Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.2, uaktualnieniu systemu OS X Lion do wersji 10.7.5 i Uaktualnieniu zabezpieczeń 2012-004

Dowiedz się na temat zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.2, uaktualnieniu systemu OS X Lion do wersji 10.7.5 i Uaktualnieniu zabezpieczeń 2012-004.

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.2, uaktualnieniu systemu OS X Lion do wersji 10.7.5 i Uaktualnieniu zabezpieczeń 2012-004.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 i Uaktualnienie zabezpieczeń 2012-004

Uwaga: uaktualnienie systemu OS X Mountain Lion do wersji 10.8.2 obejmuje zawartość dotyczącą przeglądarki Safari 6.0.1. Więcej informacji można znaleźć w artykule Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6.0.1.

  • Apache

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wiele luk w zabezpieczeniach serwera Apache.

    Opis: serwer Apache został uaktualniony do wersji 2.2.22 w celu usunięcia kilku luk w zabezpieczeniach, z których najpoważniejsze mogą doprowadzić do ataku typu „odmowa usługi”. Więcej informacji na ten temat zawiera witryna serwera Apache, dostępna pod adresem http://httpd.apache.org. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: w przypadku systemów skonfigurowanych do użycia programu BIND jako serwera nazw DNS osoba atakująca zdalnie może być w stanie spowodować atak typu „odmowa usługi”.

    Opis: w procedurze obsługi rekordów DNS występował błąd związany z potwierdzeniem osiągalności. Ten problem rozwiązano przez uaktualnienie programu BIND do wersji 9.7.6-P1. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-4313

  • BIND

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4, OS X Mountain Lion w wersjach 10.8 i 10.8.1

    Zagrożenie: w przypadku systemów skonfigurowanych do użycia programu BIND jako serwera nazw DNS osoba atakująca zdalnie może być w stanie spowodować atak typu „odmowa usługi” lub uszkodzenie danych bądź uzyskać poufne informacje z pamięci procesów.

    Opis: w procedurze obsługi rekordów DNS występował błąd związany z zarządzaniem pamięcią. Ten problem rozwiązano przez uaktualnienie programu BIND do wersji 9.7.6-P1 w systemie OS X Lion lub do wersji 9.8.3-P1 w systemie OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-1667

  • CoreText

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: aplikacje stosujące program CoreText mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi symboli tekstowych występował błąd związany ze sprawdzaniem ograniczeń, który mógł umożliwić wykonywanie operacji odczytu lub zapisu poza zakresem ograniczeń. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem Mac OS X 10.6 lub OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-3716: Jesse Ruderman z firmy Mozilla Corporation

  • Bezpieczeństwo danych

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4, OS X Mountain Lion w wersjach 10.8 i 10.8.1

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.

    Opis: firma TrustWave, zaufany urząd certyfikacji, wydała, a następnie wycofała certyfikat podrzędnego urzędu certyfikacji dla jednej z baz zaufania. Ten podrzędny urząd certyfikacji umożliwiał przechwytywanie komunikacji zabezpieczonej protokołem TLS (Transport Layer Security). To uaktualnienie dodaje ten certyfikat podrzędnego urzędu certyfikacji do listy niezaufanych certyfikatów systemu OS X.

  • Usługa katalogowa

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: jeśli jest używany serwer proxy usługi katalogowej, osoba atakująca zdalnie może przeprowadzić atak typu „odmowa usługi” lub spowodować wykonanie dowolnego kodu.

    Opis: w serwerze proxy usługi katalogowej występował błąd przepełnienia buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Lion lub Mountain Lion.

    Identyfikator CVE

    CVE-2012-0650: użytkownik aazubel pracujący w ramach programu Zero Day Initiative firmy HP.

  • ImageIO

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu PNG może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów PNG przez bibliotekę libpng występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie procedur sprawdzania poprawności obrazów PNG. Te problemy nie występują na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libTIFF występował błąd przepełnienia całkowitoliczbowego. Ten problem rozwiązano przez poprawienie procedur sprawdzania poprawności obrazów TIFF. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-1173: Alexander Gavrun pracujący w ramach programu Zero Day Initiative firmy HP

  • Instalator

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: administratorzy zdalni oraz osoby z fizycznym dostępem do systemu mogą uzyskać informacje o koncie.

    Opis: poprawka błędu o identyfikatorze CVE-2012-0652 w systemie OS X Lion 10.7.4 uniemożliwiła rejestrowanie haseł użytkowników w dzienniku systemowym, ale nie powodowała usunięcia starych wpisów dziennika. Ten problem rozwiązano przez usunięcie plików dziennika zawierających hasła. Ten problem nie występuje na komputerach z systemem Mac OS X 10.6 lub OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-0652

  • Biblioteka ICU (International Components for Unicode)

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: aplikacje stosujące bibliotekę ICU mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi identyfikatorów ustawień regionalnych biblioteki ICU występował błąd powodujący przepełnienie buforu stosu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-4599

  • Jądro

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: złośliwy program może pominąć ograniczenia piaskownicy.

    Opis: w procedurze obsługi systemowych wywołań usuwania błędów występował błąd logiczny. Za jego pośrednictwem złośliwy program może być w stanie wykonać kod w innych programach z tymi samymi uprawnieniami użytkownika. Ten problem rozwiązano przez wyłączenie obsługi adresów w funkcjach PT_STEP i PT_CONTINUE. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-0643: zespół iOS Jailbreak Dream Team

  • Okno logowania

    Dostępne dla: OS X Mountain Lion w wersjach 10.8 i 10.8.1

    Zagrożenie: użytkownik lokalny może uzyskać hasła logowania innych użytkowników.

    Opis: zainstalowana przez użytkownika metoda wprowadzania mogła przechwytywać hasła wpisywane w oknie logowania lub podczas odblokowywania wygaszacza ekranu. Ten problem rozwiązano przez uniemożliwienie użycia zainstalowanych przez użytkownika metod wprowadzania, kiedy system obsługuje dane logowania.

    Identyfikator CVE

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie wiadomości e-mail może spowodować wykonanie wtyczek internetowych.

    Opis: w procedurze obsługi wbudowanych wtyczek internetowych przez program Mail występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez wyłączenie w programie Mail wtyczek innych firm. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-3719: Will Dormann z organizacji CERT/CC

  • Konta przenośne

    Dostępne dla: OS X Mountain Lion w wersjach 10.8 i 10.8.1

    Zagrożenie: użytkownik z dostępem do zawartości konta przenośnego może uzyskać hasło konta.

    Opis: utworzenie konta przenośnego powodowało zapisanie skrótu hasła konta. Ten skrót służył do logowania podczas używania konta przenośnego jako konta zewnętrznego. Za pomocą skrótu hasła można było określić hasło użytkownika. Ten problem rozwiązano przez tworzenie skrótu hasła tylko w przypadku, gdy w systemie, w którym tworzone jest konto przenośne, włączone są konta zewnętrzne.

    Identyfikator CVE

    CVE-2012-3720: Harald Wagener z firmy Google, Inc.

  • PHP

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4, OS X Mountain Lion w wersjach 10.8 i 10.8.1

    Zagrożenie: wiele luk w zabezpieczeniach języka PHP.

    Opis: >język PHP został uaktualniony do wersji 5.3.15, aby usunąć wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować wykonanie dowolnego kodu. Więcej informacji można znaleźć w witrynie języka PHP pod adresem http://www.php.net.

    Identyfikator CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: skrypty PHP stosujące bibliotekę libpng mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików PNG występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez uaktualnienie kopii biblioteki libpng języka PHP do wersji 1.5.10. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-3048

  • Narzędzie Profile Manager

    Dostępne dla: OS X Lion Server w wersji od 10.7 do 10.7.4

    Zagrożenie: nieuwierzytelniony użytkownik może wyliczyć zarządzane urządzenia.

    Opis: w prywatnym interfejsie zarządzania urządzeniami występował błąd uwierzytelniania. Ten problem rozwiązano przez usunięcie interfejsu.

    Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-3721: Derick Cassidy z firmy XEquals Corporation

  • Szybki przegląd

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików PICT występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur sprawdzania poprawności plików PICT. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) z firmy Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi atomów sean przez program QuickTime występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-0670: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików filmów zakodowanych w formacie Sorenson występował błąd niezainicjowanego dostępu do pamięci. Ten problem rozwiązano przez poprawienie procedur inicjowania pamięci. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-3722: Will Dormann z organizacji CERT/CC

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików filmów zakodowanych w formacie RLE występowało przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-0668: Luigi Auriemma pracujący w ramach programu Zero Day Initiative firmy HP.

  • Ruby

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołów SSL 3.0 i TLS 1.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. W programie OpenSSL języka Ruby wyłączano funkcję „empty fragment”, która zapobiega tym atakom. Ten problem rozwiązano przez włączenie funkcji „empty fragment”. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2011-3389

  • USB

    Dostępne dla: OS X Lion w wersjach od 10.7 do 10.7.4, OS X Lion Server w wersjach od 10.7 do 10.7.4

    Zagrożenie: podłączenie urządzenia USB może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi deskryptorów koncentratorów USB występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pola deskryptora bNbrPorts. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion.

    Identyfikator CVE

    CVE-2012-3723: Andy Davis z firmy NGS Secure.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: