In dit artikel wordt de beveiligingsinhoud van OS X Lion v10.6.7 en Beveiligingsupdate 2011-001 beschreven. Deze kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
Mac OS X v10.6.7 en Beveiligingsupdate 2011-001
-
AirPort
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld
Beschrijving: er was een probleem met het delen door nul bij de verwerking van Wi-Fi-frames. Een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2011-0172
-
Apache
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: meerdere kwetsbaarheden in Apache 2.2.15
Beschrijving: Apache is bijgewerkt naar versie 2.2.17 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/.
CVE-ID
CVE-2010-1452
CVE-2010-2068
-
AppleScript
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het uitvoeren van een op AppleScript Studio gebaseerd programma dat toestaat dat niet-vertrouwde invoer wordt overgebracht naar een dialoog kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een tekenreeks voor opmaak in de algemene dialoogcommando's van AppleScript Studio (‘display dialog’ en ‘display alert’). Het uitvoeren van een op AppleScript Studio gebaseerd programma dat toestaat dat niet-vertrouwde invoer wordt overgebracht naar een dialoog kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0173: Alexander Strange
-
ATS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van OpenType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0174
-
ATS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van TrueType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0175: Christoph Diehl van Mozilla, Felix Grobert van Google Security Team, Marc Schoenefeld van Red Hat Security Response Team, Tavis Ormandy en Will Drewry van Google Security Team
-
ATS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van Type 1-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0176: Felix Grobert van Google Security Team in samenwerking met het Zero Day Initiative van TippingPoint
-
ATS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van SFNT-tabellen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0177: Marc Schoenefeld van Red Hat Security Response Team
-
bzip2
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: de commandoregeltool bzip2 of bunzip2 gebruiken om een bzip2-bestand te decomprimeren kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van bzip2-gecomprimeerde bestanden door bzip2. De commandoregeltool bzip2 of bunzip2 gebruiken om een bzip2-bestand te decomprimeren kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2010-0405
-
CarbonCore
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: programma’s die FSFindFolder() gebruiken met de markering kTemporaryFolderType zijn mogelijk kwetsbaar voor de vrijgave van lokale informatie
Beschrijving: bij gebruik met de markering kTemporaryFolderType gaat FSFindFolder() API terug naar een map die leesbaar is voor iedereen. Dit probleem is verholpen door terug te gaan naar een map die alleen leesbaar is door de gebruiker die het proces uitvoert.
CVE-ID
CVE-2011-0178
-
ClamAV
Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6.6
Impact: meerdere kwetsbaarheden in ClamAV
Beschrijving: er zijn meerdere kwetsbaarheden in ClamAV waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. In deze update zijn de problemen verholpen door ClamAV bij te werken naar versie 0.96.5. ClamAV wordt alleen bij Mac OS X Server-systemen meegeleverd. U vindt meer informatie via de website van ClamAV op http://www.clamav.net.
CVE-ID
CVE-2010-0405
CVE-2010-3434
CVE-2010-4260
CVE-2010-4261
CVE-2010-4479
-
CoreText
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden door CoreText. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0179: Christoph Diehl van Mozilla
-
Bestandsquarantaine
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: toegevoegde definitie
Beschrijving: de OSX.OpinionSpy-definitie is toegevoegd aan de malwarecontrole in Bestandsquarantaine.
-
HFS
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een lokale gebruiker kan willekeurige bestanden van een HFS-, HFS+- of HFS+J-bestandssysteem lezen
Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van de F_READBOOTSTRAP ioctl. Een lokale gebruiker kan willekeurige bestanden van een HFS-, HFS+- of HFS+J-bestandssysteem lezen.
CVE-ID
CVE-2011-0180: Dan Rosenberg van Virtual Security Research
-
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van JPEG-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0170: Andrzej Dyjak in samenwerking met iDefense VCP
-
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van XBM-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0181: Harry Sintonen
-
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van JPEG-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0191: Apple
-
ImageIO
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0192: Apple
-
ImageIO
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde JPEG-gecodeerde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van JPEG-gecodeerde TIFF-afbeeldingen in ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2011-0194: Dominic Chell van NGS Secure
-
RAW-afbeelding
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde Canon RAW-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van Canon RAW-afbeeldingen in Image. Het bekijken van een kwaadwillig vervaardigde Canon RAW-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0193: Paul Harrington van NGS Secure
-
Installer
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de installatie van een agent die contact opneemt met een willekeurige server wanneer de gebruiker inlogt en die de gebruiker doet denken dat deze verbinding maakt met Apple
Beschrijving: een probleem met de URL-verwerking in Install Helper kan leiden tot de installatie van een agent die contact opneemt met een willekeurige server wanneer de gebruiker inlogt. Het dialoogvenster dat verschijnt na een mislukte verbinding kan de gebruiker doen denken dat deze verbinding probeerde te maken met Apple. Dit probleem is verholpen door Install Helper te verwijderen.
CVE-ID
CVE-2011-0190: Aaron Sigel van vtty.com
-
Kerberos
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: meerdere kwetsbaarheden in MIT Kerberos 5
Beschrijving: er waren meerdere cryptografische problemen in MIT Kerberos 5. Alleen CVE-2010-1323 is van invloed op Mac OS X v10.5. Meer informatie over de problemen en de toegepaste patches vindt u via de MIT-website voor Kerberos op http://web.mit.edu/Kerberos/.
CVE-ID
CVE-2010-1323
CVE-2010-1324
CVE-2010-4020
CVE-2010-4021
-
Kernel
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de controle van bevoegdheden bij de verwerking van call gates door i386_set_ldt system call. Een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden. Dit probleem is verholpen door het aanmaken van call gate-gegevens via i386_set_ldt() niet langer toe te staan.
CVE-ID
CVE-2011-0182: Jeff Mears
-
Libinfo
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een externe aanvaller kan zorgen voor een weigering van service op hosts die NFS-bestandssystemen exporteren
Beschrijving: er was een probleem met de afkapping van gehele getallen bij de verwerking van NFS RPC-paketten door Libinfo. Een externe aanvaller kan ervoor zorgen dat NFS RPC-voorzieningen, zoals lockd, statd, mountd en portmap, niet meer reageren.
CVE-ID
CVE-2011-0183: Peter Schwenk van de University of Delaware
-
libxml
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van XPath door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2010-4008: Bui Quang Minh van Bkis (www.bkis.com)
-
libxml
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een double free-probleem bij de verwerking van XPath-expressies door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2010-4494: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences
-
Mailman
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: meerdere kwetsbaarheden in Mailman 2.1.13
Beschrijving: er waren meerdere cross-site scripting-problemen in Mailman 2.1.13. Deze problemen zijn verholpen door Mailman bij te werken naar versie 2.1.14. Meer informatie is beschikbaar via de Mailman-website op http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html.
CVE-ID
CVE-2010-3089
-
PHP
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: meerdere kwetsbaarheden in PHP 5.3.3
Beschrijving: PHP is bijgewerkt naar versie 5.3.4 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de website van PHP op http://www.php.net.
CVE-ID
CVE-2006-7243
CVE-2010-2950
CVE-2010-3709
CVE-2010-3710
CVE-2010-3870
CVE-2010-4150
CVE-2010-4409
-
PHP
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Impact: meerdere kwetsbaarheden in PHP 5.2.14
Beschrijving: PHP is bijgewerkt naar versie 5.2.15 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de website van PHP op http://www.php.net.
CVE-ID
CVE-2010-3436
CVE-2010-3709
CVE-2010-4150
-
QuickLook
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Excel-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2011-0184: Tobias Klein in samenwerking met Verisign iDefense Labs
-
QuickLook
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-1417: Charlie Miller en Dion Blazakis in samenwerking met het Zero Day Initiative van TippingPoint
-
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde JPEG2000-afbeelding in QuickTime kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van JPEG2000-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde JPEG2000-afbeelding in QuickTime kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
CVE-ID
CVE-2011-0186: Will Dormann van de CERT/CC
-
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van filmbestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.
CVE-ID
CVE-2010-4009: Honggang Ren van Fortinet's FortiGuard Labs
-
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigde FlashPix-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van FlashPix-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde FlashPix-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.
CVE-ID
CVE-2010-3801: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint en Rodrigo Rubira Branco van het Check Point Vulnerability Discovery Team
-
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website
Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van cross-site doorverwijzingen door de QuickTime-plugin. Het bekijken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website. Dit probleem is verholpen door te voorkomen dat QuickTime cross-site doorverwijzingen volgt.
CVE-ID
CVE-2011-0187: Nirankush Panchbhai en Microsoft Vulnerability Research (MSVR)
-
QuickTime
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het bekijken van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) door QuickTime. Het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.
CVE-ID
CVE-2010-3802: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint
-
Ruby
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een BigDecimal-object te maken, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met de afkapping van gehele getallen in BigDecimal class van Ruby. Het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een BigDecimal-object te maken, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is alleen van invloed op 64-bits Ruby-processen.
CVE-ID
CVE-2011-0188: Apple
-
Samba
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code
Beschrijving: er was een stackbufferoverloop in de verwerking van Windows Security ID's door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code.
CVE-ID
CVE-2010-3069
-
Subversion
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: Subversion-servers die de niet-standaard mod_dav_svn-configuratie-instelling ‘SVNPathAuthz short_circuit’ gebruiken, geven onbevoegde gebruikers mogelijk toegang tot delen van de bewaarplaats
Beschrijving: Subversion-servers die de niet-standaard mod_dav_svn-configuratie-instelling ‘SVNPathAuthz short_circuit’ gebruiken, geven onbevoegde gebruikers mogelijk toegang tot delen van de bewaarplaats. Dit probleem is verholpen door Subversion bij te werken naar versie 1.6.13. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2010-3315
-
Terminal
Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: wanneer ssh in het dialoogvenster ‘Nieuwe externe verbinding’ van Terminal wordt gebruikt, wordt SSH versie 1 geselecteerd als standaardversie van het protocol
Beschrijving: wanneer ssh in het dialoogvenster ‘Nieuwe externe verbinding’ van Terminal wordt gebruikt, wordt SSH versie 1 geselecteerd als standaardversie van het protocol. Dit probleem is verholpen door de standaardversie van het protocol te wijzigen naar ‘Automatisch’. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.
CVE-ID
CVE-2011-0189: Matt Warren van HNW Inc.
-
X11
Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6
Impact: meerdere kwetsbaarheden in FreeType
Beschrijving: er waren meerdere kwetsbaarheden in FreeType waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. Deze problemen zijn verholpen door FreeType bij te werken naar versie 2.4.4. Meer informatie is beschikbaar via de FreeType-website op http://www.freetype.org/.
CVE-ID
CVE-2010-3814
CVE-2010-3855