OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apples side med supportoverførsler.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002
-
Log ind-vindue
Fås til: OS X Lion v10.7.3, OS X Lion Server v10.7.3
Effekt: Eksterne administrationer og personer med fysisk adgang til computeren kan få fat i kontooplysningerne
Beskrivelse: Der var et problem med håndtering af netværkskontologin. Loginprocessen lagde fortrolige oplysninger i systemprotokollen, hvor andre brugere af computeren kunne læse dem. De fortrolige oplysninger kan fortsat ligge i arkiverede protokoller efter installering af denne opdatering. Problemet påvirker kun computere, der kører OS X Lion v10.7.3 og har brugere med ældre FileVault-hjemmebiblioteker og/eller netværkshjemmebiblioteker. Se artiklen http://support.apple.com/kb/TS4272?viewlocale=da_DK for at få flere oplysninger om, hvordan eventuelle tilbageværende fortrolige data fjernes sikkert.
CVE-id
CVE-2012-0652: Terry Reeves og Tim Winningham fra Ohio State University, Markus 'Jaroneko' Räty fra det finske kunstakademi, Jaakko Pero fra Aalto University, Mark Cohen fra Oregon State University, Paul Nelson
-
Bluetooth
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et arkivproblem med race condition i initialiseringsrutinen for blued.
CVE-id
CVE-2012-0649: Aaron Sigel fra vtty.com
-
curl
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: En hacker kan dekryptere SSL-beskyttede data
Beskrivelse: Der er konstateret angreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger en blokchiffer i CBC-funktion. curl har deaktiveret modforanstaltningen 'empty fragment', der forhindrede disse angreb. Problemet er løst ved at aktivere 'empty fragments'.
CVE-id
CVE-2011-3389: Apple
-
curl
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Hvis curl eller libcurl bruges sammen med en skadelig URL-adresse, kan det medføre protokolspecifikke dataindsættelsesangreb
Beskrivelse: Der var et problem med dataindsættelse i forbindelse med håndteringen af URL-adresser i curl. Problemet er løst ved at forbedre godkendelsen af URL-adresser. Dette problem påvirker ikke systemer, der er ældre end OS X Lion.
CVE-id
CVE-2012-0036
-
Directory-service
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: En hacker kan få adgang til fortrolige oplysninger
Beskrivelse: Der var flere problemer med directory-serverens behandling af meddelelser fra netværket. Ved at sende en skadelig meddelelse kunne en hacker få directory-serveren til at afsløre hukommelse fra adresseområdet, hvilket kan åbne for adgang til brugeradgangsoplysninger og andre fortrolige oplysninger. Problemet påvirker ikke computere med OS X Lion. Directory-serveren er som standard slået fra i OS X-installeringer, der ikke er serverbaserede.
CVE-id
CVE-2012-0651: Agustin Azubel
-
HFS
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Åbning af et skadeligt diskbillede kan medføre systemlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med heltalsunderløb ved behandling af HFS-katalogarkiver.
CVE-id
CVE-2012-0642: pod2g
-
ImageIO
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Effekt: Visning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem ved ImageIOs behandling af TIFF-billeder med CCITT Group 4-kodning. Problemet påvirker ikke computere med OS X Lion.
CVE-id
CVE-2011-0241: Cyril CATTIAUX fra Tessi Technologies
-
ImageIO
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: Flere sikkerhedsrisici i libpng
Beskrivelse: libpng opdateres til version 1.5.5 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre afsløring af oplysninger. Yderligere oplysninger kan ses på libpng-webstedet på adressen http://www.libpng.org/pub/png/libpng.html.
CVE-id
CVE-2011-2692
CVE-2011-3328
-
ImageIO
Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Effekt: Visning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløbsproblem ved libtiffs behandling af TIFF-billeder med ThunderScan-kodning. Problem løses ved at opdatere libtiff til version 3.9.5.
CVE-id
CVE-2011-1167
-
Kernel
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Når FileVault bruges, kan disken indeholde ukrypterede brugerdata
Beskrivelse: Der var et problem med kernelhåndteringen af vågeblusdiskbilledet, idet der blev efterladt ukrypterede data på disken, selv om FileVault var slået til. Problemet er løst ved at forbedre håndteringen af vågeblusdiskbilledet og ved at overskrive det eksisterende vågeblusdiskbillede ved opdatering til OS X v10.7.4. Problemet påvirker ikke computere med ældre styresystemer end OS X Lion.
CVE-id
CVE-2011-3212: Felix Groebert fra Google Security Team
-
libarchive
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Udpakning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod flere bufferoverløb ved behandling af tar-arkiver og iso9660-arkiver.
CVE-id
CVE-2011-1777
CVE-2011-1778
-
libsecurity
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Godkendelse af et skadeligt X.509-certifikat – f.eks. ved besøg på et skadeligt websted – kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved behandling af X.509-certifikater.
CVE-id
CVE-2012-0654: Dirk-Willem van Gulik fra WebWeaving.org, Guilherme Prado fra Conselho da Justiça Federal, Ryan Sleevi fra Google
-
libsecurity
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Understøttelse af X.509-certifikater med RSA-nøgler med usikker længde kan udsætte brugerne for svindel og afsløring af oplysninger
Beskrivelse: Certificater, der er signeret ved hjælp af RSA-nøgler med usikre nøglelængder, blev godkendt af libsecurity. Problemet er løst ved at afvise certificater, der indeholder RSA-nøgler med mindre end 1024 bit.
CVE-id
CVE-2012-0655
-
libxml
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Visning af en skadelig webside kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod flere sikkerhedsrisici i libxml, hvoraf de alvorligste kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemerne er løst ved at anvende relevante upstream-programrettelser.
CVE-id
CVE-2011-1944: Chris Evans fra Google Chrome Security Team
CVE-2011-2821: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
-
LoginUIFramework
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Hvis gæstebrugeren aktiveres, kan en bruger med fysisk adgang til computeren logge ind som en anden bruger end gæstebrugeren uden at indtaste en adgangskode
Beskrivelse: Der var et problem med race condition ved håndtering af gæstebrugerlogin. Dette problem påvirker ikke computere med ældre versioner end OS X Lion.
CVE-id
CVE-2012-0656: Francisco Gómez (espectalll123)
-
PHP
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Flere sikkerhedsrisici i PHP
Beskrivelse: PHP opdateres til version 5.3.10 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Yderligere oplysninger kan ses på PHP-webstedet på http://www.php.net
CVE-id
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
-
Quartz Composer
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: En bruger med fysisk adgang til computeren kan få Safari til at åbnes, hvis skærmen er låst, og RSS Visualizer-skærmskåneren bruges
Beskrivelse: Der var et problem med adgangskontrol ved behandling af skærmskånere i Quartz Composer. Problemet er løst ved at forbedre kontrollen af, om skærmen er låst.
CVE-id
CVE-2012-0657: Aaron Sigel fra vtty.com
-
QuickTime
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Visning af et skadeligt filmarkiv under progressiv overførsel kan medføre pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Der var et bufferoverløb ved behandling af lydsampletabeller.
CVE-id
CVE-2012-0658: Luigi Auriemma, der arbejder for HP's Zero Day Initiative
-
QuickTime
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Resultat: Visning af et skadeligt MPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et heltalsoverløb ved behandling af MPEG-arkiver.
CVE-id
CVE-2012-0659: En anonym programmør, der arbejder for HP's Zero Day Initiative
-
QuickTime
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Resultat: Visning af et skadeligt MPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferunderløbsproblem ved behandling af MPEG-arkiver.
CVE-id
CVE-2012-0660: Justin Kim fra Microsoft og Microsoft Vulnerability Research
-
QuickTime
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med "use after free" ved behandling af filmarkiver med JPEG2000-kodning. Dette problem påvirker ikke computere med ældre versioner end OS X Lion.
CVE-id
CVE-2012-0661: Damian Put, der arbejder for HP's Zero Day Initiative
-
Ruby
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Flere sårbarheder i Ruby
Beskrivelse: Ruby er opdateret til 1.8.7-p357 for at fjerne flere sikkerhedsrisici.
CVE-id
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
-
Samba
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: Hvis SMB-arkivdeling er aktiveret, kan en hacker uden godkendelse fremkalde et DoS-angreb (Denial of Service) eller kørsel af vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere bufferoverløb ved behandling af fjernprocedureopkald i Samba. Ved at sende en skadelig pakke kan en hacker uden godkendelse fremkalde et DoS-angreb (Denial of Service) eller kørsel af vilkårlig kode med systemrettigheder. Disse problemer påvirker ikke OS X Lion-computere.
CVE-id
CVE-2012-0870: Andy Davis fra NGS Secure
CVE-2012-1182: En anonym programmør, der arbejder for HP's Zero Day Initiative
-
Sikkerheds-framework
Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Virkning: En hacker kan fremkalde pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et heltalsoverløb i sikkerheds-framework. Behandling af ikke-godkendt input med sikkerheds-framework kan medføre beskadiget hukommelse. Problemet påvirker ikke 32 bit-processer.
CVE-id
CVE-2012-0662: aazubel, der arbejder for HP's Zero Day Initiative
-
Time Machine
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: En hacker kan få adgang til en brugers Time Machine-sikkerhedskopioplysninger
Beskrivelse: Brugeren kan angive, at en Time Capsule eller en ekstern AFP-disk, der er tilknyttet en AirPort-base, kan anvendes til Time Machine-sikkerhedskopier. Fra og med Firmwareopdatering 7.6 til AirPort-baser og Time Capsule-diske understøtter Time Capsule og AirPort-baser en sikker SRP-baseret godkendelsesproces via AFP. Time Machine krævede dog ikke, at den SRP-baserede godkendelsesproces blev brugt til efterfølgende sikkerhedskopieringer, selv om Time Machine oprindeligt blev konfigureret til det eller havde haft kontakt med en Time Capsule eller base, der understøttede det. En hacker, som kan udføre svindel med den eksterne enhed, kan få adgang til Time Capsule-adgangsoplysninger, men ikke sikkerhedskopidata, der sendes af brugerens computer. Problemet er løst ved at kræve brug af den SRP-baserede godkendelsesproces, hvis sikkerhedskopidestinationen på noget tidspunkt har understøttet det.
CVE-id
CVE-2012-0675: Renaud Deraison fra Tenable Network Security, Inc.
-
X11
Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3
Effekt: Programmer, der bruger libXfont til at behandle LZW-komprimerede data, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et bufferoverløb under libXfonts håndtering af LZW-komprimerede data. Problem løses ved at opdatere libXfont til version 1.4.4.
CVE-id
CVE-2011-2895: Tomas Hoger fra Red Hat
Bemærk: Desuden filtrerer denne opdatering eventuelle linker-miljøvariabler fra en brugertilpasset miljøegenskabsliste i brugerens hjemmebibliotek.