OS X Lion v10.7.4 og sikkerhetsoppdatering 2012-002 kan kan lastes ned og installeres via Programvareoppdatering-valgene eller fra Apple Support Nedlastinger.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
OS X Lion v10.7.4 og sikkerhetsoppdatering 2012-002
-
Påloggingsvindu
Tilgjengelig for: OS X Lion v10.7.3, OS X Lion Server v10.7.3
Virkning: Eksterne administratorer og personer med fysisk tilgang til systemet kan få kontoinformasjon
Beskrivelse: Det var et problem med håndteringen av pålogging av nettverkskontoer. Påloggingsprosessen registrerte sensitiv informasjon i systemloggen, der andre brukere av systemet kunne lese den. Den sensitive informasjonen kan bli liggende i arkiverte logger etter installering av denne oppdateringen. Dette problemet gjelder bare systemer som kjører OS X Lion v10.7.3 med brukere av eldre FileVault og/eller Hjem-mapper i nettverk. Se http://support.apple.com/kb/TS4272?viewlocale=no_NO for å få mer informasjon om sikker fjerning av eventuelle gjenværende registreringer.
CVE-ID
CVE-2012-0652 : Terry Reeves og Tim Winningham ved Ohio State University, Markus 'Jaroneko' Räty ved Finska konstakademien, Jaakko Pero ved Aalto-universitetet, Mark Cohen ved Oregon State University, Paul Nelson
-
Bluetooth
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et midlertidig problem med en "file race"-tilstand i blueds initialiseringsrutine.
CVE-ID
CVE-2012-0649: Aaron Sigel hos vtty.com
-
curl
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: En angriper kan være i stand til å dekryptere data som er beskyttet av SSL
Beskrivelse: Det finnes kjente angrep på konfidensialiteten til SSL 3.0 og TLS 1.0 når en chiffersamling bruker blokkchiffrering i CBC-modus. curl deaktiverte "tomt fragment"-mottiltaket som hindret disse angrepene. Problemet er løst ved å aktivere tomme fragmenter.
CVE-ID
CVE-2011-3389: Apple
-
curl
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Bruk av curl eller libcurl sammen med en skadelig URL kan føre til protokollspesifikke datainjiseringsangrep
Beskrivelse: Det var et problem med datainjisering i curls håndtering av URLer. Dette problemet er løst gjennom forbedret validering av URLer. Problemet gjelder ikke for systemer som er eldre enn OS X Lion.
CVE-ID
CVE-2012-0036
-
Katalogtjeneste
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Virkning: En ekstern angriper kan få sensitiv informasjon
Beskrivelse: Det var flere problemer med katalogtjenerens håndtering av meldinger fra nettverket. Ved å sende en skadelig melding kunne en ekstern angriper få katalogtjeneren til å avdekke hukommelse i adresseområdet og på den måten risikere å avsløre kontolegitimasjon eller annen sensitiv informasjon. Dette problemet påvirker ikke OS X Lion-systemer. Katalogtjeneren er deaktivert som standard i ikke-tjenerinstallasjoner av OS X.
CVE-ID
CVE-2012-0651: Agustin Azubel
-
HFS
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Aktivering av en skadelig diskfil kan føre til at et system avsluttes eller at vilkårlig kode utføres
Beskrivelse: Det var et problem med heltallsunderflyt i håndteringen av HFS-katalogfiler.
CVE-ID
CVE-2012-0642: pod2g
-
ImageIO
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Virkning: Visning av en skadelig TIFF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er bufferoverflyt i ImageIOs håndtering av CCITT-gruppe 4-kodete TIFF-filer. Problemet gjelder ikke OS X Lion-systemer.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX i Tessi Technologies
-
ImageIO
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Virkning: Flere svakhetspunkter i libpng
Beskrivelse: libpng er oppdatert til versjon 1.5.5 for å ta hånd om flere sårbarheter, der den mest alvorlige kan føre til avdekking av informasjon. Mer informasjon er tilgjengelig på libpng-nettstedet http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2011-2692
CVE-2011-3328
-
ImageIO
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Virkning: Visning av en skadelig TIFF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det er bufferoverflyt i libtiffs håndtering av ThunderScan-kodete TIFF-bilder. Problemet løses ved å oppdatere libtiff til versjon 3.9.5.
CVE-ID
CVE-2011-1167
-
Kjerne
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Når FileVault brukes, kan disken inneholde ukrypterte brukerdata
Beskrivelse: Det var et problem med kjernens håndtering av dvalemodusfilen, som etterlot noen ukrypterte data på disken selv om FileVault var aktivert. Dette problemet er løst gjennom forbedret håndtering av dvalemodusfilen og ved å overskrive den eksisterende dvalemodusfilen ved oppdatering til OS X v10.7.4. Dette problemet angår ikke systemer forut for OS X Lion.
CVE-ID
CVE-2011-3212: Felix Groebert i Google Security Team
-
libarchive
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Utpakking av et skadelig arkiv kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det var flere bufferoverflyt-tilfeller i håndteringen av tar-arkiver og iso9600-filer.
CVE-ID
CVE-2011-1777
CVE-2011-1778
-
libsecurity
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Kontroll av et skadelig X.509-sertifikat, for eksempel ved besøk på et skadelig nettsted, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i håndteringen av X.509-sertifikater.
CVE-ID
CVE-2012-0654: Dirk-Willem van Gulik i WebWeaving.org, Guilherme Prado i Conselho da Justiça Federal, Ryan Sleevi hos Google
-
libsecurity
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Støtte for X.509-sertifikater med RSA-nøkler av usikker lengde kan utsette brukere for svindel og informasjonslekkasje
Beskrivelse: Sertifikater som ble signert ved bruk av RSA-nøkler med usikker nøkkellengde, ble godtatt av libsecurity. Dette problemet er løst ved å forkaste sertifikater som inneholder RSA-nøkler på mindre enn 1024 bits.
CVE-ID
CVE-2012-0655
-
libxml
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Visning av en skadelig nettside kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere svakheter i libxml, der den mest alvorlige kunne føre til uventet avslutning av et program eller utføring av vilkårlig kode. Disse problemene er løst ved å ta i bruk relevante rettelser oppstrøms.
CVE-ID
CVE-2011-1944 : Chris Evans i Google Chrome Security Team
CVE-2011-2821: Yang Dingning ved NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning ved NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
-
LoginUIFramework
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Hvis Gjest-brukeren er aktivert, vil en bruker med fysisk tilgang til datamaskinen kunne logge seg på som en annen bruker enn Gjest-brukeren uten å oppgi passord
Beskrivelse: Det var en "race"-tilstand i håndteringen av Gjest-brukerpålogginger. Problemet gjelder ikke for systemer som er eldre enn OS X Lion.
CVE-ID
CVE-2012-0656: Francisco Gómez (espectalll123)
-
PHP
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Flere svakheter i PHP
Beskrivelse: PHP oppdateres til versjon 5.3.10 for å rette flere svakheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Mer informasjon er tilgjengelig på PHP-nettstedet http://www.php.net/.
CVE-ID
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
-
Quartz Composer
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: En bruker med fysisk tilgang til datamaskinen kan få Safari til å starte selv om skjermen er låst hvis RSS Visualizer-skjermspareren blir brukt
Beskrivelse: Det var et tilgangskontrollproblem i Quartz Composers håndtering av skjermsparere. Dette problemet er løst gjennom forbedret kontroll av om skjermen er låst eller ikke.
CVE-ID
CVE-2012-0657: Aaron Sigel hos vtty.com
-
QuickTime
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Visning av en skadelig filmfil ved progressiv nedlasting kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i håndteringen av lydprøvetabeller.
CVE-ID
CVE-2012-0658: Luigi Auriemma som arbeider med HPs Zero Day Initiative
-
QuickTime
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Visning av en skadelig MPEG-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var heltallsoverflyt i håndteringen av MPEG-filer.
CVE-ID
CVE-2012-0659: En anonym forsker som arbeider med HPs Zero Day Initiative
-
QuickTime
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Visning av en skadelig MPEG-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var bufferunderflyt i håndteringen av MPEG-filer.
CVE-ID
CVE-2012-0660: Justin Kim i Microsoft og Microsoft Vulnerability Research
-
QuickTime
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i håndteringen av JPEG2000-kodete filmfiler. Problemet gjelder ikke for systemer som er eldre enn OS X Lion.
CVE-ID
CVE-2012-0661: Damian Put som arbeider med HPs Zero Day Initiative
-
Ruby
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: Flere sårbarheter i Ruby
Beskrivelse: Ruby er oppdatert til 1.8.7-p357 for å rette på flere svakheter.
CVE-ID
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
-
Samba
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Virkning: Hvis SMB-fildeling er aktivert, kan en ikke-godkjent ekstern angriper forårsake tjenestenekt eller utføring av vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere bufferoverflyter i Sambas håndtering av eksterne prosedyrekall. Ved å sende en skadelig pakke kunne en ikke-godkjent ekstern angriper forårsake tjenestenekt eller utføring av vilkårlig kode med systemrettigheter. Problemene gjelder ikke OS X Lion-systemer.
CVE-ID
CVE-2012-0870: Andy Davis i NGS Secure
CVE-2012-1182: En anonym forsker som arbeider med HPs Zero Day Initiative
-
Sikkerhetsrammeverk
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3.
Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var heltallsoverflyt i sikkerhetsrammeverket. Behandling av uklarerte inndata med sikkerhetsrammeverket kunne føre til ødelagt hukommelse. Dette problemet angår ikke 32-bits prosesser.
CVE-ID
CVE-2012-0662: aazubel som arbeider med HPs Zero Day Initiative
-
Time Machine
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: En ekstern angriper kan få tilgang til en brukers legitimasjon for Time Machine-sikkerhetskopier
Beskrivelse: Brukeren kan utpeke en Time Capsule eller et eksternt AFP-volum koblet til en AirPort-basestasjon for bruk til Time Machine-sikkerhetskopier. Fra og med firmwareoppdatering 7.6 for AirPort-basestasjoner og Time Capsule har Time Capsule-enheter og basestasjoner støttet en sikker, SRP-basert godkjenningsmekanisme over AFP. Time Machine krevde imidlertid ikke at den SRP-baserte godkjenningsmekanismen ble brukt til påfølgende sikkerhetskopieringsoperasjoner selv om Time Machine i utgangspunktet var konfigurert eller noen gang hadde kontaktet en Time Capsule eller basestasjon som støttet det. En angriper som er i stand til å svindle et eksternt volum, kunne få tilgang til brukerens Time Capsule-legitimasjon, men ikke sikkerhetskopidata, som ble sendt av brukerens system. Dette problemet er løst ved å kreve bruk av den SRP-baserte godkjenningsmekanismen hvis sikkerhetskopimålet noen gang har støttet det.
CVE-ID
CVE-2012-0675: Renaud Deraison i Tenable Network Security, Inc.
-
X11
Tilgjengelig for: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: Programmer som bruker libXfont til å behandle LZW-komprimerte data, kan være sårbare for uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i libXfonts håndtering av LZW-komprimerte data. Dette problemet løses ved å oppdatere libXfont til versjon 1.4.4.
CVE-ID
CVE-2011-2895: Tomas Hoger i Red Hat
Merk: I tillegg filtrerer denne oppdateringen «dynamic linker»-miljøvariabler fra en egen miljøegenskapsliste i brukerens Hjem-mappe, hvis slike finnes.