В этом документе описываются проблемы безопасности, устраняемые в ОС OS X Lion 10.7.3 и обновлением системы безопасности 2012-001, которые можно загрузить и установить с помощью функции Обновление ПО или со страницы загрузок Apple.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.


ОС OS X Lion 10.7.3 и обновление системы безопасности 2012-001
- 

- 

Адресная книга

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать данные CardDAV.

 
Описание. Адресная книга поддерживает протокол SSL для доступа к CardDAV. Проблема снижения уровня безопасности вызвана тем, что в случае ошибки зашифрованного соединения адресная книга пытается установить незашифрованное соединение. Злоумышленник, находящийся в привилегированном участке сети, мог использовать это поведение для перехвата данных CardDAV. Проблема устранена путем установки незашифрованного соединения только после получения разрешения пользователя.

Идентификатор CVE

CVE-2011-3444: Бернард Десруссо (Bernard Desruisseaux), компания Oracle Corporation

 

- 

- 

Apache

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Ряд уязвимостей веб-сервера Apache.

Описание. Веб-сервер Apache обновлен до версии 2.2.21 для устранения ряда уязвимостей, наиболее серьезная из которых может привести к отказу в обслуживании. Дополнительную информацию см. на веб-сайте Apache http://httpd.apache.org.

Идентификатор CVE

CVE-2011-3348

 

- 

- 

Apache

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.

Описание. Существует ряд атак на конфиденциальность SSL 3.0 и TLS 1.0, при которых комплект шифров использует блочный шифр в режиме CBC. Мера противодействия «пустой фрагмент», направленная на защиту от этих атак, была отключена Apache. Проблема устранена путем предоставления параметра конфигурации для управления мерой противодействия и его включения по умолчанию.

Идентификатор CVE

CVE-2011-3389

 

- 

- 

Инфраструктура ATS

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Открытие вредоносного шрифта в программе «Шрифты» может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема, связанная с управлением памятью, существовала в способе обработки компонентом ATS файлов данных шрифтов, открытых в программе «Шрифты».

Идентификатор CVE

CVE-2011-3446: Уилл Дорманн (Will Dormann), CERT/CC

 

- 

- 

CFNetwork

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

Описание. Существовала ошибка в обработке неправильно сформированных URL-адресов в интерфейсе CFNetwork. При открытии вредоносного URL-адреса интерфейс CFNetwork мог отправлять запрос несоответствующему серверу-источнику. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

Идентификатор CVE

CVE-2011-3246: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

 

- 

- 

CFNetwork

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

Описание. Существовала ошибка в обработке неправильно сформированных URL-адресов в интерфейсе CFNetwork. При открытии вредоносного URL-адреса интерфейс CFNetwork мог отправлять непредвиденные заголовки запросов. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

Идентификатор CVE

CVE-2011-3447: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

 

- 

- 

ColorSync

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

Воздействие. Просмотр вредоносного изображения со встроенным профилем ColorSync может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке изображений со встроенным профилем ColorSync возникало целочисленное переполнение, которое может привести к переполнению буфера в динамической памяти. Эта проблема не возникает в ОС OS X Lion.

Идентификатор CVE

CVE-2011-0200: пользователь binaryproof, принимающий участие в программе Zero Day Initiative организации TippingPoint

 

- 

- 

CoreAudio

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

Воздействие. Воспроизведение вредоносного аудиофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке аудиопотоков в формате AAC существовало переполнение буфера. Эта проблема не возникает в ОС OS X Lion.

Идентификатор CVE

CVE-2011-3252: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

CoreMedia

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке программой CoreMedia видеофайлов формата H.264 возникало переполнение буфера для динамически распределяемых структур данных.

Идентификатор CVE

CVE-2011-3448: Скотт Стендер (Scott Stender), компания iSEC Partners

 

- 

- 

CoreText

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр или загрузка документа, в который встроен вредоносный шрифт, может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Во время обработки файлов шрифтов возникала проблема использования памяти после ее освобождения.

Идентификатор CVE

CVE-2011-3449: Уилл Дорманн (Will Dormann), CERT/CC

 

- 

- 

CoreUI

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или к выполнению случайного кода.

Описание. При обработке длинных URL-адресов возникала проблема, связанная с неограниченным выделением стека. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

Идентификатор CVE

CVE-2011-3450: Бен Сиверсон (Ben Syverson)

 

- 

- 

curl

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Удаленный сервер может выдавать себя за клиентов с помощью запросов GSSAPI.

Описание. При выполнении аутентификации GSSAPI компонент libcurl выполняет безусловное делегирование прав. Проблема устранена путем отключения делегирования прав в интерфейсе GSSAPI.

Идентификатор CVE

CVE-2011-2192

 

- 

- 

Безопасность данных

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя или другую конфиденциальную информацию.

Описание. Два издателя сертификатов в списке доверенных корневых сертификатов независимо издали промежуточные сертификаты для компании DigiCert Malaysia. Компания DigiCert Malaysia издала сертификаты со слабыми ключами, которые невозможно отозвать. Злоумышленник, находящийся в привилегированном участке сети, мог перехватывать данные входа пользователя или другую важную информацию, направляемую на сайт с сертификатом, изданным DigiCert Malaysia. Проблема решена путем исключения сертификатов DigiCert Malaysia из настроек доверия по умолчанию. Выражаем благодарность Брюсу Мортону (Bruce Morton) из компании Entrust за сообщение об этой проблеме.

 

- 

- 

dovecot

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.

Описание. Существует ряд атак на конфиденциальность SSL 3.0 и TLS 1.0, при которых комплект шифров использует блочный шифр в режиме CBC. Мера противодействия «пустой фрагмент», направленная на защиту от этих атак, была отключена Dovecot. Проблема решена путем включения меры противодействия.

Идентификатор CVE

CVE-2011-3389: Apple

 

- 

- 

filecmds

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Распаковка вредоносного архивного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода

Описание. Проблема, связанная с переполнением буфера, существовала в инструменте командной строки uncompress.

Идентификатор CVE

CVE-2011-2895

 

- 

- 

ImageIO

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного файла TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке изображений TIFF формата ThunderScan в библиотеке libtiff существовала проблема переполнения буфера. Проблема устранена путем обновления libtiff до версии 3.9.5.

Идентификатор CVE

CVE-2011-1167

 

- 

- 

ImageIO

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Ряд уязвимостей в libpng 1.5.4.

Описание. Библиотека libpng обновлена до версии 1.5.5 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте libpng по адресу http://www.libpng.org/pub/png/libpng.html

Идентификатор CVE

CVE-2011-3328

 

- 

- 

Общий Интернет

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Настройки безопасности сети Wi-Fi, установленные функцией общего доступа к Интернету, могут сбрасываться после обновления системы.

Описание. После обновления системы OS X Lion до версии, предшествующей 10.7.3, для конфигурации сети Wi-Fi, используемой для общего доступа к Интернету, могут восстанавливаться стандартные настройки, что влечет за собой отключение пароля WEP. Эта проблема возникает только в системах, в которых включен общий доступ к Интернету и сети Wi-Fi. Проблема устранена путем сохранения конфигурации сети Wi-Fi во время обновления системы.

Идентификатор CVE

CVE-2011-3452: анонимный исследователь

 

- 

- 

Libinfo

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

Описание. Существовала проблема в способе обработки компонентом Libinfo запросов поиска имени хоста. Компонент Libinfo мог возвращать неправильные результаты для вредоносного имени хоста. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

Идентификатор CVE

CVE-2011-3441: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

 

- 

- 

Библиотека libresolv

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Программы, использующие библиотеку ОС OS X libresolv, могут неожиданно завершать работу или выполнять произвольный код.

Описание. При анализе записей ресурсов DNS возникала проблема целочисленного переполнения, которая могла привести к повреждению динамической памяти.

Идентификатор CVE

CVE-2011-3453: Илья ван Спрундел (Ilja van Sprundel), компания IOActive

 

- 

- 

libsecurity

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Некоторые сертификаты EV могут использоваться как доверенные, даже если соответствующий корневой сертификат помечен как недоверенный.

Описание. Код сертификата использовал корневой сертификат, указанный в списке известных издателей сертификатов EV, как доверенный для подписи сертификатов EV, даже если пользователь установил для него пометку «Никогда не доверять» в программе «Связка ключей». Корневой сертификат не использовался как доверенный для подписи сертификатов, отличных от EV.

Идентификатор CVE

CVE-2011-3422: Аластаир Хьютон (Alastair Houghton)

 

- 

- 

OpenGL

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Программы, использующие реализацию ОС OS X OpenGL, могут неожиданно завершать работу или выполнять произвольный код.

Описание. Множественные проблемы, связанные с повреждением данных в памяти, существовали при обработке компиляции GLSL.

Идентификатор CVE

CVE-2011-3457: Крис Эванс (Chris Evans), подразделение Google Chrome Security Team, и Марк Шёнефельд (Marc Schoenefeld), подразделение Red Hat Security Response Team

 

- 

- 

Язык PHP

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Ряд уязвимостей в языке PHP 5.3.6.

Описание. Обновление PHP до версии 5.3.8 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте PHP по адресу http://php.net/

Идентификатор CVE

CVE-2011-1148

CVE-2011-1657

CVE-2011-1938

CVE-2011-2202

CVE-2011-2483

CVE-2011-3182

CVE-2011-3189

CVE-2011-3267

CVE-2011-3268

 

- 

- 

Язык PHP

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке компонентом FreeType шрифтов Type 1 возникала проблема, связанная с повреждением данных в памяти. Проблема решается путем обновления FreeType до версии 2.4.7. Дополнительную информацию см. на веб-сайте FreeType по адресу http://www.freetype.org/

Идентификатор CVE

CVE-2011-3256: Apple

 

- 

- 

Язык PHP

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Ряд уязвимостей в libpng 1.5.4.

Описание. Библиотека libpng обновлена до версии 1.5.5 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте libpng по адресу http://www.libpng.org/pub/png/libpng.html

Идентификатор CVE

CVE-2011-3328

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Открытие вредоносного файла MP4 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке файлов MP4 возникала проблема несанкционированного доступа к памяти.

Идентификатор CVE

CVE-2011-3458: Луиджи Аурьемма (Luigi Auriemma) и пользователь pa_kt both, принимающие участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. В способе обработки таблиц шрифтов, встроенных в видеофайлы QuickTime, существовала проблема, связанная со знаковыми числами.

Идентификатор CVE

CVE-2011-3248: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке атомов rdrf в видеофайлах QuickTime существовала проблема однобайтового переполнения буфера.

Идентификатор CVE

CVE-2011-3459: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного файла изображения в формате JPEG2000 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке файлов JPEG2000 возникала проблема переполнения буфера.

Идентификатор CVE

CVE-2011-3250: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Обработка вредоносного изображения PNG может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке PNG-файлов возникала проблема переполнения буфера.

Идентификатор CVE

CVE-2011-3460: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

Компонент QuickTime

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке видеофайлов формата FLC существовало переполнение буфера.

Идентификатор CVE

CVE-2011-3249: Мэт Ярцек (Matt 'j00ru' Jurczyk), принимающий участие в программе Zero Day Initiative компании TippingPoint

 

- 

- 

SquirrelMail

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

Воздействие. Ряд уязвимостей в SquirrelMail.

Описание. Обновление SquirrelMail до версии 1.4.22 позволяет устранить некоторые уязвимости, наиболее серьезные из которых могут привести к выполнению межсайтовых сценариев. Эта проблема не возникает в ОС OS X Lion. Дополнительную информацию см. на веб-сайте SquirrelMail по адресу http://www.SquirrelMail.org/

Идентификатор CVE

CVE-2010-1637

CVE-2010-2813

CVE-2010-4554

CVE-2010-4555

CVE-2011-2023

 

- 

- 

Subversion

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Доступ к хранилищу Subversion может повлечь раскрытие конфиденциальной информации.

Описание. Хранилище Subversion обновлено до версии 1.6.17 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к раскрытию конфиденциальной информации. Дополнительную информацию об этой проблеме см. на сайте Subversion http://subversion.apache.org/.

Идентификатор CVE

CVE-2011-1752

CVE-2011-1783

CVE-2011-1921

 

- 

- 

Time Machine

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Удаленный злоумышленник может получать доступ к новым резервным копиям, созданным системой пользователя.

Описание. Пользователь может назначить удаленный том AFP или Time Capsule в качестве тома для резервных копий Time Machine. Программа Time Machine не проверяет то, что одно и то же устройство используется для последующих операций резервного копирования. Злоумышленник, имеющий возможность подделывать удаленный том, может получать доступ к новым резервным копиям, созданным системой пользователя. Проблема решена путем проверки уникального идентификатора, который связан с диском, используемым для операций резервного копирования.

Идентификатор CVE

CVE-2011-3462: Михаэль Ройтцш (Michael Roitzsch), компания Technische Universität Dresden

 

- 

- 

Tomcat

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

Воздействие. Ряд уязвимостей в Tomcat 6.0.32.

Описание. Сервер Tomcat обновлен до версии 6.0.33 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к раскрытию конфиденциальной информации. Tomcat входит в состав только ОС Mac OS X Server. Эта проблема не возникает в ОС OS X Lion. Дополнительную информацию см. на сайте Tomcat по адресу http://tomcat.apache.org/

Идентификатор CVE

CVE-2011-2204

 

- 

- 

Общий доступ к WebDAV

Доступно для: ОС OS X Lion Server 10.7–10.7.2

Воздействие. Локальные пользователи могут получить системные привилегии.

Описание. В способе обработки аутентификации пользователя в функции общего доступа WebDAV существовала проблема. Пользователь с действительной учетной записью на сервере или в одном из его связанных каталогов мог инициировать выполнение произвольного кода с системными привилегиями. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

Идентификатор CVE

CVE-2011-3463: Гордон Дависсон (Gordon Davisson), компания Crywolf

 

- 

- 

Веб-почта

Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного сообщения электронной почты может повлечь раскрытие содержимого сообщения.

Описание. В способе обработки почтовых сообщений существовала проблема выполнения межсайтовых сценариев. Проблема решена путем обновления Roundcube Webmail до версии 0.6. Эта проблема не возникает в системах, предшествующих ОС OS X Lion. Дополнительную информацию см. на сайте Roundcube по адресу http://trac.roundcube.net/

Идентификатор CVE

CVE-2011-2937

 

- 

- 

X11

Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. При обработке компонентом FreeType шрифтов Type 1 возникала проблема, связанная с повреждением данных в памяти. Проблема решается путем обновления FreeType до версии 2.4.7. Дополнительную информацию см. на веб-сайте FreeType по адресу http://www.freetype.org/

Идентификатор CVE

CVE-2011-3256: Apple