Apple heeft een nieuwe beveiligingsupdate voor Mac OS X 10.6 en 10.5 de deur uitgedaan met 2010-001 als de versieaanduiding. Hierin worden beveiligingslekken gedicht met betrekking tot CoreAudio, CUPS, Adobe Flash Player-plugin, ImageIO en OpenSSL. De Nederlandse aankondiging ziet er als volgt uit:
Overzicht:
In dit document wordt Security Update 2010-001 beschreven, die u kunt downloaden en installeren via de voorkeur Software-update of via Apple Downloads. Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging. Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Security Update 2010-001
CoreAudioCUPS
- CVE-ID: CVE-2010-0036
- Impact: het afspelen van een kwaadwillig vervaardigd mp4-audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code.
- Beschrijving: er treedt een heapbufferverloop op bij de verwerking van mp4-audiobestanden. Het afspelen van een kwaadwillig vervaardigd mp4-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Tobias Klein van trapkit.de voor het melden van dit probleem.
Flash Player-plugin
- CVE-ID: CVE-2009-3553
- Impact: een externe aanvaller kan een onverwachte beëindiging van cupsd veroorzaken.
- Beschrijving: er doet zich een "use-after-free"-probleem voor in cupsd. Door het verzenden van een kwaadwillig vervaardigd verzoek voor het ophalen van printertaken kan een aanvaller een externe serviceweigering veroorzaken. Dit wordt afgewend door de automatische herstart van cupsd na de beëindiging ervan. Dit probleem wordt verholpen door een verbeterde "connection use tracking".
ImageIO
- CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
- Impact: meerdere kwetsbaarheden in Adobe Flash Player-plugin.
- Beschrijving: er bestaan meerdere problemen in de Adobe Flash Player-plugin, waarvan het ernstigste kan leiden tot het uitvoeren van willekeurige code wanneer een bedrieglijke website wordt weergegeven. De problemen worden verholpen door de Flash Player-plugin bij te werken naar versie 10.0.42. Meer informatie is verkrijgbaar via de website van Adobe op http://www.adobe.com/support/security/bulletins/apsb09-19.html Met dank aan een anonieme medewerker en Damian Put actief bij TippingPoints Zero Day Initiative, Bing Liu van Fortinet's FortiGuard Global Security Research Team, Will Dormann van CERT, Manuel Caballero en Microsoft Vulnerability Research (MSVR).
RAW-afbeelding
- CVE-ID: CVE-2009-2285
- Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
- Beschrijving: er treedt een bufferonderloop op in de afhandeling van TIFF-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X v10.6.2.
OpenSSL
- CVE-ID: CVE-2010-0037
- Impact: het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
- Beschrijving: er treedt een bufferoverloop op in Image Raw's verwerking van DNG-afbeeldingen. Het bekijken van een kwaadwillig vervaardigde DNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem wordt verholpen door middel van verbeterde bounds checking. Met dank aan Jason Carr van Carnegie Mellon University Computing Services voor het melden van dit probleem.
- CVE-ID: CVE-2009-3555
- Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gegevens bemachtigen of de uitgevoerde bewerkingen in SSL-beschermde sessies wijzigen.
- Beschrijving: er bestaat een "man-in-the-middle"-kwetsbaarheid in de SSL- en TLS-protocollen. Verdere informatie is beschikbaar op http://www.phonefactor.com/sslgap Momenteel wordt binnen het IETF gewerkt aan een gewijzigd herbemiddelingsprotocol. Deze update schakelt herbemiddeling in OpenSSL uit als een preventieve veiligheidsmaatregel. Het probleem is niet van invloed op services die Secure Transport gebruiken omdat het geen herbemiddeling ondersteunt. Met dank aan Steve Dispensa en Marsh Ray van PhoneFactor, Inc. voor het melden van dit probleem.
:fill(white):strip_exif()/i/2000986561.jpeg?f=thumbmedium)
:fill(white):strip_exif()/i/1278423458.jpeg?f=thumbmedium)
:strip_icc():strip_exif()/u/96319/crop660584d0826a8_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/22118/GOT.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/2538/Kermit4.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/124259/locutus.jpg?f=community){kind=small}
/u/151149/crop5fde11d32f663_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/299039/dv3.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/49694/64x64.jpg?f=community){kind=small}
/u/155722/Looneytunes.png?f=community){kind=small}
:strip_icc():strip_exif()/u/21248/crop5920a26115232_cropped.jpeg?f=community){kind=small}
/u/30891/crop6139bdd81fbdd_cropped.png?f=community){kind=small}
