Tietoja OS X Lion 10.7.3:n ja suojauspäivitys 2012-001:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Lion 10.7.3:n ja suojauspäivitys 2012-001:n turvallisuussisällöstä.

Tässä asiakirjassa kerrotaan OS X Lion 10.7.3:n ja suojauspäivitys 2012-001:n turvallisuussisällöstä. Päivitykset voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
 

OS X Lion 10.7.3 ja suojauspäivitys 2012-001

  • Osoitekirja

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa CardDAV-tietoja.

    Kuvaus: CardDAV-tietoja voitiin käyttää Osoitekirjassa SSL-yhteyden kautta. Suojaustason heikentämiseen liittynyt ongelma sai Osoitekirjan yrittämään salaamatonta yhteyttä, jos salattua yhteyttä ei voitu muodostaa. Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi käyttää tätä hyväkseen ja saada haltuunsa CardDAV-tietoja. Ongelma on ratkaistu siten, että salaamattomaan yhteyteen ei siirrytä ilman käyttäjän lupaa.

    CVE-ID

    CVE-2011-3444: Oracle Corporationin Bernard Desruisseaux

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Apachessa oli useita haavoittuvuuksia.

    Kuvaus: Apache on päivitetty versioon 2.2.21 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa palveluneston. Lisätietoja on Apachen sivustossa osoitteessa http://httpd.apache.org/.

    CVE-ID

    CVE-2011-3348

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Apache poisti käytöstä ns. tyhjä osa -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu lisäämällä kokoonpanoparametri, jolla voidaan hallita vastatoimenpidettä, ja ottamalla se oletusarvoisesti käyttöön.

    CVE-ID

    CVE-2011-3389

  • ATS

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen fontin avaaminen Kirjasinkirjassa saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: ATS:n tavassa käsitellä Kirjasinkirjalla avattuja fonttidatatiedostoja oli muistinhallintaan liittyvä ongelma.

    CVE-ID

    CVE-2011-3446: CERT/CC:n Will Dormann

  • CFNetwork

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi aiheuttaa luottamuksellisten tietojen paljastumisen.

    Kuvaus: CFNetworkin tavassa käsitellä väärin muotoiltuja URL-osoitteita oli ongelma. Kun haitalliseen URL-osoitteeseen siirryttiin, CFNetwork saattoi lähettää pyynnön virheelliselle lähtöpalvelimelle. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3246: Facebookin Erling Ellingsen

  • CFNetwork

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi aiheuttaa luottamuksellisten tietojen paljastumisen.

    Kuvaus: CFNetworkin tavassa käsitellä väärin muotoiltuja URL-osoitteita oli ongelma. Kun haitalliseen URL-osoitteeseen siirryttiin, CFNetwork saattoi lähettää odottamattomia pyyntöotsakkeita. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3447: Facebookin Erling Ellingsen

  • ColorSync

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Upotetun ColorSync-profiilin sisältävän haitallisen kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Upotetun ColorSync-profiilin sisältävien kuvien käsittelyssä oli kokonaisluvun ylivuoto, joka saattoi aiheuttaa kekopuskurin ylivuodon. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0200: TippingPointin Zero Day Initiativen parissa työskentelevä binaryproof

  • CoreAudio

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen äänisisällön toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: AAC-koodattujen äänivirtojen käsittelyssä oli puskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3252: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • CoreMedia

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreMedian tavassa käsitellä H.264-koodattuja elokuvatiedostoja oli kekopuskurin ylivuoto.

    CVE-ID

    CVE-2011-3448: iSEC Partnersin Scott Stender

  • CoreText

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen upotetun fontin sisältävän dokumentin tarkastelu tai lataaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli use after free -ongelma.

    CVE-ID

    CVE-2011-3449: CERT/CC:n Will Dormann

  • CoreUI

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Pitkien URL-osoitteiden käsittelyssä oli rajattoman pinon allokointiongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3450: Ben Syverson

  • curl

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Etäpalvelin saattoi pystyä tekeytymään asiakkaaksi GSSAPI-pyyntöjen kautta.

    Kuvaus: GSSAPI-todennuksen yhteydessä libcurl suorittaa tunnistetietojen delegoinnin ehdoitta. Ongelma on ratkaistu poistamalla GSSAPI-tunnistetietojen delegointi käytöstä.

    CVE-ID

    CVE-2011-2192

  • Tietoturva

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: Kaksi luotettujen päävarmenteiden luettelossa olevaa varmenteiden myöntäjää on itsenäisesti myöntänyt keskitason varmenteita DigiCert Malaysialle. DigiCert Malaysia on myöntänyt heikoilla avaimilla varustettuja varmenteita, joita se ei pysty kumoamaan. Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja, jotka oli tarkoitettu sivustolle, jolla on DigiCert Malaysian myöntämä varmenne. Ongelma on ratkaistu määrittämällä järjestelmän oletusarvoiset luottamusasetukset siten, että DigiCert Malaysian varmenteisiin ei luoteta. Kiitos Entrust Inc:n Bruce Mortonille tämän ongelman ilmoittamisesta.

  • dovecot

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Dovecot poisti käytöstä ns. tyhjä osa -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu ottamalla vastatoimenpide käyttöön.

    CVE-ID

    CVE-2011-3389: Apple

  • filecmds

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen pakatun tiedoston purkaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: uncompress-komentorivityökalussa oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-2895

  • ImageIO

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libtiffin tavassa käsitellä ThunderScan-koodattuja TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu päivittämällä libtiff versioon 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: libpng 1.5.4:ssä oli useita haavoittuvuuksia.

    Kuvaus: libpng on päivitetty versioon 1.5.5 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • Internet-jako

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Internet-jaolla luodun Wi-Fi-verkon suojausasetukset saatettiin menettää järjestelmän päivityksen jälkeen.

    Kuvaus: Kun OS X Lion päivitettiin versiota 10.7.3 edeltävään versioon, Internet-jaon käyttämät Wi-Fi-määritykset saattoivat palata tehdasasetuksiin, mikä poisti WEP-salasanan käytöstä. Ongelma koskee vain järjestelmiä, joissa Internet-jako on käytössä ja joissa Wi-Fi-yhteys on jaettu. Ongelma on ratkaistu säilyttämällä Wi-Fi-määritykset järjestelmän päivityksen aikana.

    CVE-ID

    CVE-2011-3452: nimetön tutkija

  • Libinfo

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi aiheuttaa luottamuksellisten tietojen paljastumisen.

    Kuvaus: Libinfon tavassa käsitellä isäntänimen hakupyyntöjä oli ongelma. Libinfo saattoi antaa virheelliset tulokset haitalliselle isäntänimelle. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3441: Facebookin Erling Ellingsen

  • libresolv

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: OS X:n libresolv-kirjastoa käyttävät ohjelmat saattoivat olla haavoittuvaisia ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: DNS-resurssitietueiden jäsentelyssä oli kokonaisluvun ylivuoto, joka saattoi aiheuttaa kekomuistin vioittumisen.

    CVE-ID

    CVE-2011-3453: IOActiven Ilja van Sprundel

  • libsecurity

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Jotkin EV-varmenteet saattoivat olla luotettuja, vaikka vastaava päävarmenne oli merkitty ei-luotetuksi.

    Kuvaus: Varmennekoodi luotti päävarmenteeseen EV-varmenteiden allekirjoittamisessa, jos se oli tunnettujen EV-myöntäjien luettelossa, vaikka käyttäjä olisi merkinnyt avainnippuun, ettei siihen saa koskaan luottaa. Päävarmenteeseen ei luotettu muiden kuin EV-varmenteiden allekirjoittamisessa.

    CVE-ID

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: OS X:n Open GL -toteutusta käyttävät ohjelmat saattoivat olla haavoittuvaisia ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: GLSL-käännöksen käsittelyssä oli useita muistin vioittumiseen liittyviä ongelmia.

    CVE-ID

    CVE-2011-3457: Google Chrome Security Teamin Chris Evans ja Red Hat Security Response Teamin Marc Schoenefeld

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: PHP 5.3.6:ssa oli useita haavoittuvuuksia.

    Kuvaus: PHP on päivitetty versioon 5.3.8 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: FreeTypen tavassa käsitellä Type 1 -fontteja oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu päivittämällä FreeType versioon 2.4.7. Lisätietoja on FreeTypen sivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: libpng 1.5.4:ssä oli useita haavoittuvuuksia.

    Kuvaus: libpng on päivitetty versioon 1.5.5 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen MP4-koodatun tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: MP4-koodattujen tiedostojen käsittelyssä oli alustamattoman muistin käyttöön liittyvä ongelma.

    CVE-ID

    CVE-2011-3458: TippingPointin Zero Day Initiativen parissa työskentelevät Luigi Auriemma ja pa_kt

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostoihin upotettujen fonttitaulukkojen käsittelyssä oli etumerkillisyyteen liittyvä ongelma.

    CVE-ID

    CVE-2011-3248: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostojen rdrf-atomien käsittelyssä oli off by one -puskurin ylivuoto.

    CVE-ID

    CVE-2011-3459: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen JPEG2000-kuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: JPEG2000-tiedostojen käsittelyssä oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-3250: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen PNG-kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PNG-tiedostojen käsittelyssä oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-3460: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: FLC-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto

    CVE-ID

    CVE-2011-3249: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • SquirrelMail

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: SquirrelMailissa oli useita haavoittuvuuksia.

    Kuvaus: SquirrelMail on päivitetty versioon 1.4.22 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus liittyy komentosarjojen suorittamiseen sivustolta toiselle. Ongelma ei koske OS X Lion -järjestelmiä. Lisätietoja on SquirrelMailin sivustossa osoitteessa http://www.SquirrelMail.org/.

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Subversion-tietovaraston käyttäminen saattoi aiheuttaa arkaluontoisten tietojen paljastumisen.

    Kuvaus: Subversion on päivitetty versioon 1.6.17 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa arkaluontoisten tietojen paljastumisen. Lisätietoja on Subversionin sivustossa osoitteessa http://subversion.apache.org/.

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Etähyökkääjä saattoi päästä käsiksi käyttäjän järjestelmän luomiin uusiin varmuuskopioihin.

    Kuvaus: Käyttäjä voi määrittää, että Time Machine -varmuuskopioita säilytetään AFP-etätaltiossa tai Time Capsulessa. Time Machine ei tarkistanut, että samaa laitetta käytettiin seuraaviin varmuuskopiointeihin. Hyökkääjä, joka pystyi tekeytymään etätaltioksi, saattoi päästä käsiksi käyttäjän järjestelmän luomiin uusiin varmuuskopioihin. Ongelma on ratkaistu varmentamalla varmuuskopiointiin käytettävään levyyn liittyvä yksilöllinen tunniste.

    CVE-ID

    CVE-2011-3462: Dresdenin teknillisen korkeakoulun Michael Roitzsch

  • Tomcat

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Tomcat 6.0.32:ssa oli useita haavoittuvuuksia.

    Kuvaus: Tomcat on päivitetty versioon 6.0.33 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa arkaluontoisten tietojen paljastumisen. Tomcat on ainoastaan Mac OS X Server -järjestelmissä. Ongelma ei koske OS X Lion -järjestelmiä. Lisätietoja on Tomcatin sivustossa osoitteessa http://tomcat.apache.org/.

    CVE-ID

    CVE-2011-2204

  • WebDAV-jako

    Saatavuus: OS X Lion Server 10.7–10.7.2.

    Vaikutus: Paikalliset käyttäjät saattoivat saada järjestelmän käyttöoikeudet.

    Kuvaus: WebDAV-jaon tavassa käsitellä käyttäjän todentamista oli ongelma. Käyttäjä, jolla oli kelvollinen tili palvelimella tai jossain sen sidotuista hakemistoista, saattoi aiheuttaa mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3463: Crywolfin Gordon Davisson

  • Webmail

    Saatavuus: OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen sähköpostiviestin tarkasteleminen saattoi aiheuttaa viestisisällön paljastumisen.

    Kuvaus: Sähköpostiviestien käsittelyssä oli haavoittuvuus, joka koski komentosarjojen suorittamista sivustolta toiselle. Ongelma on ratkaistu päivittämällä Roundcube Webmail versioon 0.6. Ongelma ei vaikuta OS X Lionia vanhempiin järjestelmiin. Lisätietoja on Roundcuben sivustossa osoitteessa http://trac.roundcube.net/.

    CVE-ID

    CVE-2011-2937

  • X11

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2 ja OS X Lion Server 10.7–10.7.2.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: FreeTypen tavassa käsitellä Type 1 -fontteja oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu päivittämällä FreeType versioon 2.4.7. Lisätietoja on FreeTypen sivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: