ThaiCERT : Advisories & Alerts : CERT : CA-2006-37

Home >> Advisories & Alerts << Security Bulletins || เอกสารเผยแพร่ || เครื่องมือ || บริการ || FAQ. || เกี่ยวกับ ThaiCERT

Advisories & Alerts
CERT Advisory
Alert

CERT Advisory CA-2006-37 (Technical Cyber Security Alert TA06-333A)
Apple Releases Security Update to Address Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA06-333A.html
เรียบเรียงโดย: ภัทราวดี เหมทานนท์ และพุธ นาฑีสุวรรณ

ระบบที่ได้รับผลกระทบ

Apple Mac OS X version 10.3.x and 10.4.x
Apple Mac OS X Server version 10.3.x and 10.4.x
Apple Safari web browser

ช่องโหว่ต่างๆ ที่พบส่งผลกับระบบปฏิบัติการ Apple ทั้งบนซีพียู Intel และ PowerPC

กล่าวโดยทั่วไป

Apple ประกาศ Security Update 2006-007 เพื่อแก้ไขหลายช่องโหว่ที่ส่งผลต่อ Mac OS X, Mac OS X Server และ Safari web browser ช่องโหว่เหล่านี้ส่งผลให้ผู้บุกรุกสามารถสั่งรันโปรแกรมจากระยะไกลโดยที่ไม่ต้องพิสูจน์ตัวตน รวมทั้งหลีกเลี่ยงการจำกัดสิทธิเพื่อความปลอดภัย และทำให้ระบบไม่สามารถให้บริการได้

I. คำอธิบาย

Apple ออกโปรแกรมปรับปรุงช่องโหว่ Security Update 2006-007 เพื่อแก้ปัญหาช่องโหว่ที่มีผลกระทบกับระบบปฏิบัติการ Mac OS X, OS X Server, Safari web browser และ ผลิตภัณฑ์อื่นของ Apple สามารถอ่านรายละเอียดเพิ่มเติมของช่องโหว่ได้จาก Vulnerability Notes

การปรับปรุงช่องโหว่ในครั้งนี้มีขอบเขตที่เกี่ยวข้องกับช่องโหว่ที่เกิดขึ้นกับ PHP, Perl, OpenSSL และ gzip ซึ่งถูกติดตั้งมากับ Mac OS X โดยช่องโหว่ของ OpenSSL ถูกอธิบายเพิ่มเติมที่ Vulnerability Notes รวมทั้งที่หน้าช่องโหว่ของ OpenSSL ด้วย และช่องโหว่ของ gzip ได้ถูกอธิบายเพิ่มเติมไว้ในชุดของ Vulnerability Notes แล้วเช่นกัน

II. ผลกระทบ

ข้อมูลที่เกี่ยวข้องกับผลกระทบสามารถศึกษาเพิ่มเติมได้จาก Vulnerability Notes ผลต่อเนื่องจากช่องโหว่ทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล ทำให้ไม่สามารถใช้ระบบการจัดการความปลอดภัยภายในโปรแกรมและอาจจะส่งผลให้โปรแกรมหยุดทำงาน

III วิธีแก้ไข

ติดตั้งโปรแกรมอุดช่องโหว่

ติดตั้งโปรแกรมอุดช่องโหว่ได้จาก Security Update 2006-007 สำหรับการปรับปรุงช่องโหว่อื่นของหาได้จาก Apple Update หรือ Apple Downloads

Appendix A. References

Vulnerability Notes for Apple Security Update 2006-007 - <http://www.kb.cert.org/vuls/byid?searchview&query=apple-2006-007>
Vulnerability Notes for OpenSSL Security Advisory [28th September 2006] - <http://www.kb.cert.org/vuls/byid?searchview&query=openssl_secadv_20060928>
Vulnerability Note VU#845620 - <http://www.kb.cert.org/vuls/id/845620>
Vulnerability Note VU#933712 - <http://www.kb.cert.org/vuls/id/933712>
Vulnerability Note VU#381508 - <http://www.kb.cert.org/vuls/id/381508>
Vulnerability Note VU#554780 - <http://www.kb.cert.org/vuls/id/554780>
Vulnerability Note VU#596848 - <http://www.kb.cert.org/vuls/id/596848>
Vulnerability Note VU#773548 - <http://www.kb.cert.org/vuls/id/773548>
About the security content of Security Update 2006-007 - <http://docs.info.apple.com/article.html?artnum=304829>
Mac OS X: Updating your software - <http://docs.info.apple.com/article.html?artnum=106704>
Apple Downloads - <http://www.apple.com/support/downloads/>
OpenSSL: OpenSSL vulnerabilities - <http://www.openssl.org/news/vulnerabilities.html>
Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/#Safari>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์