat pro Mac OS X 10.5.8. Další informace jsou na stránkách projektu http://subversion.tigris.org/
Poslat Bezpečnostní aktualizace 2009-006 na facebook
Publikováno 30.11.2008
 
Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License