Tietoja OS X Lion 10.7.4:n ja suojauspäivitys 2012-002:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan OS X Lion 10.7.4:n ja suojauspäivitys 2012-002:n turvallisuussisällöstä.
OS X Lion 10.7.4 ja suojauspäivitys 2012-002 voidaan ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Lion 10.7.4 ja suojauspäivitys 2012-002
Kirjautumisikkuna
Saatavuus: OS X Lion 10.7.3 ja OS X Lion Server 10.7.3.
Vaikutus: Etäylläpitäjät ja henkilöt, joilla on fyysinen pääsy järjestelmään, voivat saada tilitietoja.
Kuvaus: Verkossa tapahtuvien käyttäjätilille kirjautumisten käsittelyssä oli ongelma. Kirjautumisen yhteydessä järjestelmälokiin kirjattiin arkaluontoisia tietoja, ja muut järjestelmän käyttäjät pystyivät lukemaan ne. Arkaluontoiset tiedot voivat jäädä tallennettuihin lokeihin tämän päivityksen asentamisen jälkeen. Ongelma koskee vain järjestelmiä, joissa on OS X Lion 10.7.3 ja joissa käytetään vanhaa FileVaultia ja/tai verkkokotihakemistoja.
CVE-ID
CVE-2012-0652: Ohion valtionyliopiston Terry Reeves ja Tim Winningham, Kuvataideakatemian Markus "Jaroneko" Räty, Aalto-yliopiston Jaakko Pero, Oregonin valtionyliopiston Mark Cohen sekä Paul Nelson
Bluetooth
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: bluedin alustusprosessissa oli tilapäinen tiedostojen kilpailutilanneongelma.
CVE-ID
CVE-2012-0649: vtty.comin Aaron Sigel
curl
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. curl poisti käytöstä ns. tyhjä osa -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu ottamalla tyhjät osat käyttöön.
CVE-ID
CVE-2011-3389: Apple
curl
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: curlin tai libcurlin käyttäminen haitallisen URL-osoitteen kanssa saattoi johtaa protokollakohtaisiin tiedonlisäyshyökkäyksiin.
Kuvaus: curlin tavassa käsitellä URL-osoitteita oli tietojen lisäysongelma. Ongelma on ratkaistu URL-osoitteiden parannetulla tarkistuksella. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.
CVE-ID
CVE-2012-0036
Hakemistopalvelu
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: Etähyökkääjä saattoi saada arkaluontoisia tietoja.
Kuvaus: Hakemistopalvelimen tavassa käsitellä verkosta tulleita viestejä oli useita ongelmia. Lähettämällä haitallisen viestin etähyökkääjä saattoi saada hakemistopalvelimen paljastamaan muistia osoiteavaruudestaan, ja seurauksena saattoi olla kirjautumis- tai muiden arkaluontoisten tietojen paljastuminen. Ongelma ei koske OS X Lion -järjestelmiä. Hakemistopalvelin on oletusarvoisesti poissa käytöstä OS X -järjestelmissä, jotka eivät ole palvelimia.
CVE-ID
CVE-2012-0651: Agustin Azubel
HFS
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen levytiedoston näkyviin tuominen saattoi johtaa järjestelmän sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: HFS-katalogitiedostojen käsittelyssä oli kokonaisluvun alivuoto.
CVE-ID
CVE-2012-0642: pod2g
ImageIO
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: ImageIO:n tavassa käsitellä CCITT Group 4 -koodattuja TIFF-tiedostoja oli puskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.
CVE-ID
CVE-2011-0241: Tessi Technologiesin Cyril CATTIAUX
ImageIO
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: libpng:ssä oli useita haavoittuvuuksia.
Kuvaus: libpng on päivitetty versioon 1.5.5 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa tietojen paljastumiseen. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.
CVE-ID
CVE-2011-2692
CVE-2011-3328
ImageIO
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libtiffin tavassa käsitellä ThunderScan-koodattuja TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu päivittämällä libtiff versioon 3.9.5.
CVE-ID
CVE-2011-1167
Kernel
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Levyllä saattoi olla salaamattomia käyttäjätietoja FileVaultia käytettäessä.
Kuvaus: Kernelin tavassa käsitellä horrostilan lepotilavedosta oli ongelma, jonka vuoksi joitakin levyllä olevia tietoja ei salattu, vaikka FileVault oli käytössä. Ongelma on ratkaistu parantamalla lepotilavedoksen käsittelyä ja korvaamalla nykyinen lepotilavedos, kun tietokoneeseen päivitetään OS X 10.7.4. Ongelma ei koske OS X Lionia aiempia käyttöjärjestelmiä.
CVE-ID
CVE-2011-3212: Google Security Teamin Felix Groebert
libarchive
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen arkiston purkaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: tar-arkistojen ja iso9660-tiedostojen käsittelyssä oli useita puskurin ylivuotoja.
CVE-ID
CVE-2011-1777
CVE-2011-1778
libsecurity
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen X.509-varmenteen vahvistaminen esimerkiksi haitallisella verkkosivustolla saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: X.509-varmenteiden käsittelyssä oli alustamattoman muistin käyttöongelma.
CVE-ID
CVE-2012-0654: WebWeaving.orgin Dirk-Willem van Gulik, Conselho da Justiça Federalin Guilherme Prado ja Googlen Ryan Sleevi
libsecurity
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Tuki X.509-varmenteille, joiden RSA-avainten pituudet ovat riittämättömät, saattoi altistaa käyttäjät huijauksille ja tietojen paljastumiselle.
Kuvaus: libsecurity hyväksyi varmenteet, jotka oli allekirjoitettu RSA-avaimilla, joiden pituus oli riittämätön. Ongelma on ratkaistu hylkäämällä varmenteet, joissa on alle 1024 bittiä pitkiä RSA-avaimia.
CVE-ID
CVE-2012-0655
libxml
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen verkkosivuston selaaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: libxml:ssä oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu käyttämällä asianmukaisia upstream-korjauksia.
CVE-ID
CVE-2011-1944: Google Chrome Security Teamin Chris Evans
CVE-2011-2821: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)
CVE-2011-2834: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)
CVE-2011-3919: Jüri Aedla
LoginUIFramework
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Jos vierastili oli käytössä, käyttäjä, jolla oli fyysinen pääsy tietokoneeseen, saattoi pystyä kirjautumaan muulle ei-vierastilille ilman salasanaa.
Kuvaus: Vierastilille kirjautumisten käsittelyssä oli kilpailutilanne. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.
CVE-ID
CVE-2012-0656: Francisco Gómez (espectalll123)
PHP
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: PHP:ssä oli useita haavoittuvuuksia.
Kuvaus: PHP on päivitetty versioon 5.3.10 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa mielivaltaisen koodin suorittamiseen. Lisätietoja on PHP:n verkkosivustossa osoitteessa http://www.php.net.
CVE-ID
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
Quartz Composer
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy tietokoneeseen, saattoi pystyä käynnistämään Safarin, jos näyttö oli lukittu ja jos RSS Visualizer -näytönsäästäjä oli käytössä.
Kuvaus: Quartz Composerin tavassa käsitellä näytönsäästäjiä oli käytönvalvontaongelma. Ongelma on ratkaistu näytön lukituksen parannetulla tarkistuksella.
CVE-ID
CVE-2012-0657: vtty.comin Aaron Sigel
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen elokuvatiedoston katsominen progressiivisen latauksen aikana saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Ääninäytetaulukkojen käsittelyssä oli puskurin ylivuoto.
CVE-ID
CVE-2012-0658: HP:n Zero Day Initiativen parissa työskentelevä Luigi Auriemma
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen MPEG-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: MPEG-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto.
CVE-ID
CVE-2012-0659: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen MPEG-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: MPEG-tiedostojen käsittelyssä oli puskurin alivuoto.
CVE-ID
CVE-2012-0660: Microsoftin ja Microsoft Vulnerability Researchin Justin Kim
QuickTime
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: JPEG2000-koodattujen elokuvatiedostojen käsittelyssä oli use after free -ongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.
CVE-ID
CVE-2012-0661: HP:n Zero Day Initiativen parissa työskentelevä Damian Put
Ruby
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Rubyssa oli useita haavoittuvuuksia.
Kuvaus: Ruby on päivitetty versioon 1.8.7-p357 useiden haavoittuvuuksien korjaamiseksi.
CVE-ID
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
Samba
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: Jos SMB-tiedostonjako oli käytössä, todentamaton etähyökkääjä saattoi aiheuttaa palveluneston tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.
Kuvaus: Samban tavassa käsitellä etätoimintosarjakutsuja oli useita puskurin ylivuotoja. Lähettämällä haitallisen paketin todentamaton etähyökkääjä pystyi aiheuttamaan palveluneston tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Nämä ongelmat eivät koske OS X Lion -järjestelmiä.
CVE-ID
CVE-2012-0870: NGS Securen Andy Davis
CVE-2012-1182: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija
Security Framework
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Turvallisuuskehyksessä oli kokonaisluvun ylivuoto. Epäluotettavan syötteen käsittely turvallisuuskehyksessä saattoi aiheuttaa muistin vioittumisen. Ongelma ei koske 32-bittisiä järjestelmiä.
CVE-ID
CVE-2012-0662: HP:n Zero Day Initiativen parissa työskentelevä aazubel
Time Machine
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Etähyökkääjä saattoi päästä käyttäjän Time Machine -varmuuskopiointitietoihin.
Kuvaus: Käyttäjä voi määrittää, että Time Capsulea tai AirPort-tukiasemassa olevaa AFP-etätaltiota käytetään Time Machine -varmuuskopioihin. AirPort-tukiaseman ja Time Capsulen laiteohjelmistopäivitys 7.6:sta alkaen Time Capsulet ja tukiasemat tukevat turvallista SRP-pohjaista todennusmenetelmää AFP:n kautta. Time Machine ei kuitenkaan vaatinut SRP-pohjaista todentamismenetelmää seuraavissa varmuuskopioinneissa, vaikka Time Machine oli alun perin määritetty käyttämään sitä tai siitä oli aiemmin otettu yhteys SRP:tä tukevaan Time Capsuleen tai tukiasemaan. Hyökkääjä, joka pystyi esittämään etätaltiota, saattoi päästä käyttäjän järjestelmän lähettämiin Time Capsule -kirjautumistietoihin, vaikkakaan ei varmuuskopiointitietoihin. Ongelma on ratkaistu edellyttämällä SRP-pohjaisen todentamismenetelmän käyttöä, jos varmuuskopiointikohde on tukenut sitä.
CVE-ID
CVE-2012-0675: Tenable Network Security Inc:n Renaud Deraison
X11
Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.
Vaikutus: Ohjelmat, jotka käyttivät libXfontia LZW-pakatun tiedon käsittelyyn, saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.
Kuvaus: libXfontin tavassa käsitellä LZW-pakattua tietoa oli puskurin ylivuoto. Ongelma on korjattu päivittämällä libXfont versioon 1.4.4.
CVE-ID
CVE-2011-2895: Red Hatin Tomas Hoger
Huomautus: Lisäksi tämä päivitys suodattaa dynaamiset linkitinympäristömuuttujat käyttäjän kotihakemiston mukautetusta ympäristön ominaisuusluettelosta, jos sellainen on.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.