Om sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004
Her kan du læse om sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004.
I dette dokument beskrives sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004
Bemærk: Indholdet i Safari 6.0.1 indgår i OS X Mountain Lion v10.8.2. Yderligere oplysninger kan ses i artiklen Sikkerhedsindholdet i Safari 6.0.1.
Apache
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Flere sikkerhedsrisici i Apache
Beskrivelse: Apache er opdateret til version 2.2.22 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste medfører risiko for DoS-angreb (Denial of Service). Yderligere oplysninger kan ses på Apache-webstedet på http://httpd.apache.org/. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: En hacker kan forårsage Denial of Service på computere, der er konfigureret til at køre BIND som DNS-navneserver
Beskrivelse: Der var en hukommelsesfejl af typen "reachable assertion" i forbindelse med håndtering af DNS-poster. Problemet er løst ved at opdatere til BIND 9.7.6-P1. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-4313
BIND
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Effekt: En hacker kan forårsage Denial of Service, beskadigede data eller få adgang til følsomme oplysninger i proceshukommelsen på computere, der er konfigureret til at køre BIND som DNS-navneserver
Beskrivelse: Der var en hukommelsesfejl i forbindelse med håndtering af DNS-poster. Problemet er løst ved at opdatere til BIND 9.7.6-P1 på OS X Lion-computere og BIND 9.8.3-P1 på OS X Mountain Lion-computere.
CVE-id
CVE-2012-1667
CoreText
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Programmer, der bruger CoreText, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med kontrol af grænser ved håndtering af tekst-glyphs, som kan medføre hukommelseslæsning eller -skrivning uden for grænserne. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med Mac OS X 10.6 eller OS X Mountain Lion.
CVE-id
CVE-2012-3716: Jesse Ruderman fra Mozilla Corporation
Datasikkerhed
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Effekt: En hacker med en privilegeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger
Beskrivelse: TrustWave, der er en godkendt rodcertifikatudsteder, har udsendt og efterfølgende tilbagekaldt et undercertifikat fra et af sine godkendte ankre. Undercertifikatet gjorde det lettere at bryde ind i kommunikation, der var sikret med TLS (Transport Layer Security). Med opdateringen føjes undercertifikatet til listen over ikke-godkendte udstedere i OS X.
DirectoryService
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Effekt: Hvis DirectoryService-proxyen bruges, kan en hacker muligvis forårsage Denial of Service eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb ved behandling af DirectoryService-proxyen. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Lion og Mountain Lion.
CVE-id
CVE-2012-0650: aazubel, der arbejder for HP's Zero Day Initiative
ImageIO
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet PNG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var flere hukommelsesfejl i forbindelse med håndteringen af PNG-billeder i libpng. Disse problemer er løst ved forbedret godkendelse af PNG-billeder. Problemerne påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
ImageIO
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet TIFF-billede kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af TIFF-billeder i libTIFF. Problemet er løst ved forbedret godkendelse af TIFF-billeder. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-1173: Alexander Gavrun, der arbejder for HP's Zero Day Initiative
Installeringsprogram
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Eksterne administrationer og personer med fysisk adgang til computeren kan få fat i kontooplysningerne
Beskrivelse: Rettelsen til CVE-2012-0652 i OS X Lion 10.7.4 forhindrede, at brugeradgangskoderne blev registreret i systemloggen, men ældre log-poster blev ikke slettet. Problemet er løst ved at slette logarkiver, der indeholdt adgangskoder. Problemet påvirker ikke computere med Mac OS X 10.6 eller OS X Mountain Lion.
CVE-id
CVE-2012-0652
Internationale komponenter til Unicode
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Programmer, der bruger ICU, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstår bufferoverløb i forbindelse med håndteringen af lokale id'er i ICU. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-4599
Kernel
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Et skadeligt program kan tilsidesætte sandkasserestriktioner
Beskrivelse: Der opstod et logisk problem i håndteringen af debug-systemopkald. Dette kan medføre, at et skadeligt udformet program kan afvikle kode i andre programmer med de samme brugerrettigheder. Problemet er løst ved at deaktivere adressehåndtering i PT_STEP og PT_CONTINUE. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-0643: 2012 iOS Jailbreak Dream Team
LoginWindow
Fås til: OS X Mountain Lion v10.8 og v10.8.1
Effekt: En lokal bruger kan muligvis få adgang til andre brugeres log ind-adgangskoder
Beskrivelse: En brugerinstalleret inputmetode kan bryde ind ved indtastning af adgangskode i log ind-vinduet eller ved oplåsning af skærmskåneren. Problemet er løst ved at forhindre, at der kan bruges brugerinstallerede metoder, når systemet arbejder med log ind-oplysninger.
CVE-id
CVE-2012-3718: Lukhnos Liu
Mail
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af en e-mail kan medføre udførelse af webtilbehør
Beskrivelse: Der var en fejl ved godkendelse af input ved behandlingen af indlejret webtilbehør i Mail. Problemet er løst ved at deaktivere tilbehør fra andre producenter i Mail. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-3719: Will Dormann fra CERT/CC
Mobile konti
Fås til: OS X Mountain Lion v10.8 og v10.8.1
Effekt: En bruger med adgang til indholdet af en mobil konto kan få fat i adgangskoden til kontoen
Beskrivelse: Ved oprettelse af en mobil konto blev der arkiveret en hashværdi af adgangskoden på den konto, som blev brugt til at logge ind med, da den mobile konto blev brugt som en ekstern konto. Adgangskodehashværdien kan bruges til at finde frem til brugerens adgangskode. Problemet er løst ved kun at oprette adgangskode-hashværdier, hvis eksterne konti er slået til på den computer, som den mobile konto oprettes på.
CVE-id
CVE-2012-3720: Harald Wagener fra Google, Inc.
PHP
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Effekt: Flere sikkerhedsrisici i PHP
Beskrivelse: >PHP opdateres til version 5.3.15 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan muliggøre kørsel af vilkårlig kode. Yderligere oplysninger kan ses på PHP-webstedet på http://www.php.net
CVE-id
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: PHP-scripts, der bruger libpng, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af PNG-arkiver. Problemet er løst ved at opdatere PHP's eksemplar af libpng til version 1.5.10. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-3048
Profile Manager
Fås til: OS X Lion Server v10.7 til v10.7.4
Effekt: En bruger, der ikke var godkendt, kunne oprette en liste med styrede enheder
Beskrivelse: Der var en godkendelsesfejl i den private grænseflade til enhedsadministration Problemet er løst ved at fjerne grænsefladen.
Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-3721: Derick Cassidy fra XEquals Corporation
QuickLook
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet .pict-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af .pict-arkiver. Problemet er løst ved forbedret godkendelse af .pict-arkiver. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) fra Qualys Vulnerability & Malware Research Labs (VMRL)
QuickTime
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et heltalsoverløb under behandlingen af sean-atomer i QuickTime. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-0670: Tom Gallagher (Microsoft) og Paul Bates (Microsoft), der arbejder for HP's Zero Day Initiative
QuickTime
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved håndtering af Sorenson-kodede arkiver. Problemet er løst ved forbedret hukommelsesinitialisering. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-3722: Will Dormann fra CERT/CC
QuickTime
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af RLE-krypterede filmarkiver. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-0668: Luigi Auriemma, der arbejder for HP's Zero Day Initiative
Ruby
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: En hacker kan dekryptere SSL-beskyttede data
Beskrivelse: Der er konstateret angreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger en blokchiffer i CBC-funktion. Ruby OpenSSL-modulet har deaktiveret modforanstaltningen 'empty fragment', der forhindrede disse angreb. Problemet er løst ved at aktivere 'empty fragments'. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2011-3389
USB
Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Effekt: Tilkobling af en USB-enhed kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af USB-hub-beskrivere. Problemet er løst ved forbedret behandling af bNbrPorts-beskriverfeltet. Problemet påvirker ikke computere med OS X Mountain Lion.
CVE-id
CVE-2012-3723: Andy Davis fra NGS Secure
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.