Bezpečnostní aktualizace 2011-001

Bezpečnostní aktualizace 2011-001

Součástí aktualizace Mac OS X 10.6.7 je také bezpečnostní aktualizace, která řeší řadu potencionálních problémů s AirPortem, ATS, bzip2, CarbonCore, CoreText, HFS, ImageIO,QuickLookem, QuickTimem a dalšími. Mimo jiné přidává rozpoznávání spyware OSX.OpinionSpy.

Je smutné, že tento v červnu minulého roku objevený (Na Macovi, ve Windows již řádí od roku 2008) a zdokumentovaný spyware se dostal mezi definice až nyní. Tento spyware se snaží přesvědčit uživatele, aby mu svěřili administrativní heslo s dialogovým oknem, které tvrdí že jedná o "marketingový výzkum! a software bude sbírat informace o prohlížených stránkách a nákupech. OSX/OpinionSpy pak instaluje proces s názvem PremierOpinion, který běží jako root. Spyware pak otevírá zadní vrátka přes protokol HTTP na portu 8254 a skenuje dostupné disky, vkládá kód do Safari, Firefoxu a iChatu v paměti (nemění kód na disku) a posílá pravidelně data na různé servery.

Ale vraťme se k bezpečnostním opravám v této aktualizaci:

AirPort

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Při připojení na Wi-Fi, útočník na stejné síti může způsobit reset systému
  • Popis: Při zpracování Wi-FI dat se dělí nulou. Při přijení k Wi-Fi, útočník na stejné síti může využít chybu k restartu systému. Problém se neobjevuje před Mac OS X 10.6.
  • CVE-ID: CVE-2011-0172

Apache

  • Pro: Mac OS X Server i Klient 10.5.8 až 10.6.6
  • Dopad: Více chyb v Apachi 2.2.15
  • Popis: Apache byl aktualizován na verzi 2.2.17, aby se vyřešila řada bezpečnostních chyb, z nichž nejvážnější umožňovala odmítnutí služby. Další informace jsou k dispozici na stránkách projektu http://httpd.apache.org/
  • CVE-ID: CVE-2010-1452, CVE-2010-2068

AppleScript

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Spuštěním aplikace z AppleScript Studia může dovolit vložit nedůvěryhodná data do dialogu, což pak vede k pádu aplikace či spuštění nežádoucího kódu
  • Popis: Generický příkaz dialog ("display dialog" a "display alert") obsahuje chybu při formátování řetězců. Díky tomu aplikace může přijmout nedůvěryhodná data a to pak může způsobit pád aplikace či spuštění nežádoucího kódu.
  • CVE-ID: CVE-2011-0173
  • Kredit: Alexander Strange

ATS

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Zobrazením nebo stažením dokumentu obsahujícím upravené vkládané písmo může vést ke spuštění nežádoucího kódu.
  • Popis: Chyba přetečení bufferu při práci s OpenType písmy může způsobit spuštění nežádoucího kódu. K tomu postačuje zobrazení nebo stáhnutí dokumentu, který obsahuje vložené OpenType písmo.
  • CVE-ID: CVE-2011-0174

ATS

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Zobrazením nebo stažením dokumentu obsahujícím upravené vkládané písmo může vést ke spuštění nežádoucího kódu.
  • Popis: Více chyb přetečení bufferu při práci s OpenType písmy může způsobit spuštění nežádoucího kódu. K tomu postačuje zobrazení nebo stáhnutí dokumentu, který obsahuje vložené OpenType písmo.
  • CVE-ID: CVE-2011-0175
  • Kredit: Chrisoph Diehl z Mozilly, Felix Grobert z Google Security Teamu, March Schoenefeld z Red Hat Security Response Teamu, Tavis Ormandy a Will Drewry z Google Security Teamu.

ATS

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Zobrazením nebo stažením dokumentu obsahujícím upravené vkládané písmo může vést ke spuštění nežádoucího kódu.
  • Popis: Více chyb přetečení bufferu při práci s OpenType písmy může způsobit spuštění nežádoucího kódu. K tomu postačuje zobrazení nebo stáhnutí dokumentu, který obsahuje vložené OpenType písmo.
  • CVE-ID: CVE-2011-0176
  • Kredit: Felix Grobert z Google Security Teamu, geekable pracující pro TippingPoint's Zero Day

ATS

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Zobrazením nebo stažením dokumentu obsahujícím upravené vkládané písmo může vést ke spuštění nežádoucího kódu.
  • Popis: Více chyb přetečení bufferu při práci s SFNT tabulkami  může způsobit spuštění nežádoucího kódu. K tomu postačuje zobrazení nebo stáhnutí dokumentu, který obsahuje vložené OpenType písmo.
  • CVE-ID: CVE-2011-0177
  • Kredit: Marc Schoenefeld z Red Hat Security Response Teamu

bzip2

  • Pro: Mac OS X Server i Klient 10.5.8 až 10.6.6
  • Dopad: Použití příkazů bzip2 a bunzip2 pro dekompresi bzip2 souborů může vyústit v pád aplikace a spuštění nežádoucího kódu
  • Popis: Chyba přetečení integeru při práci s bzip2 soubor. Při použití příkazů bzip2 nebo bunzip2 pro dekompresi souborů může vyústit v pád aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2010-0405

CarbonCore

  • Pro: Mac OS X Server i Klient 10.6 až 10.6.6
  • Dopad: Aplikace které používají FSFindFolder() s příznakem kTemporaryFolder mohou být náchylné k prozrazení informací
  • Popis: Pokud je použit u volání FSFindFolder() příznak kTemporaryFolder, API vrací složku, která je čitelná pro všechny. Problém je opraven tím, že nyní vrací složku, která je čitelná pouze uživatelem běžícího procesu.
  • CVE-ID: CVE-2011-0178

ClamAV

  • Pro: Mac OS X Server 10.5.8 až 10.6.6
  • Dopad: Více chyb v ClamAV
  • Popis: ClamAV obsahuje řadu bezpečnostních chyb z nichž nejvážnější vede ke spuštění nežádoucího kódu. Aktualizace řeší problém upgradem ClamAV na verzi 0.96.5. ClamAV je dodáván pouze s Mac OS X Serverem. Další informace jsou k dispozici na stránkách ClamAV
  • CVE-ID: CVE-2010-0405,CVE-2010-3434,CVE-2010-4260,CVE-2010-4261,CVE-2010-4479

CoreText

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení nebo stažení souborů obsahujícího vložené písmo může vést ke spuštění nežádoucího kódu
  • Popis: Při práci se soubory písem dochází v knihovně CoreText k poškození paměti. Zobrazení nebo stažení dokumentu obsahujícího upravené písmo tak může spustit nežádoucí kód.
  • CVE-ID: CVE-2011-0179
  • Kredit: Christoph Diehl z Mozilly

File Quarantine

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Přidána definice
  • Popis: Přidána definice pro spyware OSX.OpinionSpy, takže interní antivirus kontroluje tento spyware, viz výše.

HFS

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Lokální uživatel může číst soubory z HFS, HFS+ a HFS+J souborových systémů
  • Popis: v rutině F_READBOOTSTRAP ioctl je chyba umožňující přetečení integeru. Díky tomu může lokální uživatel číst soubory z HFS, HFS+ a HFS+J souborových systémů, ke kterým by se jinak nedostal.
  • CVE-ID: CVE-2011-0180
  • Kredit: Dan Rosenberg z Virtual Security Research

ImageIO

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Zobrazení upravené www stránky umožní pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s JPEG obrázky může dojít k přetečení bufferu. Navštívení upravené www stránky tak může způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2011-0170
  • Kredit: Andrzej Dyjak pracující s iDefense VCP

ImageIO

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku XBM můžete způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s XBM obrázky může dojít v knihovně ImageIO k přetečení bufferu. Zobrazením upraveného XBM obrázku tak můžete způsobit pád aplikace nebo spustit nežádoucí kód.
  • CVE-ID: CVE-2011-0181
  • Kredit: Harry Sintonen

ImageIO

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku TIFF můžete způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s TIFF obrázky může dojít v knihovně libTIFF k přetečení bufferu. Zobrazením upraveného XBM obrázku tak můžete způsobit pád aplikace nebo spustit nežádoucí kód.
  • CVE-ID: CVE-2011-0191
  • Kredit: Apple

ImageIO

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku TIFF můžete způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s TIFF obrázky může dojít v knihovně libTIFF k přetečení bufferu. Zobrazením upraveného XBM obrázku tak můžete způsobit pád aplikace nebo spustit nežádoucí kód.
  • CVE-ID: CVE-2011-0192
  • Kredit: Apple

ImageIO

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku TIFF s JPEG kompresí můžete způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Při práci s TIFF obrázky v kompresi JPEG může dojít v knihovně ImageIO k přetečení integeru. Zobrazením upraveného XBM obrázku tak můžete způsobit pád aplikace nebo spustit nežádoucí kód. Problém se neobjevuje u systémů před Mac OS X 10.6.
  • CVE-ID: CVE-2011-0194
  • Kredit: Dominic Chell z NGS Secure

Image RAW

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku v Canon RAW formátu může dojít k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Více chyb přetečení bufferu v Image RAW pracujícím s Canon RAW obrázky. Zobrazením upraveného souboru pak může ukončit aplikaci nebo spustit nežádoucí kód.
  • CVE-ID: CVE-2011-0193
  • Kredit: Paul Harrington z NGS Secure

Installer

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Navštívení upravené www stránky může vést k instalaci agenta, který kontaktuje server při přihlášení a může zmást uživatele, který si myslí že má spojení s Apple.
  • Popis: Při práci s URL v instalaci nápovědy může vést k tomu, že agent kontaktuje cizí server při přihlašování uživatele. Výsledný dialog může zmást uživatele, že spojení bylo se servery Apple. Problém byl vyřešen odstraněním Install Helperu.
  • CVE-ID: CVE-2011-0190
  • Kredit: Aaron Sigel z vtty.com

Kernel

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Lokální uživatel může spustit kód se systémovými právy
  • Popis: V systémovém volání i386_set_ldt se chybně kontrolují práva. Lokální uživatel tak může spustit kód se systémovými právy. Problém je vyřešen zákazem využívání volání gate pomocí i386_set_ldt().
  • CVE-ID: CVE-2010-0182
  • Kredit: Jeff Mears

Libinfo

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Vzdálený útočník může způsobit odmítnutí služby na serveru který exportuje NFS souborový systém
  • Popis: Při práci s NFS RPC pakety dochází k chybě způsobující ořezání integeru. Vzdálený útočník tak může způsobit, že NFS RPC služby jako lockd, statd, mountd a portmap přestanou odpovídat
  • CVE-ID: CVE-2010-0183
  • Kredit: Peter Schwenk z University of Delaware

Libxml

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Navštívení upravené www stránky může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Knihovna libxml poškozuje paměť při práci s XPATH. Navštívením upravené www stránky tak vede k pádu aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2010-4008
  • Kredit: Bui Quang Minh z Bkis (www.bkis.com)

Libxml

  • Pro: Mac OS X Server 10.6 až 10.6.6
  • Dopad: Navštívení upravené www stránky může vést k pádu aplikace nebo spuštění nežádoucího kódu
  • Popis: Knihovna libxml poškozuje paměť při práci s XPATH výrazy. Navštívením upravené www stránky tak vede k pádu aplikace nebo spuštění nežádoucího kódu. Problém se neobjevuje u starších systémů.
  • CVE-ID: CVE-2010-4494
  • Kredit: Yang Dingning z NCNIPC, Graduate University of Chinese Academy of Sciences

Mailman

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Více chyb v Mailman 2.1.13
  • Popis: Více cross-site scripting chyb v Mailman 2.1.13. Problém je vyřešen aktualizací Mailmanu na verzi 2.1.14. Další informace jsou k dispozici na domovských stránkách projektu Mailman: http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html
  • CVE-ID: CVE-2010-3089

PHP

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Více chyb v PHP 5.3.3
  • Popis: PHP bylo aktualizováno na verzi 5.3.4, která řeší řadu bezpečnostních chyb, nejvážnější vedla ke spuštění nežádoucího kódu. Další informace jsou k dispozici na stránkách PHP projektu http://www.php.net/
  • CVE-ID: CVE-2006-7243, CVE-2010-2950, CVE-2010-3709, CVE-2010-3710, CVE-2010-3870, CVE-2010-4150, CVE-2010-4409

PHP

  • Pro: Mac OS X Server a klient 10.5.8
  • Dopad: Více chyb v PHP 5.2.14
  • Popis: PHP bylo aktualizováno na verzi 5.2.15, která řeší řadu bezpečnostních chyb, nejvážnější vedla ke spuštění nežádoucího kódu. Další informace jsou k dispozici na stránkách PHP projektu http://www.php.net/
  • CVE-ID: CVE-2010-3436, CVE-2010-3709, CVE-2010-4150

QuickLook

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Stažením upraveného souboru pro MS Office můžete způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: QuickLook při práci s dokumenty Excelu poškozuje paměť. Stažením upraveného Excel souboru tak můžete způsobit pád aplikace nebo spuštění nežádoucího kódu. Problém se neobjevuje před Mac OS X 10.6.
  • CVE-ID: CVE-2011-0184
  • Kredit: Tobias Klein pracující pro Verisign iDefense Labs

QuickLook

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Stažením upraveného souboru pro MS Office můžete způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: QuickLook při práci s dokumenty pro MS Office poškozuje paměť. Stažením upraveného Excel souboru tak můžete způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2011-1417
  • Kredit: Charlie Miller a Dion Blazakis, pracující s TippingPoint's Zero Day Initiative

QuickTime

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upraveného obrázku ve formátu JPEG2000 může způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: Více chyb způsobující poškození pamětí vznikalo při práci QuickTimu s JPEG2000 obrázky. Zobrazením upraveného obrázku pomocí QuickTimu pak mohlo vést k pádu aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2011-0186
  • Kredit: Will Dormann z CERT/CC

QuickTime

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upraveného filmu může způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: Chyba přetečení integru při práci QuickTimu s filmovými soubory může způsobit při jejich zobrazení pád aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2010-4009
  • Kredit: Honggang Ren z Fortinet's FortiGuard Labs

QuickTime

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upraveného FlashPix obrázku může způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: Chyba poškození paměti při práci QuickTimu s FlashPix formátem, může způsobit při jejich zobrazení pád aplikace nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2010-3801
  • Kredit: Damian Put pracující s TippingPoint's Zero Day Initiative,  Rodrigo Rubira Branco z Check Point Vulnerability Discovery Team

QuickTime

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Zobrazení upravenéhoQTVR filmu může způsobit pád aplikace nebo spuštění nežádoucího kódu.
  • Popis: Chyba poškození paměti při práci QuickTimu s QTVR formátem, může způsobit při jejich zobrazení pád aplikace nebo spuštění nežádoucího kódu. U Mac OS X 10.5 byl problém vyřešen v QuickTime 7.6.9.
  • CVE-ID: CVE-2010-3802
  • Kredit: anonymní výzkumník pracující s TippingPoint's Zero Day Initiative

Ruby

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Spuštením Ruby skriptu, který používá nedůvěryhodný vstup pro vytvoření BigDecimal objektu může způsobit pád aplikace nebo spuštění nežádoucího kódu
  • Popis: Problém s ořezáním integeru v třídě BigDecimal v Ruby. Spuštěním skriptu v Ruby, který tuto třídu používá tak může zpsůobit pár aplikace nebo spuštění nežádoucího kódu. Problém se týká pouze 64-bitových procesů Ruby.
  • CVE-ID: CVE-2010-1888
  • Kredit: Apple

Samba

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Pokud je povoleno sdílení souborů přes SMB, vzdálený útočník může způsobit odmítnutí služby nebo spuštění nežádoucího kódu
  • Popis: Chyba přetečení bufferu při práci s WIndows Security ID může způsobit odmítnutí služby nebo spuštění nežádoucího kódu.
  • CVE-ID: CVE-2010-3069

Subversion

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Servery Subversion, které používají !SVPNPathAutz short_circuit" mod_dav_svn konfiguraci mohou dovolit neautorizovaným uživatelům přístup k části obsahu.
  • Popis: Servery Subversion, které používají !SVPNPathAutz short_circuit" mod_dav_svn konfiguraci mohou dovolit neautorizovaným uživatelům přístup k části obsahu. Chyba je vyřešena aktualizací Subversion na verzi 1.6.13. Problém se neobjevuje na systémech před Mac OS X 10.6
  • CVE-ID: CVE-2010-3315

Terminal

  • Pro: Mac OS X Server a klient 10.6 až 10.6.6
  • Dopad: Pokud je použito ssh v dialogu "New Remote Connection", SSH verze 1 je označeno jako základní verze protokolu
  • Popis: Pokud je použito ssh v dialogu "New Remote Connection", SSH verze 1 je označeno jako základní verze protokolu. Problém je vyřešen změnou základní verze na "Automatic". Problém se neobjevuje před Mac OS X 10.6.
  • CVE-ID: CVE-2011-0189
  • Kredit: Matt Warren of HNW Inc.

X11

  • Pro: Mac OS X Server a klient 10.5.8 až 10.6.6
  • Dopad: Více chyb ve freetype knihovně
  • Popis: Více chyb ve FreeType knihovně, nejvážnější umožňuje spustit nežádoucí kód při zpracování upraveného písma. Tento problém je vyřešen aktualizací FreeType knihovny na verzi 2.4.3. Další informace jskou k dispozici na stránkách FreeType projektu: http://www.freetype.org/
  • CVE-ID: CVE-2010-3814, CVE-2010-3855
  • Kredit: Matt Warren of HNW Inc.
Poslat Bezpečnostní aktualizace 2011-001 na facebook
Publikováno 23.3.2011
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License