Informace o bezpečnostním obsahu Mac OS X 10.6.7 a o bezpečnostní aktualizaci 2011-001

Tento dokument popisuje bezpečnostní obsah Mac OS X 10.6.7 a bezpečnostní aktualizaci 2011-001.

Tento dokument popisuje bezpečnostní obsah Mac OS X 10.6.7 a bezpečnostní aktualizaci 2011-001, které si můžete stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo ze stránky produktů Apple ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních slabinách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku „Bezpečnostní aktualizace Apple“.

Mac OS X 10.6.7 a bezpečnostní aktualizace 2011-001

  • AirPort

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Když je počítač připojený k síti Wi-Fi, útočník ve stejné síti může být schopen způsobit resetování systému.

    Popis: Při manipulaci s rámci Wi-Fi docházelo k problému s dělením nulou. Když je počítač připojený k síti Wi-Fi, útočník ve stejné síti může být schopen způsobit resetování systému. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2011-0172

  • Apache

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Několik bezpečnostních slabin v Apache 2.2.15

    Popis: Apache je aktualizován na verzi 2.2.17, která řeší několik bezpečnostních slabin, z nichž ty nejzávažnější můžou vést k útoku DDoS (zamítnutí služby). Další informace jsou k dispozici na webové stránce Apache na adrese http://httpd.apache.org/

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Spuštění aplikace založené na AppleScript Studiu, která umožňuje přenesení nedůvěryhodného vstupu do dialogového okna, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V generických dialogových příkazech AppleScript Studia („zobrazit dialogové okno“ a „zobrazit výstrahu“) se vyskytoval problém s formátovacím řetězcem. Spuštění aplikace založené na AppleScript Studiu, která umožňuje přenesení nedůvěryhodného vstupu do dialogového okna, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci s písmy OpenType docházelo k problému s přetečením haldy vyrovnávací paměti. Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0174

  • ATS

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci s písmy TrueType docházelo k četným problémům s přetečením vyrovnávací paměti. Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0175: Christoph Diehl (Mozilla), Felix Grobert (Google Security Team), Marc Schoenefeld (Red Hat Security Response Team), Tavis Ormandy a Will Drewry (Google Security Team)

  • ATS

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci s písmy Type 1 docházelo k četným problémům s přetečením vyrovnávací paměti. Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0176: Felix Grobert (Google Security Team), geekable ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint

  • ATS

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci s tabulkami SFNT docházelo k četným problémům s přetečením vyrovnávací paměti. Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0177: Marc Schoenefeld (Red Hat Security Response Team)

  • bzip2

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Použití nástroje příkazového řádku bzip2 nebo bunzip2 k dekompresi souboru bzip2 může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s komprimovanými soubory bzip2 prostřednictvím algoritmu bzip2 docházelo k problému s přetečením celých čísel. Použití nástroje příkazového řádku bzip2 nebo bunzip2 k dekompresi souboru bzip2 může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: U aplikací, které používají volání FSFindFolder() s příznakem kTemporaryFolderType, může docházet k vyzrazení místních informací.

    Popis: Při použití volání FSFindFolder() s příznakem kTemporaryFolderType vrátí API adresář, který je čitelný pro všechny uživatele. Tento problém je opraven tím, že teď toto volání vrátí adresář, který je čitelný jenom pro uživatele běžícího procesu.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    K dispozici pro: Mac OS X Server 10.5.8, Mac OS X Server 10.6.6

    Dopad: Několik bezpečnostních slabin v softwaru ClamAV

    Popis: Software ClamAC obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke spuštění libovolného kódu. Tato aktualizace řeší tyto problémy aktualizováním softwaru ClamAV na verzi 0.96.5. ClamAV je distribuován jenon se systémy Mac OS X Server. Další informace jsou k dispozici na webu ClamAV na adrese http://www.clamav.net/

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    Popis: Při manipulaci se soubory písem prostřednictvím knihovny CoreText docházelo k problému s poškozením paměti. Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0179: Christoph Diehl (Mozilla)

  • Karanténa souborů

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Přidána definice

    Popis: V rámci karantény souborů byla do malwarové kontroly přidána definice OSX.OpinionSpy.

  • HFS

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Lokální uživatel může být schopen číst libovolné soubory ze souborových systémů HFS, HFS+ nebo HFS+J.

    Popis: Při manipulaci s rutinou F_READBOOTSTRAP ioctl docházelo k problému s přetečením celých čísel. Lokální uživatel může být schopen číst libovolné soubory ze souborových systémů HFS, HFS+ nebo HFS+J.

    CVE-ID

    CVE-2011-0180: Dan Rosenberg (Virtual Security Research)

  • ImageIO

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky JPEG prostřednictvím třídy ImageIO docházelo k problému s přetečením haldy vyrovnávací paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

     

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak ve spolupráci s iDefense VCP

  • ImageIO

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku XBM může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky XBM prostřednictvím třídy ImageIO docházelo k problému s přetečením celých čísel. Zobrazení škodlivého obrázku XBM může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky TIFF s kódováním JPEGV prostřednictvím knihovny libTIFF docházelo k přetečení vyrovnávací paměti. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky TIFF s kódováním CCITT Group 4 prostřednictvím knihovny libTIFF docházelo k přetečení vyrovnávací paměti. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku TIFF kódovaného pomocí kompresního schématu JPEG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky TIFF s kódováním JPEG prostřednictvím třídy ImageIO docházelo k problému s přetečením celých čísel. Zobrazení škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2011-0194: Dominic Chell (NGS Secure)

  • Image RAW

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku ve formátu Canon RAW může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky Canon RAW prostřednictvím komponenty Image RAW docházelo k četným problémům s přetečením vyrovnávací paměti. Zobrazení škodlivého obrázku ve formátu Canon RAW může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0193: Paul Harrington (NGS Secure)

  • Instalátor

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Návštěva škodlivé webové stránky může vést k nainstalování agenta, který při přihlašování uživatele kontaktuje svévolně určený server, přičemž uživatel se mylně domnívá, že se jedná o spojení se serverem společnosti Apple.

    Popis: Problém se zpracováním adres URL v komponentě Install Helper může vést k nainstalování agenta, který při přihlašování uživatele kontaktuje svévolně určený server. Výsledný dialog způsobený selháním spojení může vést uživatele k mylné domněnce, že se jednalo o pokus o spojení se serverem společnosti Apple. Tento problém byl vyřešen odstraněním komponenty Install Helper.

    CVE-ID

    CVE-2011-0190: Aaron Sigel (vtty.com)

  • Kerberos

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Několik bezpečnostních slabin v protokolu Kerberos 5

    Popis: Protokol Kerberos 5, vyvinutý na Massachusettském technologickém institutu (MIT), obsahoval několik kryptografických problémů. Macu OS X 10.5 se týká jenom CVE-2010-1323. Další informace o problémech a použitých opravách zabezpečení najdete na webu protokolu Kerberos na adrese http://web.mit.edu/Kerberos/.

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Jádro

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Místní uživatel může spustit libovolný kód s oprávněním správce systému.

    Popis: Při manipulaci s bránami pro předání řízení (call gate) prostřednictvím systémového volání i386_set_ldt docházelo k problému s ověřováním oprávnění. Místní uživatel může spustit libovolný kód s oprávněním správce systému. Tento problém byl vyřešen zákazem vytváření položek brány pro předání řízení (call gate) pomocí příkazu i386_set_ldt().

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Vzdálený útočník může být schopen způsobit odmítnutí služby na hostitelských serverech, které exportují souborové systémy NFS

    Popis: Při manipulaci s pakety služeb vzdáleného volání procedur (RPC) protokolu NFS docházelo k problému s oříznutím celých čísel. Vzdálený útočník může být schopen způsobit, že služby vzdáleného volání procedur (RPC) protokolu NFS, jako jsou například lockd, statd, mountd a portmap, přestanou reagovat.

    CVE-ID

    CVE-2011-0183: Peter Schwenk (University of Delaware)

  • libxml

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s výrazy XPath prostřednictvím knihovny libxml docházelo k problému s poškozením paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2010-4008 :Bui Quang Minh (Bkis: www.bkis.com)

  • libxml

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při maipulaci s výrazy XPath prostřednictvím knihovny libxml docházelo k problému s duplicitním svévolným uvolněním paměti. Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2010-4494: Yang Dingning z organizace NCNIPC, absolvent univerzity Čínské akademie věd

  • Mailman

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Několik bezpečnostních slabin v softwaru Mailman 2.1.13

    Popis: V aplikaci Mailman 2.1.13 se vyskytovalo několik problémů týkajících se cross-site scriptingu. Tyto problémy byly vyřešeny aktualizací aplikace Mailman na verzi 2.1.14. Další informace najdete na webu aplikace Mailman na adrese http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html.

    CVE-ID

    CVE-2010-3089

  • PHP

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Několik bezpečnostních slabin v PHP 5.3.3

    Popis: Jazyk PHP byl aktualizován na verzi 5.3.4, aby se vyřešilo několik bezpečnostních slabin, z nichž ty nejvážnější můžou vést ke spuštění libovolného kódu. Další informace jsou k dispozici na webu PHP na adrese http://www.php.net/.

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Dopad: Několik bezpečnostních slabin v  PHP 5.2.14

    Popis: Jazyk PHP byl aktualizován na verzi 5.2.15, aby se vyřešilo několik bezpečnostních slabin, z nichž ty nejvážnější můžou vést ke spuštění libovolného kódu. Další informace jsou k dispozici na webu PHP na adrese http://www.php.net/.

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • Rychlý náhled

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Stažení škodlivého excelového souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s excelovými soubory prostřednictvím Rychlého náhledu docházelo k problému s poškozením paměti. Stažení škodlivého excelového souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2011-0184: Tobias Klein ve spolupráci s Verisign iDefense Labs

  • Rychlý náhled

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Stažení škodlivého souboru Microsoft Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci se soubory Microsoft Office prostřednictvím Rychlého náhledu docházelo k problému s poškozením paměti. Stažení škodlivého souboru Microsoft Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-1417: Charlie Miller a Dion Blazakis ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku JPEG2000 prostřednictvím QuickTimu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky JPEG2000 prostřednictvím QuickTimu docházelo k četným problémům s poškozením paměti. Zobrazení škodlivého obrázku JPEG2000 prostřednictvím QuickTimu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    CVE-ID

    CVE-2011-0186: Will Dormann ze skupiny CERT/CC

  • QuickTime

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého filmového souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s filmovými soubory prostřednictvím QuickTimu docházelo k přetečení celých čísel. Zobrazení škodlivého filmového souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Pro Mac OS X 10.5 byl tento problém vyřešen ve QuickTimu 7.6.9.

    CVE-ID

    CVE-2010-4009: Honggang Ren, FortiGuard Labs společnosti Fortinet

  • QuickTime

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého obrázku FlashPix může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s obrázky FlashPix prostřednictvím QuickTimu docházelo k problému s poškozením paměti. Zobrazení škodlivého obrázku FlashPix může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Pro Mac OS X 10.5 byl tento problém vyřešen ve QuickTimu 7.6.9.

    CVE-ID

    CVE-2010-3801: Damian Put ve spolupráci s iniciativou Zero Day Initiative společnosti TippingPoint a Rodrigo Rubira Branco z Check Point Vulnerability Discovery Teamu

  • QuickTime

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Návštěva škodlivého webu může vést k vyzrazení dat videa z jiného webu.

    Popis: Při manipulaci s přesměrováními z jednoho webu na jiný prostřednictvím pluginu QuickTimu docházelo k problému se záměnou původu. Návštěva škodlivého webu může vést k vyzrazení dat videa z jiného webu. Tento problém byl vyřešen zabráněním aplikaci QuickTime provádět přesměrování z jednoho webu na jiný.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai a Microsoft Vulnerability Research (MSVR)

  • QuickTime

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Zobrazení škodlivého filmového souboru QTVR může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při manipulaci s atomy panoramování ve filmových souborech QTVR (QuickTime Virtual Reality) prostřednictvím QuickTimu docházelo k problému s poškozením paměti. Zobrazení škodlivého filmového souboru QTVR může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Pro Mac OS X 10.5 byl tento problém vyřešen ve QuickTimu 7.6.9.

    CVE-ID

    CVE-2010-3802: anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti TippingPoint

  • Ruby

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Spuštění skriptu Ruby, který využívá nedůvěryhodný vstup k vytvoření objektu BigDecimal, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve třídě BigDecimal skriptovacího jazyka Ruby se vyskytoval problém se zaokrouhlováním na celá čísla. Spuštění skriptu Ruby, který využívá nedůvěryhodný vstup k vytvoření objektu BigDecimal, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu. Tento problém se týká jenon procesů 64bitové varianty jazyka Ruby.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Pokud je zapnuté sdílení souborů protokolem SMB, může vzdálený útočník způsobit odmítnutí služby nebo spuštění libovolného kódu.

    Popis: Při manipulaci s identifikátory zabezpečení Windows prostřednictvím protokolu Samba docházelo k přetečení na zásobníku. Pokud je zapnuté sdílení souborů protokolem SMB, může vzdálený útočník způsobit odmítnutí služby nebo spuštění libovolného kódu.

    CVE-ID

    CVE-2010-3069

  • Subversion

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Servery Subversion, které používají nevýchozí nastavení „SVNPathAuthz short_circuit“ konfigurace mod_dav_svn, můžou neoprávněným uživatelům umožnit přístup k částem úložiště.

    Dopad: Servery Subversion, které používají nevýchozí volbu „SVNPathAuthz short_circuit“ konfigurace nastavení mod_dav_svn, můžou neoprávněným uživatelům umožnit přístup k částem úložiště. Tento problém byl vyřešen aktualizací systému Subversion na verzi 1.6.13. Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2010-3315

  • Terminál

    K dispozici pro: Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Při použití SSH v dialogu Terminálu „New Remote Connection“ (Nové vzdálené připojení) se jako výchozí verze protokolu vybere SSH verze 1.

    Popis: Při použití SSH v dialogu Terminálu „New Remote Connection“ (Nové vzdálené připojení) se jako výchozí verze protokolu vybere SSH verze 1. Tento problém byl vyřešen změnou výchozí verze protokolu na možnost „Automatic“ (Automaticky). Tento problém nemá vliv na systémy starší než Mac OS X 10.6.

    CVE-ID

    CVE-2011-0189: Matt Warren ze společnosti HNW Inc.

  • X11

    K dispozici pro: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 až 10.6.6, Mac OS X Server 10.6 až 10.6.6

    Dopad: Několik bezpečnostních slabin v knihovně FreeType

    Popis: V knihovně FreeType existovalo několik bezpečnostních slabin, z nichž ty nejvážnější mohly při zpracování škodlivého písma vést ke spuštění libovolného kódu. Tyto problémy byly vyřešeny aktualizací knihovny FreeType na verzi 2.4.4. Další informace najdete na webu FreeType na adrese http://www.freetype.org/.

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: