Deze update kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
Mac OS X v10.6.8 en Beveiligingsupdate 2011-004
AirPort
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impact: een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld
Beschrijving: er was een probleem met het lezen van geheugen buiten het bereik bij de verwerking van Wi-Fi-frames. Een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld. Dit probleem is niet van invloed op Mac OS X v10.6
CVE-ID
CVE-2011-0196
App Store
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het wachtwoord van de Apple ID van de gebruiker is mogelijk geregistreerd in een lokaal bestand
Beschrijving: in bepaalde gevallen kan de App Store het wachtwoord van de Apple ID van de gebruiker registreren in een bestand dat niet kan worden gelezen door andere gebruikers in het systeem. Dit probleem wordt verholpen door een verbeterde verwerking van inloggegevens.
CVE-ID
CVE-2011-0197: Paul Nelson
ATS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van TrueType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld van het Red Hat Security Response Team
Certificaatvertrouwensbeleid
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen
Beschrijving: er was een foutieve afhandeling in het certificaatvertrouwensbeleid. Als een Extended Validation (EV)-certificaat geen OCSP-url heeft en CRL-controle is ingeschakeld, wordt de CRL niet gecontroleerd en kan een ingetrokken certificaat worden geaccepteerd als geldig. Dit probleem is gematigd omdat de meeste EV-certificaten een OCSP-url opgeven.
CVE-ID
CVE-2011-0199: Chris Hawk en Wan-Teh Chang van Google
ColorSync
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel dat kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint
CoreFoundation
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: programma’s die gebruik maken van het CoreFoundation-framework zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een ‘off-by-one’-bufferoverloop bij de verwerking van CFStrings. Programma’s die gebruik maken van het CoreFoundation-framework zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0201: Harry Sintonen
CoreGraphics
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.
Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van Type 1-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0202: Cristian Draghici van Modulo Consulting, Felix Grobert van het Google Security Team
FTP-server
Beschikbaar voor: Mac OS X Server v10.6 t/m v10.6.7
Impact: een persoon met FTP-toegang kan mogelijk een lijst met bestanden van het systeem weergeven
Beschrijving: er was een probleem met de validatie van het pad in xftpd. Een persoon met FTP-toegang kan een recursieve lijst met mappen vanaf het rootniveau opvragen, inclusief mappen die niet worden gedeeld voor FTP. De lijst vermeldt eventueel bestanden die toegankelijk zijn voor de FTP-gebruiker. De inhoud van bestanden wordt niet vrijgegeven. Dit probleem wordt verholpen door een verbeterde validatie van paden. Dit probleem is alleen van invloed op systemen met Mac OS X Server.
CVE-ID
CVE-2011-0203: team karlkani
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van TIFF-afbeeldingen door ImageIO. het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0204: Dominic Chell van NGS Secure
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij het verwerken van JPEG2000-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0205: Harry Sintonen
ICU
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van tekenreeksen in hoofdletters door ICU. programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0206: David Bienvenu van Mozilla
Kernel
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld
Beschrijving: er was een null-dereferentie bij de verwerking van IPV6-socketopties. Een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld.
CVE-ID
CVE-2011-1132: Thomas Clement van Intego
Libsystem
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: programma’s die gebruik maken van de glob(3) API zijn mogelijk kwetsbaar voor een serviceweigering
Beschrijving: programma’s die gebruik maken van de glob(3) API zijn mogelijk kwetsbaar voor een serviceweigering. Als het glob-patroon uit een niet-vertrouwde invoer afkomstig is, kan het programma blokkeren of een te groot aantal CPU-bronnen gebruiken. Dit probleem wordt verholpen met een verbeterde validatie van glob-patronen.
CVE-ID
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap
Beschrijving: libxslt’s implementatie van de generate-id() XPath-functie gaf het adres van een heapbuffer vrij. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap. Dit probleem wordt verholpen door een ID te genereren op basis van het verschil tussen de adressen van twee heapbuffers.
CVE-ID
CVE-2011-0195: Chris Evans van het Google Chrome Security Team
MobileMe
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan MobileMe-e-mailaliassen van gebruikers lezen
Beschrijving: bij de communicatie met MobileMe om de e-mailaliassen van een gebruiker te bepalen, zal Mail verzoeken via HTTP sturen. Hierdoor kan een aanvaller met een geprivilegieerde netwerkpositie de MobileMe-e-mailaliassen van gebruikers lezen. Dit probleem wordt verholpen door SSL te gebruiken om toegang te hebben tot de e-mailaliassen van gebruikers.
CVE-ID
CVE-2011-0207: Aaron Sigel van vtty.com
MySQL
Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 t/m v10.6.7
Impact: meerdere kwetsbaarheden in MySQL 5.0.91
Beschrijving: MySQL is bijgewerkt naar versie 5.0.92 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. MySQL wordt alleen geleverd bij Mac OS X Server-systemen.
CVE-ID
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: meerdere kwetsbaarheden in OpenSSL
Beschrijving: er waren meerdere kwetsbaarheden in OpenSSL waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen worden verholpen door OpenSSL bij te werken naar versie 0.9.8r.
CVE-ID
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
patch
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: patch uitvoeren op een kwaadwillig vervaardigd patchbestand kan leiden tot het maken of overschrijven van willekeurige bestanden
Beschrijving: er was een ‘directory traversal’-probleem in GNU-patch. Patch uitvoeren op een kwaadwillig vervaardigd patchbestand kan leiden tot het maken of overschrijven van willekeurige bestanden. Dit probleem wordt verholpen door een verbeterde validatie van patchbestanden.
CVE-ID
CVE-2010-4651
QuickLook
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2011-0208: Tobias Klein in samenwerking met iDefense VCP
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigd WAV-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van RIFF WAV-bestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd WAV-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0209: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van voorbeeldtabellen in QuickTime-filmbestanden door QuickTime. het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0210: Honggang Ren van Fortinet’s FortiGuard Labs
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van filmbestanden door QuickTime. het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0211: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de afhandeling van PICT-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2010-3790: Subreption LLC in samenwerking met het Zero Day Initiative van TippingPoint
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van JPEG-bestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0213: Luigi Auriemma in samenwerking met iDefense
Samba
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code
Beschrijving: er was een stackbufferoverloop in de verwerking van Windows Security ID’s door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X 10.6.7.
CVE-ID
CVE-2010-3069
Samba
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bestandsbeschrijvingen door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0719: Volker Lendecke van SerNet
servermgrd
Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 t/m v10.6.7
Impact: een externe aanvaller kan mogelijk willekeurige bestanden op het systeem lezen
Beschrijving: er is een ‘XML External Entity’-probleem bij de verwerking van XML-RPC-verzoeken door servermgrd. Dit probleem wordt verholpen door de XML-RPC-interface van servermgrd te verwijderen. Dit probleem is alleen van invloed op systemen met Mac OS X Server.
CVE-ID
CVE-2011-0212: Apple
subversion
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7
Impact: als een http-gebaseerd Subversion-server is ingesteld, kan een externe aanvaller zorgen voor een weigering van service
Beschrijving: er was een null-dereferentie bij Subversion’s verwerking van vergrendelingstokens die via HTTP zijn verstuurd. Als een http-gebaseerde Subversion-server is ingesteld, kan een externe aanvaller zorgen voor een weigering van service. Voor systemen met Mac OS X v10.6 is Subversion bijgewerkt naar versie 1.6.6. Voor systemen met Mac OS X v10.5.8 wordt het probleem verholpen door extra validatie van vergrendelingstokens. Verdere informatie is beschikbaar via de Subversion-website op http://subversion.apache.org/.
CVE-ID
CVE-2011-0715