Om sikkerhedsindholdet i Mac OS X v10.6.8 og sikkerhedsopdatering 2011-004

I dette dokument beskrives Mac OS X v10.6.8 og Sikkerhedsopdatering 2011-004.

Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med supportoverførsler.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".

Mac OS X v10.6.8 og sikkerhedsopdatering 2011-004

  • AirPort

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Effekt: Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis få systemet til at blive nulstillet

    Beskrivelse: Der var et problem med overskredet hukommelse i håndteringen af Wi-Fi-rammer. Hvis en enhed er sluttet til Wi-Fi, kan en hacker på samme netværk muligvis få systemet til at blive nulstillet. Problemet berører ikke Mac OS X v10.6

    CVE-id

    CVE-2011-0196

  • App Store

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Adgangskoden til brugerens Apple-id kan blive arkiveret i et lokalt arkiv

    Beskrivelse: Under visse omstændigheder arkiverer App Store brugerens Apple-id-adgangskode i et arkiv, der ikke kan læses af andre brugere af computeren. Problemet løses ved forbedret håndtering af legitimationsoplysninger.

    CVE-id

    CVE-2011-0197: Paul Nelson

  • ATS

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i håndteringen af TrueType-skrifter. Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld fra Red Hat Security Response Team

  • Politik for certifikatgodkendelse

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Der var et fejlhåndteringsproblem i politik for certifikatgodkendelse. Hvis et EV-certifikat (Extended Validation) ikke har en OCSP URL, og CRL-kontrol er slået til, kontrolleres CRL ikke, og et tilbagekaldt certifikat godkendes muligvis som gyldigt. Problemet optræder kun i begrænset omfang, da de fleste EV-certifikater indeholder angivelse af en OCSP URL.

    CVE-id

    CVE-2011-0199: Chris Hawk og Wan-Teh Chang fra Google

  • ColorSync

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Effekt: Visning af et skadeligt billede med integreret ColorSync-profil kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af billeder med integreret ColorSync-profil, som kan medføre bufferoverløb i heap. Åbning af et skadeligt billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0200: binaryproof, som arbejder for TippingPoints Zero Day Initiative

  • CoreFoundation

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Programmer, der bruger CoreFoundation-framework, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med off-by-one-bufferoverløb i håndteringen af CFStrings. Programmer, der bruger CoreFoundation-framework, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af type 1-skrifter. Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0202: Cristian Draghici fra Modulo Consulting, Felix Grobert fra Google Security Team

  • FTP-server

    Fås til: Mac OS X Server v10.6 til v10.6.7

    Effekt: En person med FTP-adgang kan muligvis oprette en liste over arkiverne på systemet

    Beskrivelse: Der var et problem med stigodkendelse i xftpd. En bruger med FTP-adgang kan muligvis udføre rekursiv oprettelse af biblioteksliste med start i roden, herunder for biblioteker, der ikke deles via FTP. Listen kan indeholde alle arkiver, som FTP-brugeren ville kunne få adgang til. Indholdet af arkiverne vises ikke. Dette problem løses ved forbedret stigodkendelse. Dette problem påvirker kun Mac OS X Server-systemer.

    CVE-id

    CVE-2011-0203: team karlkani

  • ImageIO

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i ImageIO's håndtering af TIFF-billeder. Visning af et skadeligt TIFF-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0204: Dominic Chell fra NGS Secure

  • ImageIO

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap i ImageIO's behandling af JPEG2000-billeder. Et besøg på et skadeligt websted kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0205: Harry Sintonen

  • Internationale komponenter til Unicode

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Programmer, der bruger ICU, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i ICU's håndtering af strenge med store bogstaver. Programmer, der bruger ICU, kan være sårbare over for pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0206: David Bienvenu fra Mozilla

  • Kernel

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: En lokal bruger kan muligvis udløse nulstilling af systemet

    Beskrivelse: Der var et problem med null pointer-dereference i håndteringen af IPv6-socketindstillingerne. En lokal bruger kan muligvis udløse nulstilling af systemet.

    CVE-id

    CVE-2011-1132: Thomas Clement fra Intego

  • Libsystem

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Programmer, der bruger glob(3)-API, kan være sårbare over for DoS-angreb

    Beskrivelse: Programmer, der bruger glob(3)-API, kan være sårbare over for DoS-angreb Hvis glob-strukturen kommer fra input, der ikke er tillid til, kan programmet hænge eller trække store CPU-ressourcer. Problemet løses gennem forbedret godkendelse af PIM-pakker.

    CVE-id

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Besøg på et skadeligt udformet websted kan medføre afsløring af adresser på heapbufferen

    Beskrivelse: libxslt's implementering af generate-id() XPath-funktionen har afsløret adressen på en heapbuffer. Besøg på et skadeligt websted kan medføre videregivelse af adresser på heap. Dette problem løses ved at generere et id baseret på forskellen på de to heapbufferes adresser.

    CVE-id

    CVE-2011-0195: Chris Evans fra Google Chrome Security Team

  • MobileMe

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: En hacker med priviligeret netværksposition kan muligvis læse brugerens MobileMe-e-mailhenvisninger

    Beskrivelse: Ved kommunikation med MobileMe for at fastlægge brugernes e-mailhenvisninger foretager Mail anmodninger via HTTP. Derfor kan en hacker med priviligeret netværksposition muligvis læse brugerens MobileMe-e-mailhenvisninger. Problemet løses ved at bruge SSL til at få adgang til brugerens e-mailhenvisninger.

    CVE-id

    CVE-2011-0207: Aaron Sigel fra vtty.com

  • MySQL

    Fås til: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7

    Effekt: Flere sikkerhedshuller i MySQL 5.0.91

    Beskrivelse: MySQL opdateres til version 5.0.92 for at fjerne flere sikkerhedsrisici, hvoraf den alvorligste kan muliggøre kørsel af vilkårlig kode. MySQL fås kun til systemer med Mac OS X Server.

    CVE-id

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Flere sikkerhedshuller i OpenSSL

    Beskrivelse: OpenSSL indeholdt flere sikkerhedsrisici, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Problemerne løses ved at opdatere OpenSSL til version 0.9.8r.

    CVE-id

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • patch

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Kørsel af en sikkerhedsrettelse med et skadeligt rettelsesarkiv kan medføre, at der oprettes eller overskrives vilkårlige arkiver

    Beskrivelse: Der var et problem med afsløring af mappeoplysninger i GNU-patchen. Kørsel af en sikkerhedsrettelse med et skadeligt rettelsesarkiv kan medføre, at der oprettes eller overskrives vilkårlige arkiver. Dette problem løses ved forbedret godkendelse af patch-arkiver.

    CVE-id

    CVE-2010-4651

  • QuickLook

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Overførsel af et skadeligt Microsoft Office-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode. Dette problem påvirker ikke systemer, der er ældre end Mac OS X v10.6.

    CVE-id

    CVE-2011-0208: Tobias Klein, som arbejder for iDefense VCP

  • QuickTime

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt WAV-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et heltalsoverløb under håndteringen af RIFF WAV-arkiver i QuickTime. Visning af et skadeligt WAV-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode.

    CVE-id

    CVE-2011-0209: Luigi Auriemma, som arbejder for TippingPoint's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var en hukommelsesfejl i forbindelse med behandlingen af eksempeltabeller i QuickTime-filmarkiver i QuickTime. Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0210: Honggang Ren fra Fortinets FortiGuard Labs

  • QuickTime

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb under håndteringen af filmarkiver i QuickTime. Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0211: Luigi Auriemma, som arbejder for TippingPoint's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved QuickTimes håndtering af PICT-billeder. Visning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2010-3790: Subreption LLC, som arbejder for TippingPoint's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Visning af et skadeligt JPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der sker et overløb i QuickTimes behandling af JPEG-arkiver. Visning af et skadeligt JPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2011-0213: Luigi Auriemma fra iDefense

  • Samba

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Effekt: Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et stackbufferoverløb under håndteringen af Windows Security ID'er i Samba. Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode. Vedrørende computere med Mac OS X v10.6 er problemet løst i Mac OS X 10.6.7.

    CVE-id

    CVE-2010-3069

  • Samba

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med Sambas håndtering af arkivbeskrivere. Hvis deling af SMB-arkiver er aktiveret, kan en hacker muligvis forårsage et DoS-angreb eller vilkårlig kørsel af kode.

    CVE-id

    CVE-2011-0719: Volker Lendecke fra SerNet

  • servermgrd

    Fås til: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7

    Effekt: En hacker kan muligvis læse vilkårlige arkiver i systemet

    Beskrivelse: Der findes et problem med eksterne XML-enheder i servermgrd-behandlingen af XML-RPC-anmodninger. Problemet løses ved at fjerne servermgrd's XML-RPC-interface. Dette problem påvirker kun Mac OS X Server-systemer.

    CVE-id

    CVE-2011-0212: Apple

  • subversion

    Fås til: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til v10.6.7, Mac OS X Server v10.6 til v10.6.7

    Effekt: Hvis der konfigureres en HTTP-baseret Subversion-server, kan en hacker muligvis forårsage et DoS-angreb

    Beskrivelse: Der var et problem med null pointer-dereference i Subversions håndtering af lock tokens, der er sendt via HTTP. Hvis der konfigureres en HTTP-baseret Subversion-server, kan en hacker muligvis forårsage et DoS-angreb. På Mac OS X v10.6-systemer opdateres Subversion til version 1.6.6. På Mac OS X v10.5.8-systemer løses problemet ved yderligere godkendelse af lock tokens. Yderligere oplysninger kan ses på Subversions websted http://subversion.apache.org/

    CVE-id

    CVE-2011-0715

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: