Om sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004

Her kan du læse om sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004.

I dette dokument beskrives sikkerhedsindholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og sikkerhedsopdatering 2012-004

Bemærk: Indholdet i Safari 6.0.1 indgår i OS X Mountain Lion v10.8.2. Yderligere oplysninger kan ses i artiklen Sikkerhedsindholdet i Safari 6.0.1.

  • Apache

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Flere sikkerhedsrisici i Apache

    Beskrivelse: Apache er opdateret til version 2.2.22 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste medfører risiko for DoS-angreb (Denial of Service). Yderligere oplysninger kan ses på Apache-webstedet på http://httpd.apache.org/. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: En hacker kan forårsage Denial of Service på computere, der er konfigureret til at køre BIND som DNS-navneserver

    Beskrivelse: Der var en hukommelsesfejl af typen "reachable assertion" i forbindelse med håndtering af DNS-poster. Problemet er løst ved at opdatere til BIND 9.7.6-P1. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-4313

  • BIND

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Effekt: En hacker kan forårsage Denial of Service, beskadigede data eller få adgang til følsomme oplysninger i proceshukommelsen på computere, der er konfigureret til at køre BIND som DNS-navneserver

    Beskrivelse: Der var en hukommelsesfejl i forbindelse med håndtering af DNS-poster. Problemet er løst ved at opdatere til BIND 9.7.6-P1 på OS X Lion-computere og BIND 9.8.3-P1 på OS X Mountain Lion-computere.

    CVE-id

    CVE-2012-1667

  • CoreText

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Programmer, der bruger CoreText, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med kontrol af grænser ved håndtering af tekst-glyphs, som kan medføre hukommelseslæsning eller -skrivning uden for grænserne. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med Mac OS X 10.6 eller OS X Mountain Lion.

    CVE-id

    CVE-2012-3716: Jesse Ruderman fra Mozilla Corporation

  • Datasikkerhed

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Effekt: En hacker med en privilegeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: TrustWave, der er en godkendt rodcertifikatudsteder, har udsendt og efterfølgende tilbagekaldt et undercertifikat fra et af sine godkendte ankre. Undercertifikatet gjorde det lettere at bryde ind i kommunikation, der var sikret med TLS (Transport Layer Security). Med opdateringen føjes undercertifikatet til listen over ikke-godkendte udstedere i OS X.

  • DirectoryService

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Effekt: Hvis DirectoryService-proxyen bruges, kan en hacker muligvis forårsage Denial of Service eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af DirectoryService-proxyen. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Lion og Mountain Lion.

    CVE-id

    CVE-2012-0650: aazubel, der arbejder for HP's Zero Day Initiative

  • ImageIO

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet PNG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere hukommelsesfejl i forbindelse med håndteringen af PNG-billeder i libpng. Disse problemer er løst ved forbedret godkendelse af PNG-billeder. Problemerne påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet TIFF-billede kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i håndteringen af TIFF-billeder i libTIFF. Problemet er løst ved forbedret godkendelse af TIFF-billeder. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-1173: Alexander Gavrun, der arbejder for HP's Zero Day Initiative

  • Installeringsprogram

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Eksterne administrationer og personer med fysisk adgang til computeren kan få fat i kontooplysningerne

    Beskrivelse: Rettelsen til CVE-2012-0652 i OS X Lion 10.7.4 forhindrede, at brugeradgangskoderne blev registreret i systemloggen, men ældre log-poster blev ikke slettet. Problemet er løst ved at slette logarkiver, der indeholdt adgangskoder. Problemet påvirker ikke computere med Mac OS X 10.6 eller OS X Mountain Lion.

    CVE-id

    CVE-2012-0652

  • Internationale komponenter til Unicode

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Programmer, der bruger ICU, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstår bufferoverløb i forbindelse med håndteringen af lokale id'er i ICU. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-4599

  • Kernel

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Et skadeligt program kan tilsidesætte sandkasserestriktioner

    Beskrivelse: Der opstod et logisk problem i håndteringen af debug-systemopkald. Dette kan medføre, at et skadeligt udformet program kan afvikle kode i andre programmer med de samme brugerrettigheder. Problemet er løst ved at deaktivere adressehåndtering i PT_STEP og PT_CONTINUE. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-0643: 2012 iOS Jailbreak Dream Team

  • LoginWindow

    Fås til: OS X Mountain Lion v10.8 og v10.8.1

    Effekt: En lokal bruger kan muligvis få adgang til andre brugeres log ind-adgangskoder

    Beskrivelse: En brugerinstalleret inputmetode kan bryde ind ved indtastning af adgangskode i log ind-vinduet eller ved oplåsning af skærmskåneren. Problemet er løst ved at forhindre, at der kan bruges brugerinstallerede metoder, når systemet arbejder med log ind-oplysninger.

    CVE-id

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af en e-mail kan medføre udførelse af webtilbehør

    Beskrivelse: Der var en fejl ved godkendelse af input ved behandlingen af indlejret webtilbehør i Mail. Problemet er løst ved at deaktivere tilbehør fra andre producenter i Mail. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-3719: Will Dormann fra CERT/CC

  • Mobile konti

    Fås til: OS X Mountain Lion v10.8 og v10.8.1

    Effekt: En bruger med adgang til indholdet af en mobil konto kan få fat i adgangskoden til kontoen

    Beskrivelse: Ved oprettelse af en mobil konto blev der arkiveret en hashværdi af adgangskoden på den konto, som blev brugt til at logge ind med, da den mobile konto blev brugt som en ekstern konto. Adgangskodehashværdien kan bruges til at finde frem til brugerens adgangskode. Problemet er løst ved kun at oprette adgangskode-hashværdier, hvis eksterne konti er slået til på den computer, som den mobile konto oprettes på.

    CVE-id

    CVE-2012-3720: Harald Wagener fra Google, Inc.

  • PHP

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Effekt: Flere sikkerhedsrisici i PHP

    Beskrivelse: >PHP opdateres til version 5.3.15 for at fjerne flere sikkerhedsrisici, hvoraf de alvorligste kan muliggøre kørsel af vilkårlig kode. Yderligere oplysninger kan ses på PHP-webstedet på http://www.php.net

    CVE-id

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: PHP-scripts, der bruger libpng, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af PNG-arkiver. Problemet er løst ved at opdatere PHP's eksemplar af libpng til version 1.5.10. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-3048

  • Profile Manager

    Fås til: OS X Lion Server v10.7 til v10.7.4

    Effekt: En bruger, der ikke var godkendt, kunne oprette en liste med styrede enheder

    Beskrivelse: Der var en godkendelsesfejl i den private grænseflade til enhedsadministration Problemet er løst ved at fjerne grænsefladen.

    Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-3721: Derick Cassidy fra XEquals Corporation

  • QuickLook

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet .pict-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af .pict-arkiver. Problemet er løst ved forbedret godkendelse af .pict-arkiver. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) fra Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb under behandlingen af sean-atomer i QuickTime. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-0670: Tom Gallagher (Microsoft) og Paul Bates (Microsoft), der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved håndtering af Sorenson-kodede arkiver. Problemet er løst ved forbedret hukommelsesinitialisering. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-3722: Will Dormann fra CERT/CC

  • QuickTime

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Visning af et skadeligt udformet filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af RLE-krypterede filmarkiver. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-0668: Luigi Auriemma, der arbejder for HP's Zero Day Initiative

  • Ruby

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er konstateret angreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger en blokchiffer i CBC-funktion. Ruby OpenSSL-modulet har deaktiveret modforanstaltningen 'empty fragment', der forhindrede disse angreb. Problemet er løst ved at aktivere 'empty fragments'. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2011-3389

  • USB

    Fås til: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Effekt: Tilkobling af en USB-enhed kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af USB-hub-beskrivere. Problemet er løst ved forbedret behandling af bNbrPorts-beskriverfeltet. Problemet påvirker ikke computere med OS X Mountain Lion.

    CVE-id

    CVE-2012-3723: Andy Davis fra NGS Secure

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: