Om sikkerhedsindholdet i OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002

I dette dokument beskrives sikkerhedsindholdet i OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002.

OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apples side med supportoverførsler.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
 

OS X Lion v10.7.4 og sikkerhedsopdatering 2012-002

  • Log ind-vindue

    Fås til: OS X Lion v10.7.3, OS X Lion Server v10.7.3

    Effekt: Eksterne administrationer og personer med fysisk adgang til computeren kan få fat i kontooplysningerne

    Beskrivelse: Der var et problem med håndtering af netværkskontologin. Loginprocessen lagde fortrolige oplysninger i systemprotokollen, hvor andre brugere af computeren kunne læse dem. De fortrolige oplysninger kan fortsat ligge i arkiverede protokoller efter installering af denne opdatering. Problemet påvirker kun computere, der kører OS X Lion v10.7.3 og har brugere med ældre FileVault-hjemmebiblioteker og/eller netværkshjemmebiblioteker. Se artiklen http://support.apple.com/kb/TS4272?viewlocale=da_DK for at få flere oplysninger om, hvordan eventuelle tilbageværende fortrolige data fjernes sikkert.

    CVE-id

    CVE-2012-0652: Terry Reeves og Tim Winningham fra Ohio State University, Markus 'Jaroneko' Räty fra det finske kunstakademi, Jaakko Pero fra Aalto University, Mark Cohen fra Oregon State University, Paul Nelson

  • Bluetooth

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et arkivproblem med race condition i initialiseringsrutinen for blued.

    CVE-id

    CVE-2012-0649: Aaron Sigel fra vtty.com

  • curl

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er konstateret angreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger en blokchiffer i CBC-funktion. curl har deaktiveret modforanstaltningen 'empty fragment', der forhindrede disse angreb. Problemet er løst ved at aktivere 'empty fragments'.

    CVE-id

    CVE-2011-3389: Apple

  • curl

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Hvis curl eller libcurl bruges sammen med en skadelig URL-adresse, kan det medføre protokolspecifikke dataindsættelsesangreb

    Beskrivelse: Der var et problem med dataindsættelse i forbindelse med håndteringen af URL-adresser i curl. Problemet er løst ved at forbedre godkendelsen af URL-adresser. Dette problem påvirker ikke systemer, der er ældre end OS X Lion.

    CVE-id

    CVE-2012-0036

  • Directory-service

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: En hacker kan få adgang til fortrolige oplysninger

    Beskrivelse: Der var flere problemer med directory-serverens behandling af meddelelser fra netværket. Ved at sende en skadelig meddelelse kunne en hacker få directory-serveren til at afsløre hukommelse fra adresseområdet, hvilket kan åbne for adgang til brugeradgangsoplysninger og andre fortrolige oplysninger. Problemet påvirker ikke computere med OS X Lion. Directory-serveren er som standard slået fra i OS X-installeringer, der ikke er serverbaserede.

    CVE-id

    CVE-2012-0651: Agustin Azubel

  • HFS

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Åbning af et skadeligt diskbillede kan medføre systemlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsunderløb ved behandling af HFS-katalogarkiver.

    CVE-id

    CVE-2012-0642: pod2g

  • ImageIO

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Effekt: Visning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem ved ImageIOs behandling af TIFF-billeder med CCITT Group 4-kodning. Problemet påvirker ikke computere med OS X Lion.

    CVE-id

    CVE-2011-0241: Cyril CATTIAUX fra Tessi Technologies

  • ImageIO

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flere sikkerhedsrisici i libpng

    Beskrivelse: libpng opdateres til version 1.5.5 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre afsløring af oplysninger. Yderligere oplysninger kan ses på libpng-webstedet på adressen http://www.libpng.org/pub/png/libpng.html.

    CVE-id

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Effekt: Visning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem ved libtiffs behandling af TIFF-billeder med ThunderScan-kodning. Problem løses ved at opdatere libtiff til version 3.9.5.

    CVE-id

    CVE-2011-1167

  • Kernel

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Når FileVault bruges, kan disken indeholde ukrypterede brugerdata

    Beskrivelse: Der var et problem med kernelhåndteringen af vågeblusdiskbilledet, idet der blev efterladt ukrypterede data på disken, selv om FileVault var slået til. Problemet er løst ved at forbedre håndteringen af vågeblusdiskbilledet og ved at overskrive det eksisterende vågeblusdiskbillede ved opdatering til OS X v10.7.4. Problemet påvirker ikke computere med ældre styresystemer end OS X Lion.

    CVE-id

    CVE-2011-3212: Felix Groebert fra Google Security Team

  • libarchive

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Udpakning af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod flere bufferoverløb ved behandling af tar-arkiver og iso9660-arkiver.

    CVE-id

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Godkendelse af et skadeligt X.509-certifikat – f.eks. ved besøg på et skadeligt websted – kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved behandling af X.509-certifikater.

    CVE-id

    CVE-2012-0654: Dirk-Willem van Gulik fra WebWeaving.org, Guilherme Prado fra Conselho da Justiça Federal, Ryan Sleevi fra Google

  • libsecurity

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Understøttelse af X.509-certifikater med RSA-nøgler med usikker længde kan udsætte brugerne for svindel og afsløring af oplysninger

    Beskrivelse: Certificater, der er signeret ved hjælp af RSA-nøgler med usikre nøglelængder, blev godkendt af libsecurity. Problemet er løst ved at afvise certificater, der indeholder RSA-nøgler med mindre end 1024 bit.

    CVE-id

    CVE-2012-0655

  • libxml

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Visning af en skadelig webside kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod flere sikkerhedsrisici i libxml, hvoraf de alvorligste kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemerne er løst ved at anvende relevante upstream-programrettelser.

    CVE-id

    CVE-2011-1944: Chris Evans fra Google Chrome Security Team

    CVE-2011-2821: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-2834: Yang Dingning fra NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-3919: Jüri Aedla

  • LoginUIFramework

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Hvis gæstebrugeren aktiveres, kan en bruger med fysisk adgang til computeren logge ind som en anden bruger end gæstebrugeren uden at indtaste en adgangskode

    Beskrivelse: Der var et problem med race condition ved håndtering af gæstebrugerlogin. Dette problem påvirker ikke computere med ældre versioner end OS X Lion.

    CVE-id

    CVE-2012-0656: Francisco Gómez (espectalll123)

  • PHP

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Flere sikkerhedsrisici i PHP

    Beskrivelse: PHP opdateres til version 5.3.10 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Yderligere oplysninger kan ses på PHP-webstedet på http://www.php.net

    CVE-id

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: En bruger med fysisk adgang til computeren kan få Safari til at åbnes, hvis skærmen er låst, og RSS Visualizer-skærmskåneren bruges

    Beskrivelse: Der var et problem med adgangskontrol ved behandling af skærmskånere i Quartz Composer. Problemet er løst ved at forbedre kontrollen af, om skærmen er låst.

    CVE-id

    CVE-2012-0657: Aaron Sigel fra vtty.com

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Visning af et skadeligt filmarkiv under progressiv overførsel kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der var et bufferoverløb ved behandling af lydsampletabeller.

    CVE-id

    CVE-2012-0658: Luigi Auriemma, der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Resultat: Visning af et skadeligt MPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af MPEG-arkiver.

    CVE-id

    CVE-2012-0659: En anonym programmør, der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Resultat: Visning af et skadeligt MPEG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferunderløbsproblem ved behandling af MPEG-arkiver.

    CVE-id

    CVE-2012-0660: Justin Kim fra Microsoft og Microsoft Vulnerability Research

  • QuickTime

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med "use after free" ved behandling af filmarkiver med JPEG2000-kodning. Dette problem påvirker ikke computere med ældre versioner end OS X Lion.

    CVE-id

    CVE-2012-0661: Damian Put, der arbejder for HP's Zero Day Initiative

  • Ruby

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Flere sårbarheder i Ruby

    Beskrivelse: Ruby er opdateret til 1.8.7-p357 for at fjerne flere sikkerhedsrisici.

    CVE-id

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Hvis SMB-arkivdeling er aktiveret, kan en hacker uden godkendelse fremkalde et DoS-angreb (Denial of Service) eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere bufferoverløb ved behandling af fjernprocedureopkald i Samba. Ved at sende en skadelig pakke kan en hacker uden godkendelse fremkalde et DoS-angreb (Denial of Service) eller kørsel af vilkårlig kode med systemrettigheder. Disse problemer påvirker ikke OS X Lion-computere.

    CVE-id

    CVE-2012-0870: Andy Davis fra NGS Secure

    CVE-2012-1182: En anonym programmør, der arbejder for HP's Zero Day Initiative

  • Sikkerheds-framework

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Virkning: En hacker kan fremkalde pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heltalsoverløb i sikkerheds-framework. Behandling af ikke-godkendt input med sikkerheds-framework kan medføre beskadiget hukommelse. Problemet påvirker ikke 32 bit-processer.

    CVE-id

    CVE-2012-0662: aazubel, der arbejder for HP's Zero Day Initiative

  • Time Machine

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: En hacker kan få adgang til en brugers Time Machine-sikkerhedskopioplysninger

    Beskrivelse: Brugeren kan angive, at en Time Capsule eller en ekstern AFP-disk, der er tilknyttet en AirPort-base, kan anvendes til Time Machine-sikkerhedskopier. Fra og med Firmwareopdatering 7.6 til AirPort-baser og Time Capsule-diske understøtter Time Capsule og AirPort-baser en sikker SRP-baseret godkendelsesproces via AFP. Time Machine krævede dog ikke, at den SRP-baserede godkendelsesproces blev brugt til efterfølgende sikkerhedskopieringer, selv om Time Machine oprindeligt blev konfigureret til det eller havde haft kontakt med en Time Capsule eller base, der understøttede det. En hacker, som kan udføre svindel med den eksterne enhed, kan få adgang til Time Capsule-adgangsoplysninger, men ikke sikkerhedskopidata, der sendes af brugerens computer. Problemet er løst ved at kræve brug af den SRP-baserede godkendelsesproces, hvis sikkerhedskopidestinationen på noget tidspunkt har understøttet det.

    CVE-id

    CVE-2012-0675: Renaud Deraison fra Tenable Network Security, Inc.

  • X11

    Fås til: OS X Lion v10.7 til v10.7.3, OS X Lion Server v10.7 til v10.7.3

    Effekt: Programmer, der bruger libXfont til at behandle LZW-komprimerede data, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et bufferoverløb under libXfonts håndtering af LZW-komprimerede data. Problem løses ved at opdatere libXfont til version 1.4.4.

    CVE-id

    CVE-2011-2895: Tomas Hoger fra Red Hat
     

Bemærk: Desuden filtrerer denne opdatering eventuelle linker-miljøvariabler fra en brugertilpasset miljøegenskabsliste i brugerens hjemmebibliotek.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: