OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriği hakkında
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriği hakkında bilgi alın.
Bu belge, OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriğini açıklar.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004
Not: OS X Mountain Lion v10.8.2, Safari 6.0.1'in içeriğini barındırır. Daha fazla ayrıntı için bkz. Safari 6.0.1'in güvenlik içeriği hakkında.
Apache
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Apache'de birden çok güvenlik açığı
Açıklama: Apache, aralarında hizmet reddine yol açabilen bir sorunun da olduğu birkaç güvenlik açığını gidermek için sürüm 2.2.22'ye güncellendi. Daha fazla bilgi, http://httpd.apache.org/ adresindeki Apache web sitesinde bulunabilir. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Uzaktaki bir saldırgan, DNS ad sunucusu olarak BIND çalıştırmak üzere yapılandırılmış sistemlerde hizmet reddine neden olabilir
Açıklama: DNS kayıtlarının işlenmesinde, ulaşılabilir bir onay sorunu tespit edildi. Bu sorun BIND'ın 9.7.6-P1 sürümüne güncellenmesi ile giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-4313
BIND
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1
Etki: Uzaktaki bir saldırgan, DNS ad sunucusu olarak BIND çalıştırmak üzere yapılandırılmış sistemlerde sistemin reddine, veri bozulmasına neden olabilir veya bellekten gizli bilgi edinebilir
Açıklama: DNS kayıtlarının işlenmesinde bellek yönetimi sorunu tespit edildi. Bu sorun, OS X Lion sistemlerinde BIND'ın 9.7.6-P1'e, OS X Mountain Lion sistemlerinde 9.8.3-P1'e güncellenmesi ile giderildi.
CVE kimliği
CVE-2012-1667
CoreText
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: CoreText kullanan uygulamalar, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine açık olabilir
Açıklama: Metin oyuklarının ele alınmasında sınırların dışında bellek okuma ve yazmalara yol açabilen bir sınır denetleme sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. Mac OS X v10.6 veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-3716: Jesse Ruderman, Mozilla Corporation
Veri Güvenliği
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir
Açıklama: Güvenilir bir kök CA olan TrustWave, güvenilir köklerinden birinden bir alt CA sertifikası yayınladı ve ardından geri aldı. Bu alt CA, Transport Layer Security (TLS) tarafından güvenliği sağlanan iletişimin ele geçirilmesini kolaylaştırır. Bu güncelleme, ilgili alt CA sertifikasını OS X'in güvenilmeyen sertifikalar listesine ekler.
DirectoryService
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Etki: DirectoryService Proxy kullanılıyorsa, uzak bir saldırgan hizmet reddine ya da rastgele kod yürütmeye neden olabilir
Açıklama: DirectoryService Proxy'de bir arabellek taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Lion ve Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0650: HP'nin Zero Day Initiative'i ile çalışan aazubel
ImageIO
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir PNG görüntüsünü görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir
Açıklama: libpng'nin PNG görüntülerini işlemesinde birden çok bellek bozulması sorunu. Bu sorunlar, PNG görüntülerinin doğrulama işleminin iyileştirilmesiyle giderildi. OS X Mountain Lion sistemleri bu sorunlardan etkilenmez.
CVE kimliği
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
ImageIO
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: libTIFF'in TIFF görüntülerini işlemesinde tamsayı taşması sorunu. Bu sorun, TIFF görüntülerinin doğrulanması işleminin iyileştirilmesiyle giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-1173: HP'nin Zero Day Initiative'i ile çalışan Alexander Gavrun
Yükleyici
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Sisteme fiziksel erişimi olan uzak yöneticiler ve kişiler hesap bilgilerini edinebilir
Açıklama: OS X Lion 10.7.4'deki CVE-2012-0652 düzeltmesi, kullanıcı parolalarının sistem tarafından kaydedilmesini önlemekle birlikte eski günlük girişlerini kaldırmıyordu. Bu sorun, parolaları içeren günlük dosyaları silinerek giderildi. Mac OS X 10.6 veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0652
Uluslararası Unicode Bileşenleri
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir
Açık: ICU yerel kimliklerinin işlenmesinde yığın arabelleği taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-4599
Çekirdek
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlı bir program sandbox kısıtlamalarını atlayabilir
Tanım: Hata ayıklama sistem çağrılarının ele alınmasında bir mantık sorunu tespit edildi. Bu, aynı kullanıcı ayrıcalıklarına sahip diğer programlardaki kod yürütmeyi kazanmak için kötü amaçlı bir programa izin verebilir. Bu sorun, PT_STEP ve PT_CONTINUE'deki adreslerin işlenmesi etkisizleştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0643: iOS Jailbreak Dream Team
LoginWindow
Şunlarda kullanılabilir: OS X Mountain Lion v10.8 ve v10.8.1
Etki: Yerel bir kullanıcı, başka bir kullanıcının oturum açma parolalarını edinebilir
Açıklama: Kullanıcı tarafından yüklenen bir giriş yöntemi, Oturum Açma Penceresi'nde ya da Ekran Koruyucu Kilit Açma'da kullanılan tuş vuruşlarını kullanarak parolayı ele geçirebilir. Bu sorun, sistem oturum açma bilgilerini işlerken kullanıcı tarafından yüklenen yöntemlerin kullanılmasını önleyerek giderildi.
CVE kimliği
CVE-2012-3718: Lukhnos Liu
Mail
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Bir e-posta iletisini görüntülemek, web eklentilerinin yürütülmesine yol açabilir
Açıklama: Mail'ın gömülü web eklentilerini işlemesinde bir giriş doğrulama hatası tespit edildi. Bu sorun, Mail'deki üçüncü taraf eklentilerini etkisizleştirerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-3719: CERT/CC'den Will Dormann
Mobil Hesaplar
Şunlarda kullanılabilir: OS X Mountain Lion v10.8 ve v10.8.1
Etki: Bir mobil hesabın içeriğine erişebilen bir kullanıcı, hesap parolasını edinebilir
Açıklama: Mobil hesap oluşturmak, mobil hesap dış bir hesap olarak kullanılırken oturum açmak için kullanılan hesaptaki parolanın özetini kaydetti. Parola özeti, kullanıcının parolasını belirlemek için kullanılabilir. Bu sorun, sadece mobil hesabın oluşturulduğu sistemde dış hesaplar etkinleştirilmişse parola özetinin oluşturulmasına izin verilerek giderildi.
CVE kimliği
CVE-2012-3720: Harald Wagener, Google, Inc.
PHP
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1
Etki: PHP'de birden çok güvenlik açığı
Açıklama: >PHP, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için sürüm 5.3.15'e güncellendi. Daha fazla bilgi, http://www.php.net adresindeki PHP web sitesinde bulunabilir
CVE kimliği
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: libpng kullanan PHP betikleri, uygulamanın beklenmedik bir şekilde sona ermesine veya rastgele kod yürütmeye açık olabilir
Açıklama: PNG dosyalarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, PHP'nin libpng kopyası sürüm 1.5.10'a güncellenerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-3048
Profil Yöneticisi
Şunlarda kullanılabilir: OS X Lion Server v10.7 - v10.7.4
Etki: Kimliği doğrulanmamış bir kullanıcı, yönetilen aygıtları numaralandırabilir
Açıklama: Aygıt Yönetimi gizli arabiriminde bir kimlik doğrulama sorunu tespit edildi. Bu sorun, arabirim kaldırılarak giderildi.
OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-3721: Derick Cassidy, XEquals Corporation
QuickLook
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir .pict dosyasını görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir
Açıklama: .pict dosyalarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, .pict dosyalarının iyileştirilmiş doğrulamasıyla giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon), Qualys Güvenlik Açığı ve Kötü Amaçlı Yazılım Araştırma Laboratuvarları (VMRL)
QuickTime
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime'ın sean atomlarının işlenmesinde bir tamsayı taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0670: HP'nin Zero Day Initiative'i ile çalışan Tom Gallagher (Microsoft) ve Paul Bates (Microsoft)
QuickTime
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sorenson kodlanmış film dosyalarının işlenmesinde sıfırlanmamış bir bellek erişimi sorunu tespit edildi. Bu sorun, iyileştirilmiş bellek sıfırlamayla giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-3722: CERT/CC'den Will Dormann
QuickTime
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açık: RLE kodlu film dosyalarının işlenmesinde yığın arabelleği taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-0668: HP'nin Zero Day Initiative'i ile çalışan Luigi Auriemma
Ruby
Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir
Açıklama: Bir cipher suite CBC modunda bir block cipher kullandığında, SSL 3.0 ve TLS 1.0'ın gizliliğine bilinen saldırılar oluyor. Ruby OpenSSL modülü, bu saldırıları önleyen 'boş parça' karşı önlemini etkisizleştirdi. Bu sorun, boş parçalar etkinleştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-3389
USB
Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4
Etki: Bir USB aygıtı bağlamak, sistemin beklenmedik şekilde sonlanmasına ya da rastgele kod yürütmeye yol açabilir
Açıklama: USB hub açıklayıcılarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, bNbrPorts açıklayıcı alanının geliştirilmiş işlenmesiyle giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2012-3723: Andy Davis, NGS Secure
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.