Informace o bezpečnostním obsahu aktualizace OS X Lion 10.7.2 a bezpečnostní aktualizace 2011-006

Tento dokument popisuje bezpečnostní obsah aktualizace OS X Lion 10.7.2 a bezpečnostní aktualizace 2011-006.

Tento dokument popisuje bezpečnostní obsah aktualizace OS X Lion 10.7.2 a bezpečnostní aktualizace 2011-006, které si můžete stáhnout a nainstalovat přes Aktualizaci softwaru v Předvolbách nebo z webu se soubory Apple ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
 

OS X Lion 10.7.2 a bezpečnostní aktualizace 2011-006

  • Apache

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Několik možností ohrožení zabezpečení Apache.

    Popis: Apache je aktualizován na verzi 2.2.20, která řeší několik bezpečnostních slabin, z nichž ty nejzávažnější můžou vést k útoku DDoS (zamítnutí služby). CVE-2011-0419 se netýká systémů s OS X Lion. Další informace jsou k dispozici na webové stránce Apache na adrese http://httpd.apache.org/

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Aplikační firewall

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Spuštění binárního souboru se škodlivě vytvořeným názvem může vést ke svévolnému spuštění kódu s vysokými oprávněními.

    Popis: V debugovacím protokolování Aplikačního firewallu existovala slabina ve funkci print format string.

    CVE-ID

    CVE-2011-0185 : anonymní výzkumník

  • ATS

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke svévolnému spuštění kódu.

    Popis: Při zpracovávání písem Type 1 v prostředí ATS existoval problém s podpisy. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3437

  • ATS

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke svévolnému spuštění kódu.

    Popis: Při zpracovávání písem Type 1 v prostředí ATS existoval problém s přístupem k paměti mimo rozsah. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0229 : Will Dormann z týmu CERT/CC

  • ATS

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Aplikace, které používají API ATSFontDeactivate, mohou být náchylné k nečekanému ukončení aplikace nebo svévolnému spuštění kódu.

    Popis: V API ATSFontDeactivate mohlo dojít k přetečení vyrovnávací paměti.

    CVE-ID

    CVE-2011-0230 : Steven Michaud z týmu Mozilla

  • BIND

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Několik slabin v softwaru BIND 9.7.3.

    Popis: V softwaru BIND 9.7.3 existovalo několik problémů umožňujících DDoS útok. Problémy byly vyřešeny aktualizací softwaru BIND na verzi 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Několik slabin v softwaru BIND.

    Popis: V softwaru BIND existovalo několik problémů umožňujících DDoS útok. Problémy byly vyřešeny aktualizací softwaru BIND na verzi 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Zásady důvěryhodnosti certifikátů

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1.

    Dopad: Kořenové certifikáty byly aktualizovány.

    Popis: Na seznam systémových kořenových certifikátů bylo připsáno několik důvěryhodných certifikátů. Několik stávajících certifikátů bylo aktualizováno na novou verzi. Úplný seznam rozeznávaných kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.

  • CFNetwork

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Safari může ukládat cookies, které podle nastavení nemá přijímat.

    Popis: Ve zpracovávání zásad cookies v knihovně CFNetwork existoval problém se synchronizací. Nastavení cookies v Safari mohla být ignorována, takže webové stránky pak mohly používat i takové cookies, které měly být podle nastavení blokovány. Problém byl vyřešen lepší manipulací s úložištěm cookies.

    CVE-ID

    CVE-2011-0231 : Martin Tessarek, Steve Riggins z týmu Geeks R Us, Justin C. Walker a Stephen Creswell

  • CFNetwork

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Návštěva nebezpečně vytvořeného webu může vést k úniku citlivých informací.

    Popis: V knihovně CFNetwork existoval problém se zpracováváním HTTP cookies. Dopad: Při otevření škodlivě vytvořené HTTP nebo HTTPS adresy mohla knihovna CFNetwork nesprávně poslat cookies k dané doméně serveru, který se nachází v jiné doméně. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3246 : Erling Ellingsen z týmu Facebook

  • CoreFoundation

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého webu nebo e-mailu může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání tokenizace řetězců v rozhraní CoreFoundation existoval problém s poškozením paměti. Tento problém se netýká OS X Lionu. Aktualizace tento problém řeší vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2011-0259 : Apple

  • CoreMedia

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Návštěva nebezpečně vytvořeného webu může vést k úniku dat videí z jiného webu.

    Popis: Ve zpracovávání přesměrování mezi weby v součásti CoreMedia docházelo ke křížení původů. Problém byl vyřešen lepším sledováním původu.

    CVE-ID

    CVE-2011-0187 : Nirankush Panchbhai a Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání videosouborů v QuickTimu existovalo několik problémů s poškozením paměti. Tyto problémy se netýkají OS X Lionu.

    CVE-ID

    CVE-2011-0224 : Apple

  • CoreProcesses

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Osobě s fyzickým přístupem k systému se může podařit obejít zámek obrazovky.

    Popis: Systémová okna zobrazující se na zamčené obrazovce, například výzva k zadání hesla k VPN, mohla přijímat vstupy z klávesnice, i když byla obrazovka zamčená. Problém byl vyřešen zabráněním tomu, aby systémová okna mohla na zamčené obrazovce přijímat vstup z kláves. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-0260 : Clint Tseng z University of Washington, Michael Kobb a Adam Kemp

  • CoreStorage

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Přechod na FileVault nesmaže všechna existující data.

    Popis: Po zapnutí FileVaultu zůstalo v nepoužívané části disku na začátku svazku zhruba 250 MB nešifrovaných dat. Nešifrovaná zůstala jen ta data, která byla na disku ještě před zapnutím FileVaultu. Problém byl vyřešen smazáním této oblasti po zapnutí FileVaultu nebo při prvním použití šifrovaného svazku, který má tento problém. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3212 : Judson Powers z týmu ATC-NY

  • Souborové systémy

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Útočník s privilegovanou pozicí v síti může manipulovat s certifikáty HTTPS serveru, což může vést k prozrazení citlivých informací.

    Popis: Existoval problém se zpracováváním svazků WebDAV na HTTPS serverech. Když server poskytl certifikátový řetězec, který nebylo možné automaticky ověřit, zobrazilo se varování a spojení bylo ukončeno. Pokud uživatel v okně s varováním klikl na Pokračovat, při dalším připojení ke stejnému serveru byl přijat jakýkoli certifikát. Útočník s výsadním postavením v síti díky tomu mohl manipulovat připojeními tak, aby získal citlivé údaje anebo jednal na serveru v přestrojení za daného uživatele. Aktualizace tento problém řeší kontrolováním, zda certifikát poskytnutý při druhém připojení je stejný jako certifikát zaslaný uživateli původně.

    CVE-ID

    CVE-2011-3213 : Apple

  • IOGraphics

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Osobě s fyzickým přístupem k zařízení se může podařit obejít zámek obrazovky.

    Popis: Existoval problém s používáním zamčené obrazovky s displeji Apple Cinema. Pokud je k probuzení ze spánku vyžadováno heslo, osoba s fyzickým přístupem k zařízení se za předpokladu, že je displej v režimu spánku, může dostat do systému i bez zadání hesla. Aktualizace řeší problém zajištěním, aby se v režimu spánku displeje správně aktivoval zámek obrazovky. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-3214 : Apple

  • iChat Server

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Vzdálený útočník mohl způsobit, aby server Jabber spotřebovával neúměrné množství systémových prostředků.

    Popis: V jabberd2, což je server protokolu XMPP (Extensible Messaging and Presence Protocol), existoval problém ve zpracovávání externích entit XML. jabberd2 rozbaluje externí entity v příchozích požadavcích. Díky tomu může útočník velmi rychle spotřebovávat systémové prostředky a zablokovat tím přístup běžným uživatelům serveru. Aktualizace řeší problém tím, že zakazuje rozbalování entit v příchozích požadavcích.

    CVE-ID

    CVE-2011-1755

  • Jádro

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Osoba s fyzickým přístupem k zařízení může zjistit uživatelovo heslo.

    Popis: Logická chyba v ochraně DMA v jádru umožňovala přístup k DMA přes FireWire při událostech loginwindow, boot a shutdown, ačkoli ne na zamčené obrazovce. Aktualizace řeší problém tím, že zakazuje FireWire přístup k DMA ve všech případech, kdy uživatel není přihlášen.

    CVE-ID

    CVE-2011-3215 : Passware, Inc.

  • Jádro

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Neoprávněný uživatel může smazat soubory jiného uživatele ve sdílené složce.

    Popis: Existovala logická chyba v tom, jak jádro zpracovávalo mazání souborů ve složkách s příznakem sticky bit.

    CVE-ID

    CVE-2011-3216 : Gordon Davisson z týmu Crywolf, Linc Davis, R. Dormer, Allan Schmid a Oliver Jeckel z týmu Brainworks Training

  • libsecurity

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého webu nebo e-mailu může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání rozšíření seznamu odvolaných nestandardních certifikátů existoval problém.

    CVE-ID

    CVE-2011-3227 : Richard Godbee z týmu Virginia Tech

  • Mailman

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Několik slabin v součásti Mailman 2.1.14

    Popis: V součásti Mailman 2.1.14 existovalo několik problémů se skriptováním napříč weby. Problémy byly vyřešeny lepším kódováním znaků v HTML výstupu. Další informace najdete na webu Mailmanu: http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Otevření škodlivého obrazu disku může vést k nečekanému ukončení aplikace nebo svévolnému spuštění kódu.

    Popis: Ve zpracovávání obrazů disků existovalo několik problémů s poškozením paměti. Tyto problémy se netýkají OS X Lionu.

    CVE-ID

    CVE-2011-3217 : Apple

  • Open Directory

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Uživatel může číst data o heslu jiného uživatele.

    Popis: Ve službě Open Directory existoval problém s řízením přístupu. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3435 : Arek Dreyer z týmu Dreyer Network Consultants, Inc, a Patrick Dunstan z defenseindepth.net

  • Open Directory

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Přihlášený uživatel může změnit heslo svého účtu, aniž by musel zadat stávající heslo.

    Popis: Ve službě Open Directory existoval problém s řízením přístupu. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3436 : Patrick Dunstan z defenceindepth.net

  • Open Directory

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Uživatel se může přihlásit bez hesla.

    Popis: Když se služba Open Directory prováže se serverem LDAPv3 pomocí RFC2307 nebo vlastních mapování, takže uživatelé pak nemají atribut AuthenticationAuthority, může se stát, že uživatel LDAP se bude moct přihlásit bez hesla. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3226 : Jeffry Strunk z The University of Texas, Austin, Steven Eppler z Colorado Mesa University, Hugh Cole-Baker a Frederic Metoz z Institut de Biologie Structurale

  • PHP

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání písem Type 1 v prostředí FreeType existoval problém s podpisy. Problém byl vyřešen aktualizací FreeType na verzi 2.4.6. Tento problém nemá vliv na systémy starší než OS X Lion. Další informace jsou k dispozici na webu FreeType na adrese http://www.freetype.org/ .

    CVE-ID

    CVE-2011-0226

  • PHP

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Několik slabin v knihovně libpng 1.4.3.

    Popis: Knihovna libpng byla aktualizována na verzi 1.5.4, což řeší několik slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu. Další informace najdete na webu libpng na adrese http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Několik slabin v PHP 5.3.4.

    Popis: PHP bylo aktualizováno na verzi 5.3.6, což řeší několik slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu. Tyto problémy se netýkají OS X Lionu. Další informace najdete na webu PHP na adrese http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Několik slabin v softwaru Postfix.

    Popis: Software Postfix byl aktualizován na verzi 2.5.14, což řeší několik slabin, z nichž ty nejvážnější mohly útočníkovi s výsadním postavením v síti umožnit manipulaci s poštovními relacemi a díky tomu získat citlivá data z šifrovaných přenosů. Tyto problémy by se neměly týkat OS X Lionu. Další informace najdete na webu Postfixu na adrese http://www.postfix.org/announcements/postfix-2.7.3.html.

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • Python

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Několik slabin v jazyce Python.

    Popis: Python obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit svévolné spuštění kódu. Aktualizace tento problém řeší použitím oprav z projektu Python. Další informace najdete na webu Pythonu na adrese http://www.python.org/download/releases/.

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání videosouborů v QuickTimu existovalo několik problémů s poškozením paměti.

    CVE-ID

    CVE-2011-3228 : Apple

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání STSC atomů ve videosouborech QuickTime mohlo dojít k přetečení vyrovnávací paměti. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0249 : Matt 'j00ru' Jurczyk spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání STSS atomů ve videosouborech QuickTime mohlo dojít k přetečení vyrovnávací paměti. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0250 : Matt 'j00ru' Jurczyk spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání STSZ atomů ve videosouborech QuickTime mohlo dojít k přetečení vyrovnávací paměti. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0251 : Matt 'j00ru' Jurczyk spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání STTS atomů ve videosouborech QuickTime mohlo dojít k přetečení vyrovnávací paměti. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-0252 : Matt 'j00ru' Jurczyk spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Útočník s výsadním postavením v síti mohl při prohlížení HTML šablon vložit do místní domény vlastní skript.

    Popis: V exportní funkci QuickTime Playeru „Save for Web“ existoval problém se skriptováním napříč weby. HTML šablony generované touto funkcí odkazovaly na skriptový soubor s nešifrovaným původem. Útočník s výsadním postavením v síti, který si takovou šablonu zobrazil místně, mohl do místní domény vkládat škodlivé skripty. Problém byl vyřešen odkazováním na skript uložený na internetu. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-3218 : Aaron Sigel z vtty.com

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání filmových souborů v kódování H.264 v QuickTimu mohlo dojít k přetečení vyrovnávací paměti.

    CVE-ID

    CVE-2011-3219 : Damian Put spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého videosouboru může vést ke zveřejnění obsahu paměti.

    Popis: Ve zpracovávání obslužných rutin URL ve videosouborech v QuickTimu existoval problém s neinicializovaným přístupem k paměti.

    CVE-ID

    CVE-2011-3220 : Luigi Auriemma spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání hierarchie atomů ve videosouborech v QuickTimu existoval problém s implementací.

    CVE-ID

    CVE-2011-3221 : anonymní výzkumník spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého souboru FlashPix může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracování souborů FlashPix v QuickTimu mohlo dojít k přetečení vyrovnávací paměti.

    CVE-ID

    CVE-2011-3222 : Damian Put spolupracující s iniciativou Zero Day společnosti TippingPoint

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracování souborů FLIC v QuickTimu mohlo dojít k přetečení vyrovnávací paměti.

    CVE-ID

    CVE-2011-3223 : Matt 'j00ru' Jurczyk spolupracující s iniciativou Zero Day společnosti TippingPoint

  • Souborový server SMB

    K dispozici pro: OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Uživatel s oprávněními hosta mohl procházet sdílené složky.

    Popis: V souborovém serveru SMB existoval problém s řízením přístupu. Když byl hostům zakázán přístup k záznamu bodu sdílení dané složky, efekt byl takový, že uživatelé „_unknown“ si bod sdílení procházet nemohli, zatímco hosté (uživatelé „nobody“) ano. Problém byl vyřešen tím, že řízení přístupu se teď vtahuje i na hosty. Tento problém nemá vliv na systémy starší než OS X Lion.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Několik slabin v softwaru Tomcat 6.0.24.

    Popis: Software Tomcat byl aktualizován na verzi 6.0.32, což řeší několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke skriptovému útoku napříč weby. Tomcat je součástí pouze systémů Mac OS X Server. Tento problém se netýká OS X Lionu. Další informace najdete na webu Tomcatu na adrese http://tomcat.apache.org/.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Uživatelská dokumentace

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dopad: Útočník s výsadním postavením v síti mohl manipulovat s nápovědou App Storu, což mohlo vést ke svévolnému spuštění kódu.

    Popis: Obsah nápovědy App Storu byl aktualizován přes HTTP. Aktualizace řeší problém tím, že nápověda App Storu se odteď aktualizuje přes HTTPS. Tento problém se netýká OS X Lionu.

    CVE-ID

    CVE-2011-3224 : Aaron Sigel z vtty.com a Brian Mastenbrook

  • Webový server

    K dispozici pro: Mac OS X Server 10.6.8

    Dopad: Klienti nemusejí mít přístup k webovým službám, které vyžadují ověřování typu Digest.

    Popis: Byl opraven problém se zpracováváním ověřování HTTP Digest. Uživatelům mohl být odmítán přístup k serverovým prostředkům, a to i v situacích, kdy konfigurace serveru přístup umožňovala. Problém nepředstavoval bezpečnostní riziko a byl vyřešen zavedením silnějších ověřovacích mechanismů. Systémů s OS X Lion Serverem se tento problém netýká.

  • X11

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 a 10.7.1, OS X Lion Server 10.7 a 10.7.1

    Dopad: Několik slabin v knihovně libpng.

    Popis: V knihovně libpng existovalo několik slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu. Problém byl vyřešen aktualizací knihovny libpng na verzi 1.5.4 v systémech s OS X Lionem a na verzi 1.2.46 v systémech s Mac OS X 10.6. Další informace najdete na webu libpng na adrese http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: