OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisältö
Tässä artikkelissa kerrotaan OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisällöstä.
Tässä artikkelissa kerrotaan OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 ja suojauspäivitys 2012-004
Huomautus: OS X Mountain Lion 10.8.2 sisältää Safari 6.0.1:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.1:n turvallisuussisällöstä.
Apache
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Apachessa oli useita haavoittuvuuksia.
Kuvaus: Apache on päivitetty versioon 2.2.22 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa palvelunestoon. Lisätietoja on Apachen sivustossa osoitteessa http://httpd.apache.org/. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston, jos järjestelmä oli määritetty käyttämään BINDiä DNS-nimipalvelimena.
Kuvaus: DNS-tietueiden käsittelyssä oli tavoitettavan vahvistuksen ongelma. Ongelma on ratkaistu päivittämällä BIND versioon 9.7.6-P1. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-4313
BIND
Saatavuus: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston tai tietojen vioittumisen tai saada arkaluontoisia tietoja prosessimuistista, jos järjestelmä oli määritetty käyttämään BINDiä DNS-nimipalvelimena.
Kuvaus: DNS-tietueiden käsittelyssä oli muistin hallintaongelma. Ongelma on ratkaistu päivittämällä BIND versioon 9.7.6-P1 OS X Lion -järjestelmissä ja versioon 9.8.3-P1 OS X Mountain Lion -järjestelmissä.
CVE-ID
CVE-2012-1667
CoreText
Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: CoreTextiä käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.
Kuvaus: Tekstihakumerkkien käsittelyssä oli rajojen tarkistamisongelma, joka saattoi johtaa rajat ylittäviin muistin lukemisiin tai kirjoittamisiin. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske Mac OS X 10.6- ja OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-3716: Mozilla Corporationin Jesse Ruderman
Tietoturva
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.
Kuvaus: TrustWave, joka on luotettu päävarmenne, on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdeltä luotetuista ankkureistaan. Alivarmenne mahdollisti TLS:n suojaaman viestiliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisätään OS X:n ei-luotettujen varmenteiden luetteloon.
DirectoryService
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.
Vaikutus: Jos DirectoryService-välipalvelin oli käytössä, etähyökkääjä saattoi pystyä aiheuttamaan palveluneston tai mielivaltaisen koodin suorittamisen.
Kuvaus: DirectoryService-välipalvelimessa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Lion- ja Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0650: HP:n Zero Day Initiativen parissa työskentelevä aazubel
ImageIO
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen PNG-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: libpng:n tavassa käsitellä PNG-kuvia oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla PNG-kuvien tarkistamista. Nämä ongelmat eivät koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
ImageIO
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: libTIFF:n tavassa käsitellä TIFF-kuvia oli kokonaisluvun ylivuoto-ongelma. Ongelma on ratkaistu parantamalla TIFF-kuvien tarkistamista. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-1173: HP:n Zero Day Initiativen parissa työskentelevä Alexander Gavrun
Asentaja
Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Etäylläpitäjät ja henkilöt, joilla oli fyysinen pääsy järjestelmään, saattoivat pystyä saamaan haltuunsa tilitietoja.
Kuvaus: CVE-2012-0652:n korjaus OS X Lion 10.7.4:ssä esti käyttäjien salasanojen kirjaamisen järjestelmälokiin, mutta ei poistanut vanhoja lokikirjauksia. Ongelma on ratkaistu poistamalla lokitiedostot, joissa oli salasanoja. Ongelma ei koske Mac OS X 10.6- ja OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0652
Maakohtaiset Unicode-komponentit
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: ICU:ta käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.
Kuvaus: ICU-lokaalitunnisteiden käsittelyssä oli pinopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-4599
Kernel
Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haittaohjelma pystyi ohittamaan eristämisrajoitukset.
Kuvaus: Järjestelmän virheenkorjauskutsujen käsittelyssä oli logiikkaongelma. Tämän vuoksi haittaohjelma saattoi saada koodin suorittamisoikeudet muissa ohjelmissa, joissa oli samat käyttöoikeudet. Ongelma on ratkaistu poistamalla käytöstä osoitteiden käsittely PT_STEPissä ja PT_CONTINUEssa. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0643: iOS Jailbreak Dream Team
LoginWindow
Saatavuus: OS X Mountain Lion 10.8 ja 10.8.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä saamaan haltuunsa muiden käyttäjien kirjautumissalasanat.
Kuvaus: Käyttäjän asentama syöttömenetelmä saattoi kaapata salasanan näppäilyjä kirjautumisikkunasta tai näytönsäästäjän lukituksen avaamisesta. Ongelma on ratkaistu estämällä käyttäjän asentamien menetelmien käyttö, kun järjestelmä käsittelee kirjautumistietoja.
CVE-ID
CVE-2012-3718: Lukhnos Liu
Mail
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Sähköpostiviestin tarkasteleminen saattoi johtaa verkkoliitännäisten suorittamiseen.
Kuvaus: Mailin tavassa käsitellä upotettuja verkkoliitännäisiä oli syötteen validointivirhe. Ongelma on ratkaistu poistamalla muun valmistajan liitännäiset käytöstä Mailissa. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-3719: CERT/CC:n Will Dormann
Liikkuvat tilit
Saatavuus: OS X Mountain Lion 10.8 ja 10.8.1.
Vaikutus: Käyttäjä, jolla oli pääsy liikkuvan tilin sisältöön, saattaa pystyä saamaan tilin salasanan haltuunsa.
Kuvaus: Liikkuva tilin luominen tallensi tiliin salasanan hajautuskoodin, jota käytettiin kirjautumiseen, kun liikkuvaa tiliä käytettiin ulkoisena tilinä. Käyttäjän salasana voitiin selvittää salasanan hajautuskoodin avulla. Ongelma on ratkaistu luomalla salasanan hajautuskoodi vain jos liikkuvan tilin luomiseen käytetyssä järjestelmässä on käytössä ulkoisia tilejä.
CVE-ID
CVE-2012-3720: Google Inc:n Harald Wagener
PHP
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.
Vaikutus: PHP:ssä oli useita haavoittuvuuksia.
Kuvaus: >PHP on päivitetty versioon 5.3.15 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.
CVE-ID
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: libpngia käyttävät PHP-komentosarjat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.
Kuvaus: PNG-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu päivittämällä PHP:n kopio libpng:stä versioon 1.5.10. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-3048
Profiilinhallinta
Saatavuus: OS X Lion Server 10.7–10.7.4.
Vaikutus: Todentamaton käyttäjä pystyi luetteloimaan hallinnoidut laitteet.
Kuvaus: Laitehallinnan yksityisessä liittymässä oli todentamisongelma. Ongelma on ratkaistu poistamalla liittymä.
Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-3721: XEquals Corporationin Derick Cassidy
Pikakatselu
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen .pict-tiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: .pict-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla .pict-tiedostojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0671: Qualys Vulnerability & Malware Research Labsin (VMRL) Rodrigo Rubira Branco (twitter.com/bsdaemon)
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: QuickTimen tavassa käsitellä sean-atomeja oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0670: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli alustamattomaan muistiin liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin alustamista. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-3722: CERT/CC:n Will Dormann
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: RLE-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-0668: HP:n Zero Day Initiativen Luigi Auriemma
Ruby
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Ruby OpenSSL -moduuli poisti empty fragment -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu ottamalla tämä vastatoimenpide käyttöön. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2011-3389
USB
Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.
Vaikutus: USB-laitteen liittäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: USB-keskittimien kuvaajissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla bNbrPorts-kuvaajakentän käsittelyä. Ongelma ei koske OS X Mountain Lion -järjestelmiä.
CVE-ID
CVE-2012-3723: NGS Securen Andy Davis
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.