Bezpečnostní aktualizace 2007-002

Bezpečnostní aktualizace 2007-002

Během února se přišlo na několik závažných chyb, které má Apple v Mac OS X. Nová aktualizace systému by je měla řešit, zlí jazykové tvrdí, že by měla řešit většinu z nich. V podstatě mají pravdu, protože na stránkách Month of Apple Bugs je chyb popsáno více. Na druhou stranu, aby společnost reagovala do 1. měsíce od popsání chyby svědčí o tom, že jí opravdu záleží na bezpečnosti produktu. Inženýři Microsoftu se pak budou muset trápit více nad Vistami, než nabouráváním Mac OS.:-)

  • Finder
    • CVE-ID: CVE-2007-0197
    • Ovlivňuje: Mac OS X 10.4.8, Mac OS X Server 10.4.8
    • Důsledky: Připojení upraveného diskového obrazu může vést k pádu aplikace nebo ke spuštění nežádoucího kódu.
    • Popis: Ve Finderu byla chyba přetečení bufferu při zpracování jmen disků. Přinucením uživatele připojit speciálně upravený obraz disku pak vede k pádu aplikace nebo ke spuštění nežádoucího kódu. Důkaz této chyby byl publikován na stránkách Month of Apple Bugs (MOAB-09-01-2007). Aktualizace opravuje chybu přidáním další kontroly obrazů disků. Problémy neovlivňuje systémy starší verze než 10.4. Chybu nahlásil Kevin Finisterre z DigitalMunition.
  • iChat
    • CVE-ID: CVE-2007-0614, CVE-2007-0710
    • Ovlivňuje: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8
    • Důsledky: Útočník z lokální sítě může způsobit pád iChatu.
    • Popis: Chybně zpracovaná proměnná v iChat Bonjour umožňuje útočníkovi na lokální síti pád aplikace. Důkaz této chyby byl publikován na stránkách Month of Apple Bugs (MOAB-29-01-2007). Podobný problém existuje v Mac OS X 10.3. Aktualizace řeší problém přidáním kontroly Bonjour zpráv.
  • iChat
    • CVE-ID: CVE-2007-0021
    • Ovlivňuje: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8
    • Důsledky: Návštěva upravené www stránky může vést k pádu aplikace nebo spuštění nežádoucího kódu.
    • Popis: Ve zpracování iChat AIM URL textového řetězce existuje chyba. Návštěvou upraveného URL může útočník spustit chybu přetečení bufferu a to může vést k pádu aplikace nebo spuštění nežádoucího kódu. Důkaz této chyby byl publikován na stránkách Month of Apple Bugs (MOAB-20-01-2007). Chyba byla opravena přidáním další kontroly AIM URL.
  • UserNotification
    • CVE-ID: CVE-2007-0023
    • Ovlivňuje: Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.8, Mac OS X Server 10.4.8
    • Důsledky: Lokální uživatel může získat administrátorský přístup.
    • Popis: Proces UserNotificationCenter funguje se zvýšenými právy v kontextu lokálního uživatele. To může dovolit lokálnímu uživateli možnost přepisovat nebo modifikovat systémové soubory. Program, který dokazuje tento problém byl publikován na stránkách Month of Apple Bugs (MOAB-22-01-2007). Aktualizace řeší problém upoštěním skupinových práv procesu UserNotificationCenter ihned po jeho spuštění.
Poslat Bezpečnostní aktualizace 2007-002 na facebook
Publikováno 30.11.2006
 
Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License