Apple Mac OS X sérülékenységek

CH azonosító

CH-2480

Felfedezés dátuma

2009.09.10.

Súlyosság

Magas

Érintett rendszerek

Apple
Mac OS X

Érintett verziók

Apple Mac OS X

Összefoglaló

Az Apple kiadott egy biztonsági javítást a Mac OS X operációs rendszerhez, amely több sérülékenységet javít.

Leírás

Az Apple kiadott egy biztonsági javítást a Mac OS X operációs rendszerhez, amely több sérülékenységet javít.

  1. Az Alias Manager programban alias fájlok feldolgozásakor hiba jelentkezik, amely kihasználható puffer túlcsordulás előidézéséhez, valamint tetszőleges kód futtatásához.
  2. A Resource Manager programban erőforrás elágazások feldolgozásakor hiba jelentkezik, amely kihasználható memória kezelési hiba előidézéséhez, valamint tetszőleges kód futtatásához.
  3. A ClamAV több sérülékenysége kihasználható bizonyos biztonsági korlátozások megkerüléséhez, szolgáltatás megtagadás előidézéséhez és a sérülékeny rendszer feltöréséhez.

    Bővebb információ:
    SA34566
    SA34612

  4. Egy egész típusú változó túlcsordulás hiba jelentkezik beágyazott ColorSync profilú képeknél, amely kihasználható halom túlcsordulás előidézéséhez, továbbá tetszőleges kód futtatásához egy speciálisan elkészített kép segítségével.
  5. Egy egész típusú változó túlcsordulás hiba jelentkezik a CoreGraphicsban, PDF fájlokba beágyazott JBIG2 adatfolyamok feldolgozásakor, amely kihasználható halom túlcsordulás előidézéséhez, továbbá tetszőleges kód futtatásához egy speciálisan elkészített PDF fájl segítségével.
  6. Egy, a CoreGraphicsban lévő hiba kihasználható halom túlcsordulás előidézéséhe és tetszőleges kód futtatásához, hosszú szövegek rajzolásakor.

    Ez a következő sérülékenység #1 pontjához kapcsolódik:
    SA36269

  7. Egy NULL mutató hivatkozás feloldási hiba van a CUPS szoftverben, amely kihasználható összeomlás előidézéséhez. Bővebb információt az alábbi sérülékenység #4 pontjában találhat:
    SA34481
  8. A CUPS USB backend hibája kihasználható halom túlcsordulás előidézéséhez és emelt szintű jogosultságokkal történő tetszőleges kód futtatásához.
  9. Az Adobe Flash Playerben több sérülékenységét a rosszindulatú támadók kihasználhatják biztonsági korlátozások megkerüléséhez, bizalmas információk megismeréséhez vagy a felhasználó rendszerének feltöréséhez.

    Bővebb információ:
    SA35948

  10. Az ImageIO-ban, PixarFilm kódolású TIFF képek feldolgozásakor több hiba jelentkezik. Ezek kihasználhatóak memória kezelési hiba előidézéséhez és tetszőleges kód futtatásához speciálisan elkészített TIFF fájlok segítségével.
  11. A Launch Services programnál hiba jelentkezik “.fileloc” kiterjesztésű fájlok feldolgozásakor. Ez kihasználható tetszőleges kód futtatásához egy “.fileloc” kiterjesztésű fájl megnyitásakor.
  12. Egy hiba jelentkezik a Launch Services programnál egy alkalmazás letöltése közben, exportált dokumentum típusok kezelésekor. Ezt kihasználva egy biztonságos fájl kiterjesztés egy nem biztonságos Uniform Type Identifierhoz (UIT) társítható és tetszőleges kód futtatható.
  13. A MySQL egy hibáját a rosszindulatú, helyi felhasználók kihasználhatják bizonyos biztonsági korlátozások megkerüléséhez.

    Bővebb információ:
    SA30134

  14. PHP több sérülékenységének hatása ismeretlen vagy a támadók kihasználhatják bizalmas információk megismeréséhez, vagy szolgáltatás megtagadás előidézéséhez.

    Bővebb információ:
    SA34081

  15. A Samba hibafeltétel kezelésének hibáját kihasználva egy home könyvtár nélküli felhasználó hozzáférhet a fájlrendszer tartalmához, a Windows File Sharing Service-hez történő csatlakozással.
  16. A Wiki Servernek átadott, kereső kérésben nem UTF-8 kódolású adatot tartalmazó bemenet nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatban.

Megoldás

Frissítsen a Mac OS X v10.6.1 verzióra vagy alkalmazza a Security Update 2009-005 frissítést!

Security Update 2009-005 (Tiger PPC):
http://support.apple.com/downloads/DL931/en_US/SecUpd2009-005PPC.dmg

Security Update 2009-005 (Tiger Intel):
http://support.apple.com/downloads/DL932/en_US/SecUpd2009-005Intel.dmg

Security Update 2009-005 Server (Tiger Univ):
http://support.apple.com/downloads/DL933/en_US/SecUpdSrvr2009-005Univ.dmg

Security Update 2009-005 Server (Tiger PPC):
http://support.apple.com/downloads/DL934/en_US/SecUpdSrvr2009-005PPC.dmg

Mac OS X Server v10.6.1 Update:
http://support.apple.com/downloads/DL929/en_US/MacOSXServerUpd10.6.1.dmg

Security Update 2009-005 Server (Leopard):
http://support.apple.com/downloads/DL936/en_US/SecUpdSrvr2009-005.dmg

Security Update 2009-005 (Leopard):
http://support.apple.com/downloads/DL935/en_US/SecUpd2009-005.dmg

Mac OS X v10.6.1 Update:
http://support.apple.com/downloads/DL930/en_US/MacOSXUpd10.6.1.dmg