Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med supportoverførsler.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".
Mac OS X v10.6.8 og sikkerhedsopdatering 2011-004
AirPort
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Effekt: Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis få systemet til at blive nulstillet
Beskrivelse: Der var et problem med overskredet hukommelse i håndteringen af Wi-Fi-rammer. Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis få systemet til at blive nulstillet. Problemet berører ikke Mac OS X v10.6
CVE-id
CVE-2011-0196
App Store
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Adgangskoden til brugerens Apple-id kan blive arkiveret i et lokalt arkiv
Beskrivelse: Under visse omstændigheder arkiverer App Store brugerens Apple-id-adgangskode i et arkiv, der ikke kan læses af andre brugere af computeren. Problemet løses ved forbedret håndtering af legitimationsoplysninger.
CVE-id
CVE-2011-0197: Paul Nelson
ATS
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i heap i håndteringen af TrueType-skrifter. Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan muliggøre kørsel af vilkårlig kode.
CVE-id
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld fra Red Hat Security Response Team
Politik for certifikatgodkendelse
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger
Beskrivelse: Der var et fejlhåndteringsproblem i politik for certifikatgodkendelse. Hvis et EV-certifikat (Extended Validation) ikke har en OCSP URL, og CRL-kontrol er slået til, kontrolleres CRL ikke, og et tilbagekaldt certifikat godkendes muligvis som gyldigt. Problemet optræder kun i begrænset omfang, da de fleste EV-certifikater indeholder angivelse af en OCSP URL.
CVE-id
CVE-2011-0199: Chris Hawk og Wan-Teh Chang fra Google
ColorSync
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Effekt: Visning af et skadeligt billede med integreret ColorSync-profil kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af billeder med integreret ColorSync-profil, som kan medføre bufferoverløb i heap. Åbning af et skadeligt billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0200: binaryproof, som arbejder for TippingPoints Zero Day Initiative
CoreFoundation
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Programmer, der bruger CoreFoundation-framework, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med off-by-one-bufferoverløb i håndteringen af CFStrings. Programmer, der bruger CoreFoundation-framework, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0201: Harry Sintonen
CoreGraphics
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af type 1-skrifter. Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan muliggøre kørsel af vilkårlig kode.
CVE-id
CVE-2011-0202: Cristian Draghici fra Modulo Consulting, Felix Grobert fra Google Security Team
FTP-server
Fås til: Mac OS X Server v10.6 til v10.6.7
Effekt: En person med FTP-adgang kan muligvis oprette en liste over arkiverne på systemet
Beskrivelse: Der var et problem med stigodkendelse i xftpd. En bruger med FTP-adgang kan muligvis udføre rekursiv oprettelse af biblioteksliste med start i roden, herunder for biblioteker, der ikke deles via FTP. Listen kan indeholde alle arkiver, som FTP-brugeren ville kunne få adgang til. Indholdet af arkiverne vises ikke. Dette problem løses ved forbedret stigodkendelse. Dette problem påvirker kun Mac OS X Server-systemer.
CVE-id
CVE-2011-0203: team karlkani
ImageIO
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i heap i ImageIO's håndtering af TIFF-billeder. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0204: Dominic Chell fra NGS Secure
ImageIO
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i heap i ImageIO's behandling af JPEG2000-billeder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.
CVE-id
CVE-2011-0205: Harry Sintonen
Internationale komponenter til Unicode
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Programmer, der bruger ICU, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem i ICU's håndtering af strenge med store bogstaver. Programmer, der bruger ICU, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0206: David Bienvenu fra Mozilla
Kernel
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: En lokal bruger kan muligvis udløse nulstilling af systemet
Beskrivelse: Der var et problem med null pointer-dereference i håndteringen af IPv6-socketindstillingerne. En lokal bruger kan muligvis udløse nulstilling af systemet.
CVE-id
CVE-2011-1132: Thomas Clement fra Intego
Libsystem
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Programmer, der bruger glob(3)-API, kan være sårbare over for DoS-angreb
Beskrivelse: Programmer, der bruger glob(3)-API, kan være sårbare over for DoS-angreb Hvis glob-strukturen kommer fra input, der ikke er tillid til, kan programmet hænge eller trække store CPU-ressourcer. Problemet løses gennem forbedret godkendelse af PIM-pakker.
CVE-id
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Besøg på et skadeligt udformet websted kan medføre afsløring af adresser på heapbufferen
Beskrivelse: libxslt's implementering af generate-id() XPath-funktionen har afsløret adressen på en heapbuffer. Besøg på et skadeligt websted kan medføre videregivelse af adresser på heap. Dette problem løses ved at generere et id baseret på forskellen på de to heapbufferes adresser.
CVE-id
CVE-2011-0195: Chris Evans fra Google Chrome Security Team
MobileMe
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: En hacker med priviligeret netværksposition kan muligvis læse brugerens MobileMe-e-mailhenvisninger
Beskrivelse: Ved kommunikation med MobileMe for at fastlægge brugernes e-mailhenvisninger foretager Mail anmodninger via HTTP. Derfor kan en hacker med priviligeret netværksposition muligvis læse brugerens MobileMe-e-mailhenvisninger. Problemet løses ved at bruge SSL til at få adgang til brugerens e-mailhenvisninger.
CVE-id
CVE-2011-0207: Aaron Sigel fra vtty.com
MySQL
Fås til: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7
Effekt: Flere sikkerhedshuller i MySQL 5.0.91
Beskrivelse: MySQL opdateres til version 5.0.92 for at fjerne flere sikkerhedsrisici, hvoraf den alvorligste kan muliggøre kørsel af vilkårlig kode. MySQL fås kun til systemer med Mac OS X Server.
CVE-id
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Flere sikkerhedshuller i OpenSSL
Beskrivelse: OpenSSL indeholdt flere sikkerhedsrisici, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Problemerne løses ved at opdatere OpenSSL til version 0.9.8r.
CVE-id
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
patch
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Kørsel af en sikkerhedsrettelse med et skadeligt rettelsesarkiv kan medføre, at der oprettes eller overskrives vilkårlige arkiver
Beskrivelse: Der var et problem med afsløring af mappeoplysninger i GNU-patchen. Kørsel af en sikkerhedsrettelse med et skadeligt rettelsesarkiv kan medføre, at der oprettes eller overskrives vilkårlige arkiver. Dette problem løses ved forbedret godkendelse af patch-arkiver.
CVE-id
CVE-2010-4651
QuickLook
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.6.
CVE-id
CVE-2011-0208: Tobias Klein, som arbejder for iDefense VCP
QuickTime
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt WAV-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Der opstod et heltalsoverløb under håndteringen af RIFF WAV-arkiver i QuickTime. Visning af et skadeligt WAV-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode.
CVE-id
CVE-2011-0209: Luigi Auriemma, som arbejder for TippingPoint's Zero Day Initiative
QuickTime
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var en hukommelsesfejl i forbindelse med behandlingen af eksempeltabeller i QuickTime-filmarkiver i QuickTime. Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0210: Honggang Ren fra Fortinets FortiGuard Labs
QuickTime
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et heltalsoverløb under håndteringen af filmarkiver i QuickTime. Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0211: Luigi Auriemma, som arbejder for TippingPoint's Zero Day Initiative
QuickTime
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb ved QuickTimes håndtering af PICT-billeder. Visning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2010-3790: Subreption LLC, som arbejder for TippingPoint's Zero Day Initiative
QuickTime
Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Visning af et skadeligt JPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der sker et overløb i QuickTimes behandling af JPEG-arkiver. Visning af et skadeligt JPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2011-0213: Luigi Auriemma fra iDefense
Samba
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Effekt: Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et stackbufferoverløb under håndteringen af Windows Security ID'er i Samba. Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode. Vedrørende computere med Mac OS X v10.6 er problemet løst i Mac OS X 10.6.7.
CVE-id
CVE-2010-3069
Samba
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode
Beskrivelse: Der er en hukommelsesfejl i forbindelse med Sambas håndtering af arkivbeskrivere. Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller vilkårlig kørsel af kode.
CVE-id
CVE-2011-0719: Volker Lendecke fra SerNet
servermgrd
Fås til: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7
Effekt: En hacker kan muligvis læse vilkårlige arkiver i systemet
Beskrivelse: Der findes et problem med eksterne XML-enheder i servermgrd-behandlingen af XML-RPC-anmodninger. Problemet løses ved at fjerne servermgrd's XML-RPC-interface. Dette problem påvirker kun Mac OS X Server-systemer.
CVE-id
CVE-2011-0212: Apple
subversion
Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7
Effekt: Hvis der konfigureres en HTTP-baseret Subversion-server, kan en hacker muligvis forårsage et DoS-angreb
Beskrivelse: Der var et problem med null pointer-dereference i Subversions håndtering af lock tokens, der er sendt via HTTP. Hvis der konfigureres en HTTP-baseret Subversion-server, kan en hacker muligvis forårsage et DoS-angreb. På Mac OS X v10.6-systemer opdateres Subversion til version 1.6.6. På Mac OS X v10.5.8-systemer løses problemet ved yderligere godkendelse af lock tokens. Yderligere oplysninger kan ses på Subversions websted http://subversion.apache.org/
CVE-id
CVE-2011-0715