OS X Lion v10.7.4 en Beveiligingsupdate 2012-002 kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.


OS X Lion v10.7.4 en Beveiligingsupdate 2012-002
- 

- 

Inlogvenster

Beschikbaar voor: OS X Lion v10.7.3, OS X Lion Server v10.7.3

Impact: externe beheerders en personen met fysieke toegang tot het systeem kunnen accountinformatie verkrijgen

Beschrijving: er was een probleem met de verwerking van inlognamen van netwerkaccounts. Bij het inloggen werden vertrouwelijke gegevens in het systeemlog opgenomen en andere gebruikers van het systeem konden dit log lezen. De vertrouwelijke gegevens kunnen na de installatie van deze update in bewaarde logbestanden bewaard blijven. Dit probleem is alleen van invloed op 		systemen met OS X Lion v10.7.3 bij gebruikers van Legacy File Vault en/of thuismappen in het netwerk. Raadpleeg http://support.apple.com/kb/TS4272?viewlocale=nl_NL voor meer informatie over hoe resterende bestanden veilig worden verwijderd.

CVE-ID

CVE-2012-0652: Terry Reeves en Tim Winningham van de Ohio State University, Markus ‘Jaroneko’ Räty van de Finnish Academy of Fine Arts, Jaakko Pero van Aalto University, Mark Cohen van Oregon State University, Paul Nelson

 

- 

- 

Bluetooth

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een probleem met de racevoorwaarde van een tijdelijk bestand bij de initialisatie in blued.

CVE-ID

CVE-2012-0649: Aaron Sigel van vtty.com

 

- 

- 

curl

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. curl schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door lege fragmenten in te schakelen.

CVE-ID

CVE-2011-3389: Apple

 

- 

- 

curl

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het gebruik van curl of libcurl met een kwaadwillig vervaardigde URL kan leiden tot protocolspecifieke aanvallen voor de plaatsing van gegevens

Beschrijving: er was een probleem met de plaatsing van gegevens bij de verwerking van URL’s door curl. Dit probleem wordt verholpen door een verbeterde validatie van URL’s. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2012-0036

 

- 

- 

Adreslijstvoorziening

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Impact: een externe aanvaller kan vertrouwelijke gegevens verkrijgen

Beschrijving: er waren meerdere problemen met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver geheugen van de adresruimte vrijgeeft waardoor toegangsgegevens van de account of andere vertrouwelijke gegevens mogelijk worden vrijgegeven. Dit probleem is niet van invloed op systemen met OS X Lion. De adreslijstserver is standaard uitgeschakeld bij niet-serverinstallaties van OS X.

CVE-ID

CVE-2012-0651: Agustin Azubel

 

- 

- 

HFS

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het activeren van een kwaadwillig vervaardigde schijfkopie kan leiden tot het uitschakelen van het systeem of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met een onderloop van gehele getallen bij de verwerking van HFS-catalogusbestanden.

CVE-ID

CVE-2012-0642: pod2g

 

- 

- 

ImageIO

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-bestanden door ImageIO. Dit probleem is niet van invloed op systemen met OS X Lion.

CVE-ID

CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies

 

- 

- 

ImageIO

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Impact: meerdere kwetsbaarheden in libpng

Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van gegevens. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html

CVE-ID

CVE-2011-2692

CVE-2011-3328

 

- 

- 

ImageIO

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-bestanden door libtiff. Dit probleem wordt verholpen door libtiff bij te werken naar versie 3.9.5.

CVE-ID

CVE-2011-1167

 

- 

- 

Kernel

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: bij gebruik van FileVault kan de schijf niet-gecodeerde gebruikersgegevens bevatten

Beschrijving: de kernel vertoonde een probleem met de verwerking van de sluimerkopie voor de sluimerstand waardoor sommige gegevens op de schijf niet werden gecodeerd, zelfs wanneer FileVault was ingeschakeld. Dit probleem is verholpen met een verbeterde verwerking van de sluimerkopie en door de bestaande sluimerkopie te overschrijven bij het bijwerken naar OS X v10.7.4. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3212: Felix Groebert van Google Security Team

 

- 

- 

libarchive

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het extraheren van een kwaadwillig vervaardigd archief kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er waren meerdere bufferoverlopen bij de verwerking van tar-archieven en iso9660-bestanden.

CVE-ID

CVE-2011-1777

CVE-2011-1778

 

- 

- 

libsecurity

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: de controle van een kwaadwillig vervaardigd X.509-certificaat, zoals een bezoek aan een kwaadwillig vervaardigde website, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van X.509-certificaten.

CVE-ID

CVE-2012-0654: Dirk-Willem van Gulik van WebWeaving.org, Guilherme Prado van Conselho da Justiça Federal, Ryan Sleevi van Google

 

- 

- 

libsecurity

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: de ondersteuning voor X.509-certificaten met RSA-sleutels met een onveilige lengte kan gebruikers blootstellen aan de vervalsing en vrijgave van gegevens

Beschrijving: certificaten die zijn ondertekend met RSA-sleutels met een onveilige sleutellengte werden door libsecurity aanvaard. Dit probleem wordt verholpen door certificaten met RSA-sleutels die kleiner zijn dan 1024 bits te weigeren.

CVE-ID

CVE-2012-0655

 

- 

- 

libxml

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er waren meerdere kwetsbaarheden in libxml waarvan de ernstigste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze problemen worden verholpen door de relevante upstream-patches toe te passen.

CVE-ID

CVE-2011-1944: Chris Evans van het Google Chrome Security Team

CVE-2011-2821: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-2834: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-3919: Jüri Aedla

 

- 

- 

LoginUIFramework

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: als de gastgebruiker ingeschakeld is, kan een gebruiker met fysieke toegang tot de computer inloggen bij een gebruiker die geen gastgebruiker is zonder een wachtwoord in te voeren

Beschrijving: er was een racevoorwaarde bij de verwerking van inlognamen van gastgebruikers. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2012-0656: Francisco Gómez (espectalll123)

 

- 

- 

PHP

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: meerdere kwetsbaarheden in PHP

Beschrijving: PHP wordt bijgewerkt naar versie 5.3.10 om meerdere kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net

CVE-ID

CVE-2011-4566

CVE-2011-4885

CVE-2012-0830

 

- 

- 

Quartz Composer

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: een gebruiker met fysieke toegang tot de computer kan Safari starten als het scherm is vergrendeld en de schermbeveiliging RSS Visualizer wordt gebruikt

Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van schermbeveiligingen door Quartz Composer. Dit probleem wordt verholpen door een verbeterde controle van de al dan niet vergrendelde status van het scherm.

CVE-ID

CVE-2012-0657: Aaron Sigel van vtty.com

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand tijdens een progressieve download kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van audiosampletabellen.

CVE-ID

CVE-2012-0658: Luigi Auriemma in samenwerking met het Zero Day Initiative van HP

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een overloop bij gehele getallen bij de verwerking van MPEG-bestanden.

CVE-ID

CVE-2012-0659: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferonderloop bij de verwerking van MPEG-bestanden.

CVE-ID

CVE-2012-0660: Justin Kim van Microsoft en Microsoft Vulnerability Research

 

- 

- 

QuickTime

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een ‘use after free’-probleem bij de verwerking van JPEG2000-gecodeerde filmbestanden. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2012-0661: Damian Put in samenwerking met het Zero Day Initiative van HP

 

- 

- 

Ruby

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: meerdere kwetsbaarheden in Ruby

Beschrijving: Ruby is bijgewerkt naar 1.8.7-p357 om meerdere kwetsbaarheden te verhelpen.

CVE-ID

CVE-2011-1004

CVE-2011-1005

CVE-2011-4815

 

- 

- 

Samba

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Impact: als SMB-bestandsdeling is ingeschakeld, kan een niet-geïdentificeerde externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code met systeembevoegdheden

Beschrijving: er waren meerdere problemen met bufferoverlopen bij de verwerking van RPC’s (Remote Procedure Calls) door Samba. Door het versturen van een kwaadwillig vervaardig pakket kan een niet-geïdentificeerde externe gebruiker zorgen voor het weigeren van een service of het uitvoeren van willekeurige code met systeembevoegdheden. Dit probleem is niet van invloed op systemen met OS X Lion.

CVE-ID

CVE-2012-0870: Andy Davis van NGS Secure

CVE-2012-1182: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

 

- 

- 

Security Framework

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een overloop bij gehele getallen in het beveiligingskader. De verwerking van niet-vertrouwde invoer met het Security Framework kan leiden tot de geheugenbeschadiging. Dit probleem is niet van invloed op 32-bits-processen.

CVE-ID

CVE-2012-0662: aazubel in samenwerking met het Zero Day Initiative van HP

 

- 

- 

Time Machine

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: een externe aanvaller kan toegang verkrijgen tot de inloggegevens van de Time Machine-reservekopie van een gebruiker

Beschrijving: de gebruiker kan een Time Capsule of een extern AFP-volume dat gekoppeld is aan een AirPort-basisstation instellen voor gebruik voor reservekopieën van Time Machine. Firmware-update 7.6 voor AirPort-basisstations en Time Capsule geven Time Capsules en basisstations ondersteuning voor een beveiligd SRP-gebaseerd mechanisme voor identiteitscontrole via AFP. Time Machine vereiste echter niet dat het SRP-gebaseerde mechanisme voor identiteitscontrole werd gebruikt voor latere back-ups, zelfs als Time Machine oorspronkelijk was geconfigureerd of verbinding maakte met een Time Capsule of basisstation die dit ondersteunde. Een aanvaller die het externe volume kan vervalsen, verkrijgt mogelijk toegang tot de Time Capsule-inloggegevens van de gebruiker, maar niet tot de reservekopiegegevens, die door het systeem van de gebruiker werden verstuurd. Dit probleem wordt verholpen door het gebruik van het SRP-gebaseerde mechanische voor identiteitscontrole als de back-upbestemming dit ooit heeft ondersteund.

CVE-ID

CVE-2012-0675: Renaud Deraison van Tenable Network Security, Inc.

 

- 

- 

X11

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

Impact: programma’s die libXfont gebruiken om LZW-gecomprimeerde gegevens te verwerken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van LZW-gecomprimeerde gegevens door libXfont. Dit probleem wordt verholpen door libXfont bij te werken naar versie 1.4.4.

CVE-ID

CVE-2011-2895: Tomas Hoger van Red Hat



 

Opmerking: deze update filtert ook dynamische koppelomgevingsvariabelen van een aangepaste omgevingseigenschappenlijst in de thuismap van de gebruiker, indien deze aanwezig zijn.