Om säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004
Läs om säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004.
Det här dokumentet beskriver säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004
Obs! OS X Mountain Lion v10.8.2 inkluderar Safari 6.0.1. Se Om säkerhetsinnehållet i Safari 6.0.1.
Apache
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Problem: Flera sårbarheter i Apache
Beskrivning: Apache uppdateras till version 2.2.22 för att åtgärda flera sårbarheter, varav de allvarligaste kan leda till DoS. Ytterligare information finns tillgänglig via Apaches webbplats på http://httpd.apache.org/. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Det kan hända att hackare kan orsaka DoS-attacker i system som konfigurerats för att köra BIND som en DNS-namnserver
Beskrivning: En nåbar assertion fanns i hanteringen av DNS-poster. Detta problem löstes genom att uppdatera till BIND 9.7.6-P1. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-4313
BIND
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1
Effekt: Det kan hända att en hackare orsakar DoS-attacker, skadade data eller inhämtar känslig information från processminne i system som konfigurerats för att köra BIND som en DNS-namnserver
Beskrivning: Ett minneshanteringsproblem fanns i hanteringen av DNS-poster. Problemet löstes genom att uppdatera till BIND 9.7.6-P1 på OS X Lion-system och till BIND 9.8.3-P1 på OS X Mountain Lion-system.
CVE-ID
CVE-2012-1667
CoreText
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Program som använder CoreText kan vara sårbara för oväntad programavslutning och körning av opålitlig kod
Beskrivning: Ett gränskontrollproblem fanns i hantering av textglyfer, vilket kunde leda till minnesläsning och -skrivning utanför gränsen. Problemet åtgärdades genom förbättrad gränskontroll. Problemet påverkar inte system med Mac OS X 10.6 eller OS X Mountain Lion.
CVE-ID
CVE-2012-3716: Jesse Ruderman på Mozilla Corporation
Datasäkerhet
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1
Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information
Beskrivning: TrustWave, en betrodd rotcertifikatutfärdare, har utfärdat och senare återkallat ett undercertifikatsutfärdarcertifikat från ett av sina betrodda ankare. Detta undercertifikatsutfärdarcertifikat gjorde det möjligt att fånga upp kommunikation säkrad av TLS (Transport Layer Security). Denna uppdatering lägger till undercertifikatsutfärdarcertifikatet i fråga till OS X lista över opålitliga certifikat.
Katalogtjänst
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: Om katalogtjänstproxy används är det möjligt för en hackare att orsaka DoS-attacker eller exekvera opålitlig kod
Beskrivning: Ett buffertspill existerade i katalogtjänstproxyn. Problemet åtgärdades genom förbättrad gränskontroll. Detta problem påverkar inte system med OS X Lion och Mountain Lion.
CVE-ID
CVE-2012-0650: aazubel i samarbete med HP:s Zero Day Initiative
ImageIO
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Visning av en uppsåtligt skapad PNG-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Flera problem med minneskorruptionsfel förekom i libpng:s hanteringen av PNG-bilder. Dessa problem åtgärdades genom förbättrad validering av PNG-bilder. Dessa problem påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
ImageIO
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett heltalsspill förekom i libTIFF:s hantering av TIFF-bilder. Det här problemet åtgärdades genom förbättrad validering av TIFF-bilder. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-1173: Alexander Gavrun i samarbete med HP:s Zero Day Initiative
Installeraren
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Fjärradministratörer och personer med fysisk åtkomst till systemet kan skaffa kontoinformation
Beskrivning: Korrektionen för CVE-2012-0652 i OS X Lion 10.7.4 förhindrade att användarlösenord lagrades i system.log, men tog inte bort gamla loggposter. Detta problem åtgärdades genom att ta bort loggfiler som innehöll lösenord. Detta problem påverkar inte system med Mac OS X 10.6 eller OS X Mountain Lion.
CVE-ID
CVE-2012-0652
Internationella komponenter för unicode
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Program som använder ICU kan vara sårbara för oväntad programavslutning och körning av godtycklig kod
Beskrivning: Ett stackbuffertspill förekom i hanteringen av ICU:s språk-ID:n. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-4599
Kärna
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Ett skadligt program kan kringgå sandlåde-begränsningar
Beskrivning: Det fanns ett logiskt problem i hantering av systemanrop för felsökning. Det kan göra det möjligt för ett skadligt program att uppnå kodkörning i andra program med samma användarprivilegier. Detta problem löstes genom att avaktivera hantering av adresser i PT_STEP och PT_CONTINUE. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-0643: 2012 iOS Jailbreak Dream Team
Inloggningsfönster
Tillgänglig för: OS X Mountain Lion 10.8 och 10.8.1
Effekt: Det kan hända att en lokal användare får tillgång till andra användares inloggningslösenord
Beskrivning: Det kan hända att en användarinstallerad inmatningsmetod fångar upp tangenttryckningar från inloggningsfönster eller upplåsning av skärmsläckare. Detta problem löstes genom att förhindra att användarinstallerade metoder används när systemet hanterar inloggningsinformation.
CVE-ID
CVE-2012-3718: Lukhnos Liu
Mail
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Visning av ett e-postmeddelande kan leda till exekvering av webbinsticksprogram
Beskrivning: Ett indataverifieringsfel fanns i Mails hantering av inbäddade webbinsticksprogram. Detta problem löstes genom att avaktivera insticksprogram från tredje part i Mail. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-3719: Will Dormann på CERT/CC
Mobila konton
Tillgänglig för: OS X Mountain Lion 10.8 och 10.8.1
Effekt: Det kan hända att en användare med åtkomst till innehållet på ett mobilt konto får tillgång till kontots lösenord
Beskrivning: När det mobila kontot skapades sparades en hash med lösenordet i kontot, vilket användes till att logga in när det mobila kontot användes som ett externt konto. Det gick att använda lösenordets hash till att bestämma användarens lösenord. Detta problem löstes genom att endast skapa lösenords-hash om externa konton är aktiverade på systemet där det mobila kontot skapas.
CVE-ID
CVE-2012-3720: Harald Wagener på Google, Inc.
PHP
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1
Effekt: Flera sårbarheter i PHP
Beskrivning: > PHP har uppdaterats till version 5.3.15 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen http://www.php.net
CVE-ID
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: PHP-skript som använder libpng kan vara sårbara för oväntad programavslutning och körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i hantering av PNG-filer. Detta problem åtgärdades genom att uppdatera PHP:s kopia av libpng till version 1.5.10. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-3048
Profilhanteraren
Tillgänglig för: OS X Lion Server 10.7 till 10.7.4
Effekt: En obehörig användare kunde räkna hanterade enheter
Beskrivning: Ett autentiseringsproblem fanns i enhetshanterarens privata gränssnitt. Detta problem åtgärdades genom att ta bort gränssnittet.
Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-3721: Derick Cassidy på XEquals Corporation
Överblick
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Visning av en uppsåtligt skapad pict-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod
Beskrivning: Ett minnesfel förekom i hantering av pict-filer. Det här problemet åtgärdades med förbättrad validering av pict-filer. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) på Qualys Vulnerability & Malware Research Labs (VMRL)
QuickTime
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett heltalsspill förekom i QuickTimes hantering av sean-atomer. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-0670: Tom Gallagher (Microsoft) och Paul Bates (Microsoft) på HP:s Zero Day Initiative
QuickTime
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett icke-initialiserat minnesåtkomstproblem förekom i hanteringen av Sorenson-kodade filmfiler. Det här problemet åtgärdades genom förbättrad minnesinitiering. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-3722: Will Dormann på CERT/CC
QuickTime
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Buffertspill förekom vid i hanteringen av RLE-kodade filmfiler. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-0668: Luigi Auriemma i samarbete med HP:s Zero Day Initiative
Ruby
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: En angripare kan avkryptera data som skyddas av SSL
Beskrivning: Kända attacker mot sekretessen i SSL 3.0 och TLS 1.0 när en chiffersvit använder blockchiffer i CBC-läge. Modulen Ruby OpenSSL avaktiverade motåtgärden ”empty fragment” som förhindrade dessa angrepp. Problemet åtgärdades genom att aktivera ”empty fragment”. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2011-3389
USB
Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4
Effekt: Anslutning av en USB-enhet kan leda till oväntad avstängning av systemet eller exekvering av skadlig kod
Beskrivning: Ett minnesfel förekom i hantering av USB-hubb-identifierare. Detta fel åtgärdades genom förbättrad hantering av identifierarfältet bNbrPorts. Det här problemet påverkar inte OS X Mountain Lion-system.
CVE-ID
CVE-2012-3723: Andy Davis på NGS Secure
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.