Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Lion do wersji 10.7.3 i Uaktualnieniu zabezpieczeń 2012-001

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu systemu OS X Lion do wersji 10.7.3 i Uaktualnieniu zabezpieczeń 2012-001.

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie OS X Lion do wersji 10.7.3 i Uaktualnienia zabezpieczeń 2012-001, które można pobrać i zainstalować przy użyciu preferencji funkcji Uaktualnienia programów lub z witryny materiałów do pobrania firmy Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
 

OS X Lion 10.7.3 i Uaktualnienie zabezpieczeń 2012-001

  • Książka adresowa

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może przechwycić dane CardDAV.

    Opis: Książka adresowa umożliwia uzyskiwanie dostępu do danych CardDAV za pośrednictwem protokołu SSL (Secure Sockets Layer). Z powodu problemu z obniżeniem poziomu zabezpieczeń połączenia Książka adresowa podejmuje próbę nawiązania nieszyfrowanego połączenia w przypadku niepomyślnej próby nawiązania połączenia szyfrowanego. Osoba atakująca mająca uprzywilejowany dostęp do sieci może nadużyć tego zachowania w celu przechwycenia danych CardDAV. Ten problem rozwiązano przez przechodzenie z połączenia szyfrowanego na połączenie nieszyfrowane tylko za zgodą użytkownika.

    Identyfikator CVE

    CVE-2011-3444: Bernard Desruisseaux z organizacji Oracle Corporation

  • Apache

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: istnieje wiele luk w zabezpieczeniach serwera Apache.

    Opis: serwer Apache został uaktualniony do wersji 2.2.21 w celu usunięcia kilku luk w zabezpieczeniach, z których najpoważniejsze mogą doprowadzić do ataku typu „odmowa usługi”. Więcej informacji na ten temat zawiera witryna serwera Apache, dostępna pod adresem http://httpd.apache.org.

    Identyfikator CVE

    CVE-2011-3348

  • Apache

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołów SSL 3.0 i TLS 1.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. Na serwerze Apache wyłączano funkcję „empty fragment”, która zapobiega tym atakom. Ten problem rozwiązano przez zastosowanie parametru konfiguracji umożliwiającego sterowanie działaniem tej funkcji i domyślnym jej włączeniu.

    Identyfikator CVE

    CVE-2011-3389

  • ATS

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: otwarcie złośliwie spreparowanej czcionki w programie Album z czcionkami może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi przez program ATS plików z danymi czcionek otwieranych za pomocą programu Album z czcionkami występuje problem z zarządzaniem pamięcią.

    Identyfikator CVE

    CVE-2011-3446: Will Dormann z organizacji CERT/CC

  • CFNetwork

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji.

    Opis: w procedurach obsługi zniekształconych adresów URL przez środowisko CFNetwork występuje błąd. W przypadku uzyskiwania dostępu do złośliwie spreparowanego adresu URL środowisko CFNetwork może wysłać żądanie do niewłaściwego serwera źródłowego. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion.

    Identyfikator CVE

    CVE-2011-3246: Erling Ellingsen z firmy Facebook

  • CFNetwork

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji.

    Opis: w procedurach obsługi zniekształconych adresów URL przez środowisko CFNetwork występuje błąd. W przypadku uzyskiwania dostępu do złośliwie spreparowanego adresu URL środowisko CFNetwork może wysłać nieoczekiwane nagłówki żądania. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion.

    Identyfikator CVE

    CVE-2011-3447: Erling Ellingsen z firmy Facebook

  • ColorSync

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu z osadzonym profilem ColorSync może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów z osadzonym profilem ColorSync występuje przepełnienie całkowitoliczbowe, które może spowodować przepełnienie buforu sterty. Ten problem nie występuje na komputerach z systemem OS X Lion.

    Identyfikator CVE

    CVE-2011-0200: binaryproof pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • CoreAudio

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: odtworzenie złośliwie spreparowanej zawartości audio może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi strumienia sygnału dźwiękowego zakodowanego w formacie AAC występuje przepełnienie buforu. Ten problem nie występuje na komputerach z systemem OS X Lion.

    Identyfikator CVE

    CVE-2011-3252: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • CoreMedia

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików filmów zakodowanych w formacie H.264 programu CoreMedia występuje przepełnienie buforu sterty.

    Identyfikator CVE

    CVE-2011-3448: Scott Stender z organizacji iSEC Partners

  • CoreText

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie lub pobranie dokumentu zawierającego złośliwie spreparowaną czcionkę osadzoną może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików czcionek występuje błąd dotyczący użycia po zwolnieniu.

    Identyfikator CVE

    CVE-2011-3449: Will Dormann z organizacji CERT/CC

  • CoreUI

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: odwiedzenie złośliwej witryny może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi długich adresów URL występuje błąd alokacji niepowiązanych stosów. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion.

    Identyfikator CVE

    CVE-2011-3450: Ben Syverson

  • curl

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: serwer zdalny może być w stanie podszywać się pod klientów za pośrednictwem żądań GSSAPI.

    Opis: podczas uwierzytelniania GSSAPI biblioteka libcurl bezwarunkowo deleguje poświadczenia. Ten problem rozwiązano przez wyłączenie delegowania poświadczeń GSSAPI.

    Identyfikator CVE

    CVE-2011-2192

  • Bezpieczeństwo danych

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.

    Opis: dwa urzędy certyfikacji z listy zaufanych certyfikatów głównych niezależnie od siebie wystawiły firmie DigiCert Malaysia certyfikaty pośredniczące. Firma DigiCert Malaysia wystawiła certyfikaty ze słabymi kluczami, których nie może odwołać. Osoba atakująca mająca uprzywilejowany dostęp do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje przeznaczone do użycia w witrynie z certyfikatem wystawionym przez firmę DigiCert Malaysia. Ten problem rozwiązano przez skonfigurowanie domyślnych ustawień zaufania w systemie w taki sposób, aby certyfikaty z firmy DigiCert Malaysia nie były traktowane jako zaufane. Problem zgłosił Bruce Morton z firmy Entrust, Inc.

  • Dovecot

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołów SSL 3.0 i TLS 1.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. W programie Dovecot wyłączano funkcję „empty fragment”, która zapobiega tym atakom. Ten problem rozwiązano przez włączenie tej funkcji.

    Identyfikator CVE

    CVE-2011-3389: firma Apple

  • filecmds

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: zdekompresowanie złośliwie spreparowanego pliku skompresowanego może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w narzędziu wiersza polecenia uncompress występuje przepełnienie buforu.

    Identyfikator CVE

    CVE-2011-2895

  • ImageIO

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi przez bibliotekę libtiff obrazów TIFF zakodowanych za pomocą algorytmu ThunderScan występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez uaktualnienie biblioteki libtiff do wersji 3.9.5.

    Identyfikator CVE

    CVE-2011-1167

  • ImageIO

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wiele luk w zabezpieczeniach biblioteki libpng 1.5.4.

    Opis: biblioteka libpng została uaktualniona do wersji 1.5.5 w celu usunięcia wielu luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu. Więcej informacji można uzyskać w witrynie biblioteki libpng pod adresem http://www.libpng.org/pub/png/libpng.html.

    Identyfikator CVE

    CVE-2011-3328

  • Udostępnianie Internetu

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: sieć Wi-Fi utworzona przez funkcję Udostępnianie Internetu może utracić ustawienia zabezpieczeń po uaktualnieniu systemu.

    Opis: po przeprowadzeniu uaktualnienia do systemu OS X Lion w wersji wcześniejszej niż 10.7.3 konfiguracja sieci Wi-Fi używana przez funkcję Udostępnianie Internetu może zostać przywrócona do ustawień fabrycznych, co powoduje wyłączenie hasła WEP. Ten problem dotyczy tylko systemów, w których jest włączona funkcja Udostępnianie Internetu i jest udostępniane połączenie przez sieć Wi-Fi. Ten problem rozwiązano przez zachowanie konfiguracji sieci Wi-Fi podczas uaktualniania systemu.

    Identyfikator CVE

    CVE-2011-3452: anonimowy badacz

  • Libinfo

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do ujawnienia poufnych informacji.

    Opis: w procedurach obsługi żądań wyszukiwania nazwy hosta przez bibliotekę Libinfo występuje błąd. Biblioteka Libinfo nie może zwrócić poprawnych wyników dotyczących złośliwie spreparowanej nazwy hosta. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion.

    Identyfikator CVE

    CVE-2011-3441: Erling Ellingsen z firmy Facebook

  • libresolv

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: programy korzystające z biblioteki libresolv systemu OS X mogą być narażone na nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach analizowania rekordów zasobów DNS występuje przepełnienie całkowitoliczbowe, które może doprowadzić do uszkodzenia pamięci sterty.

    Identyfikator CVE

    CVE-2011-3453: Ilja van Sprundel z organizacji IOActive

  • libsecurity

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: niektóre rozszerzone certyfikaty sprawdzania poprawności mogą być traktowane jako certyfikaty zaufane mimo oznaczenia certyfikatu głównego jako certyfikatu niezaufanego.

    Opis: kod certyfikatu zezwala na podpisywanie rozszerzonych certyfikatów sprawdzania poprawności przez certyfikat główny znajdujący się na liście znanych wystawców rozszerzonych certyfikatów sprawdzania poprawności, nawet jeśli użytkownik oznaczył go przy użyciu opcji „Nigdy nie ufaj” w pęku kluczy. Certyfikat główny nie zezwala na podpisywanie certyfikatów niebędących rozszerzonymi certyfikatami sprawdzania poprawności.

    Identyfikator CVE

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: programy korzystające z implementacji biblioteki OpenGL w systemie OS X mogą być narażone na nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi kompilacji GLSL występuje wiele błędów powodujących uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2011-3457: Chris Evans z zespołu do spraw bezpieczeństwa przeglądarki Google Chrome i Marc Schoenefeld z zespołu firmy Red Hat do spraw bezpieczeństwa

  • PHP

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wiele luk w zabezpieczeniach języka PHP 5.3.6.

    Opis: język PHP został uaktualniony do wersji 5.3.8, aby usunąć wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu. Więcej informacji można znaleźć w witrynie języka PHP pod adresem http://www.php.net.

    Identyfikator CVE

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi czcionek Type 1 przez program FreeType występuje błąd powodujący uszkodzenie pamięci. Ten problem rozwiązano przez uaktualnienie programu FreeType do wersji 2.4.7. Więcej informacji można znaleźć w witrynie programu FreeType pod adresem http://www.freetype.org/.

    Identyfikator CVE

    CVE-2011-3256: firma Apple

  • PHP

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wiele luk w zabezpieczeniach biblioteki libpng 1.5.4.

    Opis: biblioteka libpng została uaktualniona do wersji 1.5.5 w celu usunięcia wielu luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu. Więcej informacji można uzyskać w witrynie biblioteki libpng pod adresem http://www.libpng.org/pub/png/libpng.html.

    Identyfikator CVE

    CVE-2011-3328

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: otwarcie złośliwie spreparowanego pliku zakodowanego w formacie MP4 może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików zakodowanych w formacie MP4 występuje błąd niezainicjowanego dostępu do pamięci.

    Identyfikator CVE

    CVE-2011-3458: Luigi Auriemma i użytkownik pa_kt pracujący w ramach programu TippingPoint's Zero Day Initiative

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi tablic czcionek osadzonych w plikach filmów QuickTime występuje błąd nieprawidłowego znaku.

    Identyfikator CVE

    CVE-2011-3248: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi atomów rdrf w plikach filmów programu QuickTime występuje błąd powodujący przepełnienie buforu o jeden.

    Identyfikator CVE

    CVE-2011-3459: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu JPEG2000 może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików JPEG2000 występuje błąd powodujący przepełnienie buforu.

    Identyfikator CVE

    CVE-2011-3250: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu PNG może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PNG występuje błąd powodujący przepełnienie buforu.

    Identyfikator CVE

    CVE-2011-3460: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików filmów zakodowanych w formacie FLC występuje błąd powodujący przepełnienie buforu.

    Identyfikator CVE

    CVE-2011-3249: Matt „j00ru” Jurczyk pracujący w ramach programu Zero Day Initiative firmy TippingPoint

  • SquirrelMail

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: wiele luk w zabezpieczeniach programu SquirrelMail.

    Wpływ: należy uaktualnić program SquirrelMail do wersji 1.4.22 w celu usunięcia kilku luk w zabezpieczeniach, z których najpoważniejsza umożliwia ataki XSS (cross-site scripting). Ten problem nie występuje na komputerach z systemem OS X Lion. Więcej informacji na ten temat zawiera witryna programu SquirrelMail, dostępna pod adresem http://www.SquirrelMail.org/.

    Identyfikator CVE

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: uzyskanie dostępu do magazynu programu Subversion może doprowadzić do ujawnienia poufnych informacji.

    Opis: program Subversion został uaktualniony do wersji 1.6.17, aby usunąć wiele luk w zabezpieczeniach, z których najpoważniejsze mogą doprowadzić do ujawnienia poufnych informacji. Dalsze informacje są dostępne w witrynie programu Subversion pod adresem http://subversion.apache.org/.

    Identyfikator CVE

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: osoba atakująca zdalnie może uzyskiwać dostęp do nowych kopii zapasowych wykonanych w systemie użytkownika.

    Opis: użytkownik może przeznaczyć zdalny wolumin AFP lub urządzenie Time Capsule na potrzeby kopii zapasowych programu Time Machine. Przy kolejnych operacjach wykonywania kopii zapasowej program Time Machine nie sprawdza, czy jest używane to samo urządzenie. Osoba atakująca, która może podszywać się pod wolumin zdalny, może ponownie uzyskać dostęp do nowych kopii zapasowych wykonanych w systemie użytkownika. Ten problem rozwiązano przez sprawdzanie unikatowego identyfikatora powiązanego z dyskiem przeznaczonym na potrzeby operacji tworzenia kopii zapasowych.

    Identyfikator CVE

    CVE-2011-3462: Michael Roitzsch z Technische Universität Dresden

  • Tomcat

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: wiele luk w zabezpieczeniach oprogramowania Tomcat 6.0.32.

    Opis: oprogramowanie Tomcat zostało uaktualnione do wersji 6.0.33, aby usunąć wiele luk w zabezpieczeniach, z których najpoważniejsze mogą doprowadzić do ujawnienia poufnych informacji. Oprogramowanie Tomcat jest udostępniane tylko na komputerach z systemem Mac OS X Server. Ten problem nie występuje na komputerach z systemem OS X Lion. Dalsze informacje są dostępne w witrynie programu Tomcat pod adresem http://tomcat.apache.org/.

    Identyfikator CVE

    CVE-2011-2204

  • Udostępnianie za pośrednictwem usługi WebDAV

    Dostępne dla: OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: użytkownicy lokalni mogą uzyskiwać uprawnienia systemowe.

    Opis: w procedurach obsługi uwierzytelniania użytkowników funkcji udostępniania za pośrednictwem usługi WebDAV występuje błąd. Użytkownik z prawidłowym kontem na serwerze lub w jednym z powiązanych z nim katalogów może uzyskać uprawnienia systemowe i spowodować wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Lion.

    Identyfikator CVE

    CVE-2011-3463: Gordon Davisson z firmy Crywolf

  • Webmail

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanej wiadomości e-mail może spowodować ujawnienie treści wiadomości.

    Opis: w procedurach obsługi wiadomości pocztowych występuje luka w zabezpieczeniach mogąca powodować ataki XSS (cross-site scripting). Ten problem rozwiązano przez uaktualnienie klienta Roundcube Webmail do wersji 0.6. Ten problem nie dotyczy systemów starszych niż OS X Lion. Więcej informacji można znaleźć w witrynie firmy Roundcube pod adresem http://trac.roundcube.net/.

    Identyfikator CVE

    CVE-2011-2937

  • X11

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.2, OS X Lion Server w wersji od 10.7 do 10.7.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi czcionek Type 1 przez program FreeType występuje błąd powodujący uszkodzenie pamięci. Ten problem rozwiązano przez uaktualnienie programu FreeType do wersji 2.4.7. Więcej informacji można znaleźć w witrynie programu FreeType pod adresem http://www.freetype.org/.

    Identyfikator CVE

    CVE-2011-3256: firma Apple

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: