Apple обновляет Java и безопасность OSX

9to5 Staff | Четверг, 12 февраля, 2009, 21:53.

Avatar for 9to5 Staff
 | 12 февраля 2009 г. — 17:58 PT

Нажмите «Обновление программного обеспечения», чтобы получить комплексные обновления безопасности и некоторые новые возможности Java.

Обновление безопасности 2009-001

  • AFP Server

    CVE-ID: CVE-2009-0142

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Пользователь, имеющий возможность подключения к AFP Server, может вызвать отказ в обслуживании

    Описание: Состояние гонки в AFP Server может привести к бесконечному циклу. Перечисление файлов на AFP сервере может привести к отказу в обслуживании. Данное обновление устраняет проблему за счет улучшения логики перечисления файлов. Эта проблема затрагивает только системы под управлением Mac OS X v10.5.6.

  • Apple Pixlet Video

    CVE-ID: CVE-2009-0009

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Открытие вредоносного файла фильма может привести к непредвиденному завершению работы приложения или выполнению произвольного кода

    Описание: Существует проблема повреждения памяти при обработке файлов фильмов с использованием кодека Pixlet. Открытие вредоносного файла фильма может привести к непредвиденному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему за счет улучшения проверки границ. Благодарность: Apple.

  • CarbonCore

    CVE-ID: CVE-2009-0020

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Открытие файла с вредоносным ресурсным форком может привести к непредвиденному завершению работы приложения или выполнению произвольного кода

    Описание: Существует проблема повреждения памяти при обработке ресурсных форков менеджером ресурсов. Открытие файла с вредоносным ресурсным форком может привести к непредвиденному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему за счет улучшения проверки ресурсных форков. Благодарность: Apple.

  • CFNetwork

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Восстанавливает корректную работу файлов cookie с нулевым временем истечения срока действия

    Описание: Данное обновление устраняет регрессию, не связанную с безопасностью, введенную в Mac OS X 10.5.6. Файлы cookie могут быть некорректно установлены, если веб-сайт пытается установить файл cookie сеанса, передавая нулевое значение в поле «expires», а не опуская это поле. Данное обновление устраняет проблему, игнорируя поле «expires», если оно имеет нулевое значение.

  • CFNetwork

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Восстанавливает корректную работу файлов cookie сеанса между приложениями

    Описание: Данное обновление устраняет регрессию, не связанную с безопасностью, введенную в Mac OS X 10.5.6. CFNetwork может не сохранять файлы cookie на диск, если несколько открытых приложений пытаются установить файлы cookie сеанса. Данное обновление устраняет проблему, гарантируя, что каждое приложение хранит свои файлы cookie сеанса отдельно.

  • Certificate Assistant

    CVE-ID: CVE-2009-0011

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Локальный пользователь может манипулировать файлами с правами другого пользователя, запускающего Certificate Assistant

    Описание: В Certificate Assistant существует небезопасная операция с файлами при обработке временных файлов. Это может позволить локальному пользователю перезаписывать файлы с правами другого пользователя, запускающего Certificate Assistant. Данное обновление устраняет проблему за счет улучшения обработки временных файлов. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность: Apple.

  • ClamAV

    CVE-ID: CVE-2008-5050, CVE-2008-5314

    Доступно для: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Воздействие: Множественные уязвимости в ClamAV 0.94

    Описание: Существует множество уязвимостей в ClamAV 0.94, наиболее серьезная из которых может привести к выполнению произвольного кода. Данное обновление устраняет проблемы путем обновления ClamAV до версии 0.94.2. ClamAV распространяется только с системами Mac OS X Server. Дополнительная информация доступна на веб-сайте ClamAV по адресу http://www.clamav.net/

  • CoreText

    CVE-ID: CVE-2009-0012

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Просмотр вредоносного Unicode-контента может привести к непредвиденному завершению работы приложения или выполнению произвольного кода

    Описание: При обработке Unicode-строк в CoreText может произойти переполнение буфера кучи. Использование CoreText для обработки вредоносных Unicode-строк, например, при просмотре вредоносной веб-страницы, может привести к непредвиденному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему за счет улучшения проверки границ. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность Rosyna из Unsanity за сообщение об этой проблеме.

  • CUPS

    CVE-ID: CVE-2008-5183

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Посещение вредоносного веб-сайта может привести к непредвиденному завершению работы приложения

    Описание: Превышение максимального количества RSS-подписок приводит к разыменованию нулевого указателя в веб-интерфейсе CUPS. Это может привести к непредвиденному завершению работы приложения при посещении вредоносного веб-сайта. Чтобы вызвать эту проблему, злоумышленник должен знать действительные учетные данные пользователя или они должны быть кэшированы в веб-браузере пользователя. CUPS будет автоматически перезапущен после срабатывания этой проблемы. Данное обновление устраняет проблему путем корректной обработки количества RSS-подписок. Эта проблема не затрагивает системы до Mac OS X v10.5.

  • DS Tools

    CVE-ID: CVE-2009-0013

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Пароли, передаваемые в dscl, становятся доступными другим локальным пользователям

    Описание: Инструмент командной строки dscl требовал передачи паролей в качестве аргументов, что потенциально делало пароли доступными другим локальным пользователям. Раскрываемые пароли включают пароли пользователей и администраторов. Данное обновление делает параметр пароля необязательным, и dscl будет запрашивать пароль при необходимости. Благодарность: Apple.

  • fetchmail

    CVE-ID: CVE-2007-4565, CVE-2008-2711

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Множественные уязвимости в fetchmail 6.3.8

    Описание: Существует множество уязвимостей в fetchmail 6.3.8, наиболее серьезная из которых может привести к отказу в обслуживании. Данное обновление устраняет проблемы путем обновления до версии 6.3.9. Дополнительная информация доступна на веб-сайте fetchmail по адресу http://fetchmail.berlios.de/

  • Folder Manager

    CVE-ID: CVE-2009-0014

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Другие локальные пользователи могут получить доступ к папке «Загрузки»

    Описание: В Folder Manager существует проблема с разрешениями по умолчанию. Когда пользователь удаляет свою папку «Загрузки», а Folder Manager воссоздает ее, папка создается с правами на чтение для всех. Данное обновление устраняет проблему, ограничивая разрешения Folder Manager таким образом, чтобы папка была доступна только пользователю. Эта проблема затрагивает только приложения, использующие Folder Manager. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность Graham Perrin из CENTRIM, University of Brighton за сообщение об этой проблеме.

  • FSEvents

    CVE-ID: CVE-2009-0015

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Используя фреймворк FSEvents, локальный пользователь может видеть активность файловой системы, которая иначе была бы недоступна

    Описание: В fseventsd существует проблема управления учетными данными. Используя фреймворк FSEvents, локальный пользователь может видеть активность файловой системы, которая иначе была бы недоступна. Это включает имя каталога, которое пользователь иначе не смог бы увидеть, и обнаружение активности в каталоге в определенное время. Данное обновление устраняет проблему за счет улучшения проверки учетных данных в fseventsd. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность Mark Dalrymple за сообщение об этой проблеме.

    Network Time

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Конфигурация службы Network Time обновлена

    Описание: В качестве проактивной меры безопасности данное обновление изменяет конфигурацию по умолчанию для службы Network Time. Информация о системном времени и версии больше не будет доступна в конфигурации ntpd по умолчанию. В системах Mac OS X v10.4.11 новая конфигурация вступает в силу после перезагрузки системы при включенной службе Network Time.

  • perl

    CVE-ID: CVE-2008-1927

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Использование регулярных выражений, содержащих символы UTF-8, может привести к непредвиденному завершению работы приложения или выполнению произвольного кода

    Описание: Существует проблема повреждения памяти при обработке определенных символов UTF-8 в регулярных выражениях. Анализ вредоносных регулярных выражений может привести к непредвиденному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему путем выполнения дополнительной проверки регулярных выражений.

  • Printing

    CVE-ID: CVE-2009-0017

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Локальный пользователь может получить системные привилегии

    Описание: Существует проблема обработки ошибок в csregprinter, которая может привести к переполнению буфера кучи. Это может позволить локальному пользователю получить системные привилегии. Данное обновление устраняет проблему за счет улучшения обработки ошибок. Благодарность Lars Haulin за сообщение об этой проблеме.

  • python

    CVE-ID: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Множественные уязвимости в python

    Описание: Существует множество уязвимостей в python, наиболее серьезная из которых может привести к выполнению произвольного кода. Данное обновление устраняет проблемы путем применения патчей из проекта python.

  • Remote Apple Events

    CVE-ID: CVE-2009-0018

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Отправка Remote Apple events может привести к раскрытию конфиденциальной информации

    Описание: В сервере Remote Apple Events существует проблема с неинициализированным буфером, которая может привести к раскрытию содержимого памяти сетевым клиентам. Данное обновление устраняет проблему за счет корректной инициализации памяти. Благодарность: Apple.

  • Remote Apple Events

    CVE-ID: CVE-2009-0019

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Включение Remote Apple Events может привести к непредвиденному завершению работы приложения или раскрытию конфиденциальной информации

    Описание: В Remote Apple Events существует доступ за границы памяти. Включение Remote Apple Events может привести к непредвиденному завершению работы приложения или раскрытию конфиденциальной информации сетевым клиентам. Данное обновление устраняет проблему за счет улучшения проверки границ. Благодарность: Apple.

  • Safari RSS

    CVE-ID: CVE-2009-0137

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Доступ к вредоносной feed: URL может привести к выполнению произвольного кода

    Описание: В обработке feed: URL в Safari существует несколько проблем с валидацией ввода. Эти проблемы позволяют выполнять произвольный JavaScript в локальной зоне безопасности. Данное обновление устраняет проблемы за счет улучшения обработки встроенного JavaScript в feed: URL. Благодарность Clint Ruoho из Laconic Security, Billy Rios из Microsoft и Brian Mastenbrook за сообщение об этих проблемах.

  • servermgrd

    CVE-ID: CVE-2009-0138

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Удаленные злоумышленники могут получить доступ к Server Manager без действительных учетных данных

    Описание: Проблема в проверке учетных данных аутентификации Server Manager может позволить удаленному злоумышленнику изменить конфигурацию системы. Данное обновление устраняет проблему за счет дополнительной проверки учетных данных аутентификации. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность: Apple.

  • SMB

    CVE-ID: CVE-2009-0139

    Доступно для: Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Подключение к вредоносной файловой системе SMB может привести к непредвиденному завершению работы системы или выполнению произвольного кода с системными привилегиями

    Описание: Переполнение целочисленного типа в SMB File System может привести к переполнению буфера кучи. Подключение к вредоносной файловой системе SMB может привести к непредвиденному завершению работы системы или выполнению произвольного кода с системными привилегиями. Данное обновление устраняет проблему за счет улучшения проверки границ. Эта проблема не затрагивает системы до Mac OS X v10.5. Благодарность: Apple.

  • SMB

    CVE-ID: CVE-2009-0140

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Подключение к вредоносному SMB файловому серверу может привести к непредвиденному завершению работы системы

    Описание: Существует проблема исчерпания памяти при обработке имен файловых систем в SMB File System. Подключение к вредоносному SMB файловому серверу может привести к непредвиденному завершению работы системы. Данное обновление устраняет проблему путем ограничения объема памяти, выделяемой клиентом для имен файловых систем. Благодарность: Apple.

  • SquirrelMail

    CVE-ID: CVE-2008-2379, CVE-2008-3663

    Доступно для: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6

    Воздействие: Множественные уязвимости в SquirrelMail

    Описание: SquirrelMail обновлен до версии 1.4.17 для устранения нескольких уязвимостей, наиболее серьезная из которых — проблема межсайтового скриптинга. Дополнительная информация доступна на веб-сайте SquirrelMail по адресу http://www.SquirrelMail.org/

  • X11

    CVE-ID: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Множественные уязвимости в X11 server

    Описание: Существует множество уязвимостей в X11 server. Наиболее серьезные из них могут привести к выполнению произвольного кода с привилегиями пользователя, запускающего X11 server, если злоумышленник может аутентифицироваться в X11 server. Данное обновление устраняет проблемы путем применения обновленных патчей X.Org. Дополнительная информация доступна на веб-сайте X.Org по адресу http://www.x.org/wiki/Development/Security

  • X11

    CVE-ID: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Воздействие: Множественные уязвимости в FreeType v2.1.4

    Описание: Существует множество уязвимостей в FreeType v2.1.4, наиболее серьезная из которых может привести к выполнению произвольного кода при обработке вредоносного шрифта. Данное обновление устраняет проблемы путем включения исправлений безопасности из версии 2.3.6 FreeType. Дополнительная информация доступна на сайте FreeType по адресу http://www.freetype.org/ Проблемы уже устранены в системах под управлением Mac OS X v10.5.6.

  • X11

    CVE-ID: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Воздействие: Множественные уязвимости в LibX11

    Описание: Существует множество уязвимостей в LibX11, наиболее серьезная из которых может привести к выполнению произвольного кода при обработке вредоносного шрифта. Данное обновление устраняет проблемы путем применения обновленных патчей X.Org. Дополнительная информация доступна на веб-сайте X.Org по адресу http://www.x.org/wiki/Development/Security Эти проблемы не затрагивают системы под управлением Mac OS X v10.5 или новее.

  • XTerm

    CVE-ID: CVE-2009-0141

    Доступно для: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

    Воздействие: Локальный пользователь может отправлять информацию напрямую в Xterm другого пользователя

    Описание: В Xterm существует проблема с разрешениями. При использовании с luit, Xterm создает tty-устройства, доступные всем. Данное обновление устраняет проблему, ограничивая разрешения Xterm таким образом, чтобы tty-устройства были доступны только пользователю.