關於安全性更新 2010-001
本文說明安全性更新 2010-001,可透過「軟體更新」偏好設定,或是從 Apple「下載項目」下載並安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱「Apple 安全性更新」。
安全性更新 2010-001
CoreAudio
CVE-ID:CVE-2010-0036
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2
影響:播放惡意製作的 MP4 音訊檔案可能導致應用程式意外終止或執行任意程式碼
說明:處理 MP4 音訊檔案時有緩衝區溢位問題。播放惡意製作的 MP4 音訊檔案可能會導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後,已解決問題。感謝 trapkit.de 的 Tobias Klein 回報此問題。
CUPS
CVE-ID:CVE-2009-3553
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2
影響:遠端攻擊者可能導致 cupsd 應用程式意外終止
說明:cupsd 有使用已釋放記憶體問題。攻擊者可能會提出惡意製作的取得印表機作業要求,導致遠端阻斷服務。藉由終止 cupsd 後自動重新啟動,已緩解此問題的影響。改進連線使用追蹤後,已解決問題。
Flash Player plug-in
CVE-ID:CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2
影響:Adobe Flash Player 外掛模組有多個漏洞
說明:Adobe Flash Player 外掛模組有多個漏洞,最嚴重者可能導致在檢視惡意製作的網站時執行任意程式碼。將 Flash Player 外掛模組更新至 10.0.42 後,已解決問題。如需詳細資訊,請造訪 Adobe 網站 https://www.adobe.com/support/security/bulletins/apsb09-19.html。感謝匿名研究員和 Damian Put(與 TippingPoints Zero Day Initiative 合作)、Fortinet's FortiGuard Global Security Research Team 的 Bing Liu、CERT 的 Will Dormann、Manuel Caballero 和 Microsoft Vulnerability Research(MSVR)。
ImageIO
CVE-ID:CVE-2009-2285
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8
影響:檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼
說明:ImageIO 處理 TIFF 影像時有緩衝區溢位問題。檢視惡意製作的 TIFF 影像可能導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後,已解決問題。針對 Mac OS X v10.6 系統,已在 Mac OS X v10.6.2 中解決問題。
Image RAW
CVE-ID:CVE-2010-0037
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2
影響:檢視惡意製作的 DNG 影像可能導致應用程式意外終止或執行任意程式碼
說明:Image RAW 處理 DNG 影像時有緩衝區溢位問題。檢視惡意製作的 DNG 影像可能導致應用程式意外終止或執行任意程式碼。改進界限檢查機制後,已解決問題。感謝 Carnegie Mellon University Computing Services 的 Jason Carr 回報此問題。
OpenSSL
CVE-ID:CVE-2009-3555
適用於:Mac OS X v10.5.8、Mac OS X Server v10.5.8、Mac OS X v10.6.2、Mac OS X Server v10.6.2
影響:具有網路特殊權限的攻擊者可能會擷取資料或變更採用 SSL 保護機制工作階段中執行的運作
說明:SSL 和 TLS 通訊協定中有攔截式漏洞。如需詳細資訊,請造訪 https://www.phonefactor.com/sslgap。IETF 內部正在進行重新協議通訊協定的異動。這項更新會停用 OpenSSL 的重新協議,作為預防性安全措施。此問題不會影響使用安全傳輸的服務,因為該通訊協定不支援重新協議。感謝 PhoneFactor, Inc. 的 Steve Dispensa 和 Marsh Ray 回報此問題。
重要事項:本文提及的第三方網站與產品資訊僅供參考之用,且不構成背書或建議。對於第三方網站或產品的選擇、效能或使用,Apple 不負任何責任。前述內容僅為方便 Apple 使用者而提供。Apple 尚未測試這些網站上的資訊,對其準確性或可靠性未為任何聲明。使用網際網路上找到的任何資訊或產品有其風險,Apple 不負任何責任。請了解第三方網站與 Apple 各自獨立,Apple 對於該網站的內容不具有控制權。如需其他資訊,請聯絡廠商。