Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i os x lion v10.7.2 og sikkerhedsopdatering 2011-006, som kan hentes og installeres via indstillinger for softwareopdatering eller fra Apple-supportoverførsler.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.


OS X Lion v10.7.2 og sikkerhedsopdatering 2011-006
- 

- 

Apache

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Flere sikkerhedsrisici i Apache

Beskrivelse: Apache er opdateret til version 2.2.20 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste medfører risiko for DoS-angreb (Denial of Service). CVE-2011-0419 påvirker ikke OS X Lion-computere. Du kan finde flere oplysninger på Apache-webstedet på http://httpd.apache.org/

CVE-id

CVE-2011-0419

CVE-2011-3192

 

- 

- 

Programfirewall

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Udførelse af en binær med et skadeligt udformet navn kan medføre kørsel af vilkårlig kode med større rettigheder

Beskrivelse: Der opstod en sårbarhed i forbindelse med formatstrenge i Firewall-log til program.

CVE-id

CVE-2011-0185: En anonym anmelder

 

- 

- 

ATS

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan medføre kørsel af vilkårlig kode

Beskrivelse: Der opstod et signeringsproblem i håndteringen af Type 1-skrifttyper i ATS. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3437

 

- 

- 

ATS

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrifttype, kan medføre kørsel af vilkårlig kode

Beskrivelse: Der opstod et problem med overskredet hukommelsesadgang i håndteringen af Type 1-skrifttyper i ATS. Problemet påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0229: Will Dormann fra CERT/CC

 

- 

- 

ATS

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Programmer, der anvender ATSFontDeactivate API, kan være for udsatte for pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod et bufferoverløbsproblem i ATSFontDeactivate API.

CVE-id

CVE-2011-0230: Steven Michaud fra Mozilla

 

- 

- 

BIND

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Flere sikkerhedsrisici i BIND 9.7.3

Beskrivelse: Der opstod flere denial-of-service-problemer i BIND 9.7.3. Disse problemer løses ved at opdatere BIND til version 9.7.3-P3.

CVE-id

CVE-2011-1910

CVE-2011-2464

 

- 

- 

BIND

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Flere sikkerhedsrisici i BIND

Beskrivelse: Der opstod flere denial-of-service-problemer i BIND 9.7.3. Disse problemer er løst ved at opdatere BIND til version 9.6-ESV-R4-P3.

CVE-id

CVE-2009-4022

CVE-2010-0097

CVE-2010-3613

CVE-2010-3614

CVE-2011-1910

CVE-2011-2464

 

- 

- 

Politik for certifikatgodkendelse

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1.

Effekt: Rodcertifikaterne er blevet opdateret

Beskrivelse: Flere godkendte certifikater er føjet til listen over systemrødder. Flere eksisterende certifikater blev opdateret til den nyeste version. Den komplette liste over genkendte systemrødder kan ses via programmet Hovednøglering.

 

- 

- 

CFNetwork

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Safari kan lagre cookies, som det ikke er konfigureret til at acceptere

Beskrivelse: Der opstod et synkroniseringsproblem i CFNetworks håndtering af politikker for cookies. Safaris indstillinger for cookies opfyldes muligvis ikke, hvilket gør det muligt for websteder at angive cookies, som ville blive blokeret, hvis indstillingen blev håndhævet. Denne opdatering løser problemet ved forbedret håndtering af lagring af cookies.

CVE-id

CVE-2011-0231: Martin Tessarek, Steve Riggins fra Geeks R Us, Justin C. Walker og Stephen Creswell

 

- 

- 

CFNetwork

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Besøg på et skadeligt udformet websted kan medføre afsløring af følsomme oplysninger

Beskrivelse: Der opstod et problem med CFNetworks håndtering af HTTP-cookies. Ved adgang til en skadeligt udformet HTTP- eller HTTPS-URL-adresse kan CFNetwork fejlagtigt sende cookies for et domæne til en server uden for dette domæne. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3246: Erling Ellingsen på Facebook

 

- 

- 

CoreFoundation

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet websted eller en skadeligt udformet e-mail kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod en hukommelsesfejl i CoreFoundations håndtering af opdeling af strenge i tokens. Problemet påvirker ikke computere med OS X Lion. Denne opdatering løser problemet ved hjælp af forbedret kontrol af grænser.

CVE-id

CVE-2011-0259: Apple

 

- 

- 

CoreMedia

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Besøg på et skadeligt udformet websted kan medføre videregivelse af videodata fra et andet websted

Beskrivelse: Der opstod et cross-origin-problem med CoreMedias håndtering af videresendelse til andre websteder. Problemet er løst ved forbedret oprindelsessporing.

CVE-id

CVE-2011-0187: Nirankush Panchbhai og Microsoft Vulnerability Research (MSVR)

 

- 

- 

CoreMedia

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i håndteringen af QuickTime-filmarkiver. Disse problemer påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0224: Apple

 

- 

- 

CoreProcesses

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En person med fysisk adgang til et system kan delvist omgå skærmlåsen

Beskrivelse: Et systemvindue, f.eks. en VPN-adgangskodeprompt, som blev vist, mens skærmen var låst, kan have accepterede tastetryk, mens skærmen var låst. Problemet løses ved at forhindre, at systemvinduer anmoder om tastetryk, når skærmen er låst. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-0260: Clint Tseng fra University of Washington, Michael Kobb og Adam Kemp

 

- 

- 

CoreStorage

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Ved konvertering til FileVault slettes alle eksisterende data ikke

Beskrivelse: Efter aktivering af FileVault blev ca. 250 MB i starten af drevet stående ukrypteret i et ubenyttet område af disken. Kun data, der fandtes på enheden før aktivering af FileVault, blev ikke krypteret. Problemet løses ved at slette dette område ved aktivering af FileVault og ved den første brug af et krypteret drev, som er berørt af dette problem. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3212: Judson Powers fra ATC-NY

 

- 

- 

Arkivsystemer

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En hacker med en privilegeret netværksposition kan manipulere med HTTPS-servercertifikater, som medfører offentliggørelse af følsomme oplysninger

Beskrivelse: Der opstod et problem med håndteringen af WebDAV-drev på HTTPS-servere. Hvis serveren præsenterede en certifikatkæde, som ikke automatisk kunne verificeres, blev der vist et en advarsel, og forbindelsen blev lukket. Hvis brugeren klikkede på knappen "Fortsæt" i advarselsdialogboksen, blev alle certifikater accepteret ved den efterfølgende forbindelse til denne server. En hacker i en privilegeret netværksposition kan muligvis have manipuleret forbindelsen for at indhente følsomme oplysninger eller foretage handlinger på serveren på brugerens vegne. Denne opdatering løser problemet ved at godkende, at det modtagne certifikat på den anden forbindelse er det samme certifikat, som oprindeligt blev præsenteret for brugeren.

CVE-id

CVE-2011-3213: Apple

 

- 

- 

IOGraphics

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: En person med fysisk adgang kan få adgang til at omgå skærmlåsen

Beskrivelse: Der opstod et problem med skærmlåsen ved brug sammen med Apple Cinema Displays. Når der kræves en adgangskode for at afbryde vågeblus, kan en person med fysisk adgang få adgang til systemet uden at indtaste en adgangskode, hvis systemets skærm er i vågeblustilstand. Denne opdatering løser problemet ved at sikre, at den låste skærm aktiveres korrekt, når skærmen er i vågeblustilstand. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-3214: Apple

 

- 

- 

iChat Server

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En ekstern hacker kan medføre, at Jabber-serveren anvender uforholdsmæssigt mange systemressourcer

Beskrivelse: Der opstod et problem med håndteringen af eksterne XML-enheder i jabberd2, en server til XMPP (Extensible Messaging and Presence Protocol). jabberd2 udvider eksterne enheder i indgående anmodninger. Det gør det muligt for en hacker at opbruge systemressourcerne meget hurtigt, hvilket forhindrer de retmæssige brugere i at bruge serverens tjenester. Denne opdatering løser problemet ved at deaktivere udvidelse af enheder i indgående anmodninger.

CVE-id

CVE-2011-1755

 

- 

- 

Kernel

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En person med fysisk adgang kan få adgang til brugerens adgangskode

Beskrivelse: Der opstod en logisk fejl i kernels DMA-beskyttelse, som tillod firewire-DMA i log ind-vinduet samt ved opstart og nedlukning, men ikke ved låsning af skærmen. Denne opdatering løser problemet ved at forhindre firewire-DMA i alle tilstande, når brugeren ikke er logget ind.

CVE-id

CVE-2011-3215: Passware, Inc.

 

- 

- 

Kernel

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En bruger uden tilladelser kan slette en anden brugers arkiver i en delt mappe

Beskrivelse: Der opstod en logisk fejl i kernels håndtering af slettede arkiver i mapper med sticky bit.

CVE-id

CVE-2011-3216: Gordon Davisson fra Crywolf, Linc Davis, R. Dormer samt Allan Schmid og Oliver Jeckel fra brainworks Training

 

- 

- 

libsecurity

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet websted eller en skadeligt udformet e-mail kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod et problem med fejlhåndtering ved parsing af udvidelser af ikke-standardmæssige lister for tilbagekaldte certifikater.

CVE-id

CVE-2011-3227: Richard Godbee fra Virginia Tech

 

- 

- 

Mailman

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Flere sikkerhedsrisici i Mailman 2.1.14

Beskrivelse: Der opstod flere problemer med scripting på tværs af websteder i Mailman 2.1.14. Disse problemer løses ved hjælp af forbedret kodning af tegn i HTML-output. Du kan finde flere oplysninger på webstedet for Mailman på http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0707

 

- 

- 

MediaKit

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Åbning af et skadeligt udformet diskbillede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod flere hukommelsesfejl i håndteringen af diskbilleder. Disse problemer påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-3217: Apple

 

- 

- 

Open Directory

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Enhver bruger kan læse en anden lokal brugers adgangskodedata

Beskrivelse: Der opstod et problem med adgangskontrol i Open Directory. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3435: Arek Dreyer fra Dreyer Network Consultants, Inc og Patrick Dunstan hos defenseindepth.net

 

- 

- 

Open Directory

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En godkendt bruger kan ændre adgangskoden til denne konto uden at oplyse den aktuelle adgangskode

Beskrivelse: Der opstod et problem med adgangskontrol i Open Directory. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3436: Patrick Dunstan hos defenceindepth.net

 

- 

- 

Open Directory

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En bruger kan logge på uden adgangskode

Beskrivelse: Når Open Directory er knyttet til en LDAPv3-server med RFC2307 eller specielle overførsler, så der ikke eksisterer en AuthenticationAuthority-attribut for en bruger, kan en LDAP-bruger muligvis logge på uden en adgangskode. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3226: Jeffry Strunk fra The University of Texas i Austin, Steven Eppler fra Colorado Mesa University, Hugh Cole-Baker og Frederic Metoz fra Institut de Biologie Structurale

 

- 

- 

PHP

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod et signeringsproblem i håndteringen af Type 1-skrifter i FreeType. Dette problem løses ved at opdatere FreeType til version 2.4.6. Dette problem berører ikke computere, der er ældre end OS X Lion. Du kan finde flere oplysninger på webstedet for FreeType på /http://www.freetype.org/

CVE-id

CVE-2011-0226

 

- 

- 

PHP

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Flere sikkerhedsrisici i libpng 1.4.3

Beskrivelse: libpng opdateres til version 1.5.4 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Du kan finde flere oplysninger via libpng-webstedet på http://www.libpng.org/pub/png/libpng.html.

CVE-id

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692

 

- 

- 

PHP

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Flere sikkerhedsrisici i PHP 5.3.4

Beskrivelse: PHP opdateres til version 5.3.6 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre vilkårlig kørsel af kode. Problemet påvirker ikke computere med OS X Lion. Du kan finde flere oplysninger på PHP-webstedet på http://www.php.net/.

CVE-id

CVE-2010-3436

CVE-2010-4645

CVE-2011-0420

CVE-2011-0421

CVE-2011-0708

CVE-2011-1092

CVE-2011-1153

CVE-2011-1466

CVE-2011-1467

CVE-2011-1468

CVE-2011-1469

CVE-2011-1470

CVE-2011-1471

 

- 

- 

postfix

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Flere sikkerhedsrisici i Postfix

Beskrivelse: Postfix er opdateret til version 2.5.14 for at fjerne flere sikkerhedsrisici, hvoraf den mest alvorlige kan medføre, at en hacker får netværksrettigheder til at manipulere med e-mailsessionen, så han kan opsnappe fortrolige oplysninger fra den krypterede datatrafik. Problemerne påvirker normalt ikke computere med OS X Lion. Yderligere oplysninger om kan ses på Postfix-webstedet på adressen http://www.postfix.org/announcements/postfix-2.7.3.html

CVE-id

CVE-2011-0411

CVE-2011-1720

 

- 

- 

python

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Flere sikkerhedsrisici i phyton

Beskrivelse: Der opstod flere sikkerhedsrisici i python, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at anvende programrettelser fra python-projektet. Du kan finde flere oplysninger på python-webstedet på http://www.python.org/download/releases/

CVE-id

CVE-2010-1634

CVE-2010-2089

CVE-2011-1521

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod flere problemer med beskadiget hukommelse under håndteringen af filmarkiver i QuickTime.

CVE-id

CVE-2011-3228: Apple

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et heap-bufferoverløb i forbindelse med håndteringen af STSC-atomer i QuickTime-filmarkiver. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0249: Matt 'j00ru' Jurczyk, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et heap-bufferoverløb i forbindelse med håndteringen af STSS-atomer i QuickTime-filmarkiver. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0250: Matt 'j00ru' Jurczyk, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et heap-bufferoverløb i forbindelse med håndteringen af STSZ-atomer i QuickTime-filmarkiver. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0251: Matt 'j00ru' Jurczyk, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et heap-bufferoverløb i forbindelse med håndteringen af STTS-atomer i QuickTime-filmarkiver. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-0252: Matt 'j00ru' Jurczyk, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: En hacker med en privilegeret netværksposition kan indsætte script på det lokale domæne ved visning af en HTML-skabelon

Beskrivelse: Der opstod et problem med scripting på tværs af websteder i eksport "Gem på internettet" i QuickTime Player. HTML-skabelonarkiverne, som blev genereret af denne funktion, refererede til et scriptarkiv fra et ikke-krypteret udgangspunkt. En hacker med en privilegeret netværksposition kan muligvis indsætte skadelige scripts på det lokale domæne, hvis brugeren får vist et skabelonarkiv lokalt. Dette problem løses ved at fjerne referencen til et onlinescript. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-3218: Aaron Sigel fra vtty.com

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved QuickTimes håndtering af H.264-krypterede filmarkiver.

CVE-id

CVE-2011-3219: Damian Put, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre, at data i hukommelsen bliver synlige for andre

Beskrivelse: Der opstod et problem med ikke-initialiseret hukommelsesadgang i håndteringen af URL-datahandlere i filmarkiver i QuickTime.

CVE-id

CVE-2011-3220: Luigi Auriemma, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med implementering ved håndteringen af atomhierarkiet i et filmarkiv i QuickTime.

CVE-id

CVE-2011-3221: En anonym programmør, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet FlashPix-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der opstod et bufferoverløb under håndteringen af FlashPix-arkiver i QuickTime.

CVE-id

CVE-2011-3222: Damian Put, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

QuickTime

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod et bufferoverløb i håndteringen af FLIC-arkiver i QuickTime.

CVE-id

CVE-2011-3223: Matt 'j00ru' Jurczyk, der arbejder for TippingPoints Zero Day Initiative

 

- 

- 

SMB File Server

Fås til: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: En gæstebruger kan gennemse delte mapper

Beskrivelse: Der opstod et problem med adgangskontrol i SMB File Server. Det kan forhindres, at brugeren '_unknown' – men ikke gæsterne (brugeren 'nobody') – søger på delingspunktet ved at forhindre, at gæsterne får adgang til delingspunktets fortegnelse for en mappe. Problemet løses ved at anvende adgangskontrol over for gæstebrugere. Dette problem påvirker ikke computere, der er ældre end OS X Lion.

CVE-id

CVE-2011-3225

 

- 

- 

Tomcat

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: Flere sikkerhedsrisici i Tomcat 6.0.24

Beskrivelse: Tomcat opdateres til version 6.0.32 for at fjerne flere sikkerhedsrisici, hvoraf det alvorligste kan muliggøre angreb med scripting på tværs af websteder. Tomcat er kun tilgængelig på computere, som kører Mac OS X Server. Problemet påvirker ikke computere med OS X Lion. Du kan finde flere oplysninger på webstedet for Tomcat på http://tomcat.apache.org/.

CVE-id

CVE-2010-1157

CVE-2010-2227

CVE-2010-3718

CVE-2010-4172

CVE-2011-0013

CVE-2011-0534

 

- 

- 

Brugerdokumentation

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Effekt: En hacker med en privilegeret netværksposition kan manipulere hjælp-indhold i App Store, som medfører kørsel af vilkårlig kode

Beskrivelse: Hjælp-indhold i App Store blev opdateret via HTTP. Denne opdatering løser problemet ved at opdatere hjælp-indhold til App Store via HTTPS. Dette problem påvirker ikke computere med OS X Lion.

CVE-id

CVE-2011-3224: Aaron Sigel fra vtty.com og Brian Mastenbrook

 

- 

- 

Web Server

Fås til: Mac OS X Server v10.6.8

Effekt: Klienter kan muligvis få adgang til webtjenester, som kræver godkendelsesprotokol

Beskrivelse: Et problem i forbindelse med håndteringen af HTTP Digest-godkendelse blev løst. Brugeradgangen til serverressourcerne afvises muligvis, selv om serverkonfigurationen skulle have tilladt adgang. Dette problem udgør ikke en sikkerhedsrisiko og er løst for at muliggøre brug af mere effektive godkendelsesmekanismer. Dette problem påvirker ikke computere, der kører OS X Lion Server.

 

- 

- 

X11

Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

Effekt: Flere sikkerhedsrisici i libpng

Beskrivelse: Der opstod flere sikkerhedsrisici i libpng, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Disse problemer løses ved at opdatere libpng til version 1.5.4 på OS Lion-computere og til 1.2.46 på Mac OS X v10.6-computere. Du kan finde flere oplysninger via libpng-webstedet på http://www.libpng.org/pub/png/libpng.html.

CVE-id

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692