Проблемы безопасности, устраняемые в ОС OS X Lion 10.7.3 и обновлением системы безопасности 2012-001

В этом документе описываются проблемы безопасности, устраняемые в ОС OS X Lion 10.7.3 и обновлением системы безопасности 2012-001.

В этом документе описываются проблемы безопасности, устраняемые в ОС OS X Lion 10.7.3 и обновлением системы безопасности 2012-001, которые можно загрузить и установить с помощью функции Обновление ПО или со страницы загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
 

ОС OS X Lion 10.7.3 и обновление системы безопасности 2012-001

  • Адресная книга

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать данные CardDAV.

    Описание. Адресная книга поддерживает протокол SSL для доступа к CardDAV. Проблема снижения уровня безопасности вызвана тем, что в случае ошибки зашифрованного соединения адресная книга пытается установить незашифрованное соединение. Злоумышленник, находящийся в привилегированном участке сети, мог использовать это поведение для перехвата данных CardDAV. Проблема устранена путем установки незашифрованного соединения только после получения разрешения пользователя.

    Идентификатор CVE

    CVE-2011-3444: Бернард Десруссо (Bernard Desruisseaux), компания Oracle Corporation

  • Apache

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Ряд уязвимостей веб-сервера Apache.

    Описание. Веб-сервер Apache обновлен до версии 2.2.21 для устранения ряда уязвимостей, наиболее серьезная из которых может привести к отказу в обслуживании. Дополнительную информацию см. на веб-сайте Apache http://httpd.apache.org.

    Идентификатор CVE

    CVE-2011-3348

  • Apache

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.

    Описание. Существует ряд атак на конфиденциальность SSL 3.0 и TLS 1.0, при которых комплект шифров использует блочный шифр в режиме CBC. Мера противодействия «пустой фрагмент», направленная на защиту от этих атак, была отключена Apache. Проблема устранена путем предоставления параметра конфигурации для управления мерой противодействия и его включения по умолчанию.

    Идентификатор CVE

    CVE-2011-3389

  • Инфраструктура ATS

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Открытие вредоносного шрифта в программе «Шрифты» может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Проблема, связанная с управлением памятью, существовала в способе обработки компонентом ATS файлов данных шрифтов, открытых в программе «Шрифты».

    Идентификатор CVE

    CVE-2011-3446: Уилл Дорманн (Will Dormann), CERT/CC

  • CFNetwork

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

    Описание. Существовала ошибка в обработке неправильно сформированных URL-адресов в интерфейсе CFNetwork. При открытии вредоносного URL-адреса интерфейс CFNetwork мог отправлять запрос несоответствующему серверу-источнику. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3246: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

  • CFNetwork

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

    Описание. Существовала ошибка в обработке неправильно сформированных URL-адресов в интерфейсе CFNetwork. При открытии вредоносного URL-адреса интерфейс CFNetwork мог отправлять непредвиденные заголовки запросов. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3447: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

  • ColorSync

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

    Воздействие. Просмотр вредоносного изображения со встроенным профилем ColorSync может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке изображений со встроенным профилем ColorSync возникало целочисленное переполнение, которое может привести к переполнению буфера в динамической памяти. Эта проблема не возникает в ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-0200: пользователь binaryproof, принимающий участие в программе Zero Day Initiative организации TippingPoint

  • CoreAudio

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

    Воздействие. Воспроизведение вредоносного аудиофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке аудиопотоков в формате AAC существовало переполнение буфера. Эта проблема не возникает в ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3252: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • CoreMedia

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке программой CoreMedia видеофайлов формата H.264 возникало переполнение буфера для динамически распределяемых структур данных.

    Идентификатор CVE

    CVE-2011-3448: Скотт Стендер (Scott Stender), компания iSEC Partners

  • CoreText

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр или загрузка документа, в который встроен вредоносный шрифт, может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Во время обработки файлов шрифтов возникала проблема использования памяти после ее освобождения.

    Идентификатор CVE

    CVE-2011-3449: Уилл Дорманн (Will Dormann), CERT/CC

  • CoreUI

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или к выполнению случайного кода.

    Описание. При обработке длинных URL-адресов возникала проблема, связанная с неограниченным выделением стека. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3450: Бен Сиверсон (Ben Syverson)

  • curl

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Удаленный сервер может выдавать себя за клиентов с помощью запросов GSSAPI.

    Описание. При выполнении аутентификации GSSAPI компонент libcurl выполняет безусловное делегирование прав. Проблема устранена путем отключения делегирования прав в интерфейсе GSSAPI.

    Идентификатор CVE

    CVE-2011-2192

  • Безопасность данных

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя или другую конфиденциальную информацию.

    Описание. Два издателя сертификатов в списке доверенных корневых сертификатов независимо издали промежуточные сертификаты для компании DigiCert Malaysia. Компания DigiCert Malaysia издала сертификаты со слабыми ключами, которые невозможно отозвать. Злоумышленник, находящийся в привилегированном участке сети, мог перехватывать данные входа пользователя или другую важную информацию, направляемую на сайт с сертификатом, изданным DigiCert Malaysia. Проблема решена путем исключения сертификатов DigiCert Malaysia из настроек доверия по умолчанию. Выражаем благодарность Брюсу Мортону (Bruce Morton) из компании Entrust за сообщение об этой проблеме.

  • dovecot

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.

    Описание. Существует ряд атак на конфиденциальность SSL 3.0 и TLS 1.0, при которых комплект шифров использует блочный шифр в режиме CBC. Мера противодействия «пустой фрагмент», направленная на защиту от этих атак, была отключена Dovecot. Проблема решена путем включения меры противодействия.

    Идентификатор CVE

    CVE-2011-3389: Apple

  • filecmds

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Распаковка вредоносного архивного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода

    Описание. Проблема, связанная с переполнением буфера, существовала в инструменте командной строки uncompress.

    Идентификатор CVE

    CVE-2011-2895

  • ImageIO

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного файла TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке изображений TIFF формата ThunderScan в библиотеке libtiff существовала проблема переполнения буфера. Проблема устранена путем обновления libtiff до версии 3.9.5.

    Идентификатор CVE

    CVE-2011-1167

  • ImageIO

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Ряд уязвимостей в libpng 1.5.4.

    Описание. Библиотека libpng обновлена до версии 1.5.5 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте libpng по адресу http://www.libpng.org/pub/png/libpng.html

    Идентификатор CVE

    CVE-2011-3328

  • Общий Интернет

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Настройки безопасности сети Wi-Fi, установленные функцией общего доступа к Интернету, могут сбрасываться после обновления системы.

    Описание. После обновления системы OS X Lion до версии, предшествующей 10.7.3, для конфигурации сети Wi-Fi, используемой для общего доступа к Интернету, могут восстанавливаться стандартные настройки, что влечет за собой отключение пароля WEP. Эта проблема возникает только в системах, в которых включен общий доступ к Интернету и сети Wi-Fi. Проблема устранена путем сохранения конфигурации сети Wi-Fi во время обновления системы.

    Идентификатор CVE

    CVE-2011-3452: анонимный исследователь

  • Libinfo

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Посещение вредоносного веб-сайта может привести к разглашению конфиденциальных сведений.

    Описание. Существовала проблема в способе обработки компонентом Libinfo запросов поиска имени хоста. Компонент Libinfo мог возвращать неправильные результаты для вредоносного имени хоста. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3441: Эрлинг Эллингсен (Erling Ellingsen), компания Facebook

  • Библиотека libresolv

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Программы, использующие библиотеку ОС OS X libresolv, могут неожиданно завершать работу или выполнять произвольный код.

    Описание. При анализе записей ресурсов DNS возникала проблема целочисленного переполнения, которая могла привести к повреждению динамической памяти.

    Идентификатор CVE

    CVE-2011-3453: Илья ван Спрундел (Ilja van Sprundel), компания IOActive

  • libsecurity

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Некоторые сертификаты EV могут использоваться как доверенные, даже если соответствующий корневой сертификат помечен как недоверенный.

    Описание. Код сертификата использовал корневой сертификат, указанный в списке известных издателей сертификатов EV, как доверенный для подписи сертификатов EV, даже если пользователь установил для него пометку «Никогда не доверять» в программе «Связка ключей». Корневой сертификат не использовался как доверенный для подписи сертификатов, отличных от EV.

    Идентификатор CVE

    CVE-2011-3422: Аластаир Хьютон (Alastair Houghton)

  • OpenGL

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Программы, использующие реализацию ОС OS X OpenGL, могут неожиданно завершать работу или выполнять произвольный код.

    Описание. Множественные проблемы, связанные с повреждением данных в памяти, существовали при обработке компиляции GLSL.

    Идентификатор CVE

    CVE-2011-3457: Крис Эванс (Chris Evans), подразделение Google Chrome Security Team, и Марк Шёнефельд (Marc Schoenefeld), подразделение Red Hat Security Response Team

  • Язык PHP

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Ряд уязвимостей в языке PHP 5.3.6.

    Описание. Обновление PHP до версии 5.3.8 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте PHP по адресу http://php.net/

    Идентификатор CVE

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • Язык PHP

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке компонентом FreeType шрифтов Type 1 возникала проблема, связанная с повреждением данных в памяти. Проблема решается путем обновления FreeType до версии 2.4.7. Дополнительную информацию см. на веб-сайте FreeType по адресу http://www.freetype.org/

    Идентификатор CVE

    CVE-2011-3256: Apple

  • Язык PHP

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Ряд уязвимостей в libpng 1.5.4.

    Описание. Библиотека libpng обновлена до версии 1.5.5 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Дополнительную информацию см. на веб-сайте libpng по адресу http://www.libpng.org/pub/png/libpng.html

    Идентификатор CVE

    CVE-2011-3328

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Открытие вредоносного файла MP4 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке файлов MP4 возникала проблема несанкционированного доступа к памяти.

    Идентификатор CVE

    CVE-2011-3458: Луиджи Аурьемма (Luigi Auriemma) и пользователь pa_kt both, принимающие участие в программе Zero Day Initiative компании TippingPoint

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. В способе обработки таблиц шрифтов, встроенных в видеофайлы QuickTime, существовала проблема, связанная со знаковыми числами.

    Идентификатор CVE

    CVE-2011-3248: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке атомов rdrf в видеофайлах QuickTime существовала проблема однобайтового переполнения буфера.

    Идентификатор CVE

    CVE-2011-3459: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного файла изображения в формате JPEG2000 может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке файлов JPEG2000 возникала проблема переполнения буфера.

    Идентификатор CVE

    CVE-2011-3250: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Обработка вредоносного изображения PNG может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке PNG-файлов возникала проблема переполнения буфера.

    Идентификатор CVE

    CVE-2011-3460: Луиджи Аурьемма (Luigi Auriemma), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • Компонент QuickTime

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке видеофайлов формата FLC существовало переполнение буфера.

    Идентификатор CVE

    CVE-2011-3249: Мэт Ярцек (Matt 'j00ru' Jurczyk), принимающий участие в программе Zero Day Initiative компании TippingPoint

  • SquirrelMail

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

    Воздействие. Ряд уязвимостей в SquirrelMail.

    Описание. Обновление SquirrelMail до версии 1.4.22 позволяет устранить некоторые уязвимости, наиболее серьезные из которых могут привести к выполнению межсайтовых сценариев. Эта проблема не возникает в ОС OS X Lion. Дополнительную информацию см. на веб-сайте SquirrelMail по адресу http://www.SquirrelMail.org/

    Идентификатор CVE

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Доступ к хранилищу Subversion может повлечь раскрытие конфиденциальной информации.

    Описание. Хранилище Subversion обновлено до версии 1.6.17 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к раскрытию конфиденциальной информации. Дополнительную информацию об этой проблеме см. на сайте Subversion http://subversion.apache.org/.

    Идентификатор CVE

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Удаленный злоумышленник может получать доступ к новым резервным копиям, созданным системой пользователя.

    Описание. Пользователь может назначить удаленный том AFP или Time Capsule в качестве тома для резервных копий Time Machine. Программа Time Machine не проверяет то, что одно и то же устройство используется для последующих операций резервного копирования. Злоумышленник, имеющий возможность подделывать удаленный том, может получать доступ к новым резервным копиям, созданным системой пользователя. Проблема решена путем проверки уникального идентификатора, который связан с диском, используемым для операций резервного копирования.

    Идентификатор CVE

    CVE-2011-3462: Михаэль Ройтцш (Michael Roitzsch), компания Technische Universität Dresden

  • Tomcat

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8

    Воздействие. Ряд уязвимостей в Tomcat 6.0.32.

    Описание. Сервер Tomcat обновлен до версии 6.0.33 с целью устранения ряда уязвимостей, наиболее серьезные из которых могут привести к раскрытию конфиденциальной информации. Tomcat входит в состав только ОС Mac OS X Server. Эта проблема не возникает в ОС OS X Lion. Дополнительную информацию см. на сайте Tomcat по адресу http://tomcat.apache.org/

    Идентификатор CVE

    CVE-2011-2204

  • Общий доступ к WebDAV

    Доступно для: ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Локальные пользователи могут получить системные привилегии.

    Описание. В способе обработки аутентификации пользователя в функции общего доступа WebDAV существовала проблема. Пользователь с действительной учетной записью на сервере или в одном из его связанных каталогов мог инициировать выполнение произвольного кода с системными привилегиями. Эта проблема не возникает в системах, предшествующих ОС OS X Lion.

    Идентификатор CVE

    CVE-2011-3463: Гордон Дависсон (Gordon Davisson), компания Crywolf

  • Веб-почта

    Доступно для: ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного сообщения электронной почты может повлечь раскрытие содержимого сообщения.

    Описание. В способе обработки почтовых сообщений существовала проблема выполнения межсайтовых сценариев. Проблема решена путем обновления Roundcube Webmail до версии 0.6. Эта проблема не возникает в системах, предшествующих ОС OS X Lion. Дополнительную информацию см. на сайте Roundcube по адресу http://trac.roundcube.net/

    Идентификатор CVE

    CVE-2011-2937

  • X11

    Доступно для: ОС Mac OS X 10.6.8, ОС Mac OS X Server 10.6.8, ОС OS X Lion 10.7–10.7.2, ОС OS X Lion Server 10.7–10.7.2

    Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке компонентом FreeType шрифтов Type 1 возникала проблема, связанная с повреждением данных в памяти. Проблема решается путем обновления FreeType до версии 2.4.7. Дополнительную информацию см. на веб-сайте FreeType по адресу http://www.freetype.org/

    Идентификатор CVE

    CVE-2011-3256: Apple

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: