Az OS X Mountain Lion 10.8.2, az OS X Lion 10.7.5 és a 2012-004. számú biztonsági frissítés biztonsági tartalma

A cikk az OS X Mountain Lion 10.8.2 és OS X Lion 10.7.5 rendszerek, illetve a 2012-004. számú biztonsági frissítés biztonsági tartalmát ismerteti.

Ez a dokumentum az OS X Mountain Lion 10.8.2 és OS X Lion 10.7.5 rendszerek, illetve a 2012-004. számú biztonsági frissítés biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az OS X Mountain Lion 10.8.2, az OS X Lion 10.7.5 és a 2012-004. számú biztonsági frissítés

Megjegyzés: Az OS X Mountain Lion 10.8.2 tartalmazza a Safari 6.0.1-es verzióját. Erről bővebben A Safari 6.0.1 biztonsági tartalma című cikkben olvashat.

  • Apache

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Több biztonsági rés az Apache alkalmazásban.

    Leírás: Az Apache a 2.2.22-es verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb szolgáltatásmegtagadást okozhat. További információt az Apache webhelyén talál a következő címen: http://httpd.apache.org/. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: A BIND DNS-kiszolgálóként való futtatására konfigurált rendszerekben egy távoli támadó szolgáltatásmegtagadást idézhet elő

    Leírás: A DNS-rekordok kezelésében egy elérhető helyességi feltételekkel kapcsolatos hiba állt fenn. A probléma a BIND 9.7.6-P1 verzióra való frissítéssel megoldódott. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-4313

  • BIND

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4, OS X Mountain Lion 10.8 és 10.8.1

    Érintett terület: A BIND DNS-kiszolgálóként való futtatására konfigurált rendszerekben egy távoli támadó szolgáltatásmegtagadást vagy adatsérülést okozhat, illetve bizalmas adatokhoz férhet hozzá a folyamatmemóriából

    Leírás: A DNS-rekordok kezelésében egy memóriakezelési hiba állt fenn. A probléma az OS X Lion rendszerekben a BIND 9.7.6-P1 verzióra, az OS X Mountain Lion rendszerekben a BIND 9.8.3-P1 verzióra való frissítéssel megoldódott.

    CVE-azonosító

    CVE-2012-1667

  • CoreText

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: A CoreText technológiát használó alkalmazások sebezhetők lehetnek a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben.

    Leírás: A szöveges betűképek kezelésében határérték-ellenőrzési probléma állt fenn, ami a határértéket túllépő memóriaolvasást vagy -írást tehetett lehetővé. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba nem érinti a Mac OS X 10.6 és az OS X Mountain Lion rendszert.

    CVE-azonosító

    CVE-2012-3716 : Jesse Ruderman, Mozilla Corporation

  • Adatbiztonság

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4, OS X Mountain Lion 10.8 és 10.8.1

    Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

    Lírás: A TrustWave nevű megbízható legfelső szintű hitelesítésszolgáltató kiadott, majd visszavont egy alhitelesítés-szolgáltatói tanúsítványt az egyik megbízható horgonytól. Ez az alhitelesítés-szolgáltatói tanúsítvány lehetővé tette a TLS használatával titkosított kommunikáció lehallgatását. A frissítés hozzáadja az érintett alhitelesítés-szolgáltatói tanúsítványokat az OS X nem megbízható tanúsítványainak listájához.

  • DirectoryService

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: A DirectoryService Proxy használata esetén egy távoli támadó a szolgáltatás megtagadását, illetve tetszőleges programkód végrehajtását idézheti elő

    Leírás: A DirectoryService Proxy használatakor puffertúlcsordulást okozó probléma állt fenn. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba az OS X Lion és Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-0650 : aazubel (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Az ártó szándékkal létrehozott PNG-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet

    Leírás: A libpng könyvtárban a PNG-képek kezelésével összefüggésben több, memóriahibát előidéző probléma állt fenn. E problémákat a PNG-képfájlok érvényességének ellenőrzésében végrehajtott javításokkal megszüntették. Ezek a hibák az OS X Mountain Lion rendszereket nem érintik.

    CVE-azonosító

    CVE-2011-3026 : Jüri Aedla

    CVE-2011-3048

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A libTIFF könyvtárnak a TIFF-képek kezelésére használt módszerében egészszám-túlcsordulást okozó probléma volt jelen. E problémákat a TIFF-képek érvényességének ellenőrzésében végrehajtott javításokkal megszüntették. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-1173 : Alexander Gavrun (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)

  • Telepítő

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Távoli rendszergazdák és a rendszerhez fizikai hozzáféréssel rendelkező személyek fiókadatokhoz juthatnak hozzá

    Leírás: Az OS X Lion 10.7.4 rendszerben a CVE-2012-0652 jelű hiba javítása megakadályozta a felhasználói jelszavak rögzítését a rendszernaplóban, a régi naplóbejegyzéseket azonban nem távolította el. A probléma a jelszavakat tartalmazó naplófájlok törlésével megoldódott. Ez a hiba nem érinti a Mac OS X 10.6 és az OS X Mountain Lion rendszert.

    CVE-azonosító

    CVE-2012-0652

  • International Components for Unicode

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Előfordult, hogy az ICU könyvtárkészletet használó alkalmazások esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Verempuffer-túlcsordulást okozó probléma állt fenn az ICU helyazonosítók kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-4599

  • Kernel

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Rosszindulatú programok megkerülhették a homokozó korlátozásait

    Leírás: Logikai probléma állt fenn a hibakeresési rendszerhívások kezelésével kapcsolatban. Ez rosszindulatú programok számára lehetővé tette, hogy programkód-végrehajtási jogosultságot szerezzenek más, azonos felhasználói jogosultságokkal rendelkező programokban. Ez a probléma a PT_STEP és PT_CONTINUE címek kezelésének letiltásával megoldódott. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-0643 : iOS Jailbreak Dream Team

  • Bejelentkezési ablak

    A következőkhöz érhető el: OS X Mountain Lion 10.8 és 10.8.1

    Érintett terület: Helyi felhasználók megszerezhetik más felhasználók bejelentkezési jelszavát

    Leírás: Egy felhasználó által telepített beviteli módszerrel megszerezhetők a bejelentkezési ablakban vagy a képernyővédő feloldásakor beírt jelszavak billentyűleütései. A problémát azzal oldották meg, hogy a bejelentkezési információk kezelésekor már nem lehet felhasználó által telepített beviteli módszereket használni.

    CVE-azonosító

    CVE-2012-3718: Lukhnos Liu

  • Mail

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Egy e-mail üzenet megtekintése webes beépülő modulok végrehajtását okozhatja

    Leírás: A Mail alkalmazás beviteli érvényesség-ellenőrzési hibákkal kezelte a beágyazott webes beépülő modulokat. A probléma a Mail harmadik féltől származó beépülő moduljainak letiltásával megoldódott. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-3719 : Will Dormann (CERT/CC)

  • Mobil fiókok

    A következőkhöz érhető el: OS X Mountain Lion 10.8 és 10.8.1

    Érintett terület: Egy mobil fiók tartalmához hozzáféréssel rendelkező felhasználó megszerezheti a fiók jelszavát

    Leírás: Mobil fiók létrehozásakor a rendszer mentette a jelszó kivonatát abban a fiókban, amellyel a felhasználó a mobil fiók külső fiókként való használatakor bejelentkezett. A jelszó kivonatából meghatározható volt a felhasználó jelszava. Ez a probléma megoldódott azáltal, hogy a jelszókivonat már csak abban az esetben jön létre, ha a külső fiókok engedélyezve vannak a mobil fiók létrehozására használt rendszeren.

    CVE-azonosító

    CVE-2012-3720 : Harald Wagener, Google, Inc.

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4, OS X Mountain Lion 10.8 és 10.8.1

    Érintett terület: A PHP több biztonsági rése.

    Leírás: >A PHP az 5.3.15-ös verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tehet lehetővé. További információt a PHP webhelyén talál a következő címen: http://www.php.net

    CVE-azonosító

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: A libpng könyvtárt használó PHP-parancsfájlok sebezhetők lehetnek a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben

    Leírás: A PNG-fájlok kezelésében memóriasérülési hiba állt fenn. A probléma a PHP libpng példányának 1.5.10-es verzióra való frissítésével megoldódott. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-3048

  • Profile Manager

    A következőkhöz érhető el: OS X Lion Server 10.7–10.7.4

    Érintett terület: Egy nem hitelesített felhasználó számba veheti a felügyelt eszközöket

    Leírás: Az eszközkezelési privát felületen hitelesítési hiba állt fenn. A probléma a felület eltávolításával megoldódott.

    Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-3721 : Derick Cassidy, XEquals Corporation

  • QuickLook

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Az ártó szándékkal létrehozott .pict fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet

    Leírás: Memóriahibát előidéző probléma állt fenn a .pict fájlok kezelésével kapcsolatban. E problémákat a .pict fájlok érvényességének ellenőrzésében végrehajtott javításokkal megszüntették. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon), Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: A QuickTime alkalmazásnak a sean atomok kezelésére használt módszerében egészszám-túlcsordulást okozó probléma volt jelen. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-0670 : Tom Gallagher (Microsoft) és Paul Bates (Microsoft) a HP Zero Day Initiative kezdeményezésének közreműködőiként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: A Sorenson technológiával kódolt filmfájlok kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. A problémát a memória inicializálásának javítása révén kiküszöbölték. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-3722 : Will Dormann (CERT/CC)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az RLE-kódolású filmfájlok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-0668 : Luigi Auriemma (a HP Zero Day Initiative kezdeményezésének közreműködőjeként)

  • Ruby

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: Léteznek az SSL 3.0 és a TLS 1.0 titkosítását érintő ismert támadások, amikor egy rejtjelcsomag blokkrejtjelet használ CBC-módban. A Ruby OpenSSL modul letiltotta az „üres töredékek” elleni fellépést, amely elhárította ezeket a támadásokat. A probléma az üres töredékek engedélyezésével megoldódott. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-3389

  • USB

    A következőkhöz érhető el: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4

    Érintett terület: Egy USB-eszköz csatlakoztatása váratlan rendszerleálláshoz vagy tetszőleges programkód végrehajtásához vezethet

    Leírás: Memóriahibát előidéző probléma állt fenn az USB-elosztók leíróinak kezelésével kapcsolatban. A problémát orvosolták azzal, hogy javították a bNbrPorts leíró mező kezelését. Ez a hiba az OS X Mountain Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2012-3723 : Andy Davis, NGS Secure

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: