Tietoja Mac OS X 10.6.7:n ja suojauspäivitys 2011-001:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Mac OS X 10.6.7:n ja suojauspäivitys 2011-001:n turvallisuussisällöstä.

Tässä asiakirjassa kerrotaan Mac OS X 10.6.7:n ja suojauspäivitys 2011-001:n turvallisuussisällöstä. Päivitykset voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Mac OS X 10.6.7 ja suojauspäivitys 2011-001

  • AirPort

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Kun Wi-Fi-yhteys oli muodostettu, samassa verkossa oleva hyökkääjä saattoi pystyä aiheuttamaan järjestelmän nollaamisen.

    Kuvaus: Wi-Fi-kehysten käsittelyssä oli jakaminen nollalla -ongelma. Kun Wi-Fi-yhteys oli muodostettu, samassa verkossa oleva hyökkääjä saattoi pystyä aiheuttamaan järjestelmän nollaamisen. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0172

  • Apache

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Useita haavoittuvuuksia Apache 2.2.15:ssä.

    Kuvaus: Apache on päivitetty versioon 2.2.17 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa palvelunestoon. Lisätietoja on Apachen verkkosivustossa osoitteessa http://httpd.apache.org/.

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: AppleScript Studio -pohjaisen ohjelman käyttö, joka salli ei-luotetun syötteen välittämisen valintaikkunaan, saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: AppleScript Studion geneerisissä valintaikkunakomennoissa ("display dialog" ja "display alert") oli muotoilumerkkijono-ongelma. AppleScript Studio -pohjaisen ohjelman käyttö, joka salli ei-luotetun syötteen välittämisen valintaikkunaan, saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: OpenType-fonttien käsittelyssä oli kekopuskurin ylivuoto. Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0174

  • ATS

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: TrueType-fonttien käsittelyssä oli useita puskurin ylivuoto-ongelmia. Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0175: Mozillan Christoph Diehl, Google Security Teamin Felix Grobert, Red Hat Security Response Teamin Marc Schoenefeld sekä Google Security Teamin Tavis Ormandy ja Will Drewry

  • ATS

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: Type 1 -fonttien käsittelyssä oli useita puskurin ylivuoto-ongelmia. Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0176: Google Security Teamin Felix Grobert ja TippingPointin Zero Day Initiativen parissa työskentelevä geekable

  • ATS

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: SFNT-taulukkojen käsittelyssä oli useita puskurin ylivuoto-ongelmia. Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0177: Red Hat Security Response Teamin Marc Schoenefeld

  • bzip2

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Komentorivin bzip2- tai bunzip2-työkalun käyttö bzip2-tiedoston purkamiseen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: bzip2:n tavassa käsitellä bzip2-pakattuja tiedostoja oli kokonaisluvun ylivuoto-ongelma. Komentorivin bzip2- tai bunzip2-työkalun käyttö bzip2-tiedoston purkamiseen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Ohjelmat, jotka käyttävät FSFindFolder() -funktiota kTemporaryFolderType-merkinnällä, saattoivat olla haavoittuvaisia paikalliselle tietojen paljastumiselle.

    Kuvaus: kTemporaryFolderType-merkinnän kanssa käytettynä FSFindFolder() -API palautti hakemiston, joka on kaikkien luettavissa. Tämä ongelma on ratkaistu palauttamalla hakemisto, joka on ainoastaan sen käyttäjän luettavissa, jona prosessia käytetään.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    Saatavuus: Mac OS X Server 10.5.8 ja Mac OS X Server 10.6.6.

    Vaikutus: Useita haavoittuvuuksia ClamAV:ssä.

    Kuvaus: ClamAV:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Tämä päivitys korjaa ongelmat päivittämällä ClamAV:n versioon 0.96.5. ClamAV toimitetaan ainoastaan Mac OS X Server -järjestelmien mukana. Lisätietoja on ClamAV:n sivustossa osoitteessa http://www.clamav.net/.

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: CoreTextin tavassa käsitellä fonttitiedostoja oli muistin vioittumisongelma. Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0179: Mozillan Christoph Diehl

  • Tiedostokaranteeni

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Määritelmä lisätty.

    Kuvaus: OSX.OpinionSpy-määritelmä on lisätty tiedostokaranteenin haittaohjelmatarkistukseen.

  • HFS

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja HFS-, HFS+- tai HFS+J-tiedostojärjestelmästä.

    Kuvaus: F_READBOOTSTRAP ioctl:n käsittelyssä oli kokonaisluvun ylivuoto-ongelma. Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja HFS-, HFS+- tai HFS+J-tiedostojärjestelmästä.

    CVE-ID

    CVE-2011-0180: Virtual Security Researchin Dan Rosenberg

  • ImageIO

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n tavassa käsitellä JPEG-kuvia oli kekopuskurin ylivuoto. Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

     

    CVE-ID

    CVE-2011-0170: iDefense VCP:n parissa työskentelevä Andrzej Dyjak

  • ImageIO

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen XBM-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n tavassa käsitellä XBM-kuvia oli kokonaisluvun ylivuoto-ongelma. Haitallisen XBM-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: LibTIFF:n tavassa käsitellä JPEG-koodattuja TIFF-kuvia oli puskurin ylivuoto. Haitallisen TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: LibTIFF:n tavassa käsitellä CCITT Group 4 -koodattuja TIFF-kuvia oli puskurin ylivuoto. Haitallisen TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen JPEG-koodatun TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n tavassa käsitellä JPEG-koodattuja TIFF-kuvia oli kokonaisluvun ylivuoto-ongelma. Haitallisen TIFF-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0194: NGS Securen Dominic Chell

  • RAW-kuvamuoto

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen Canon RAW -kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Image RAW'n tavassa käsitellä Canon RAW -kuvia oli useita puskurin ylivuoto-ongelmia. Haitallisen Canon RAW -kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0193: NGS Securen Paul Harrington

  • Asentaja

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa agentin asentamiseen. Agentti otti yhteyttä mielivaltaiseen palvelimeen käyttäjän kirjautuessa sisään ja sai käyttäjän virheellisesti uskomaan, että yhteys on muodostettu Appleen.

    Kuvaus: Install Helperissa ollut URL-osoitteen käsittelyongelma saattoi johtaa agentin asentamiseen, joka muodosti yhteyden mielivaltaiseen palvelimeen käyttäjän kirjautuessa sisään. Yhteysvirheestä aiheutuva valintaikkuna saattoi saada käyttäjän uskomaan, että yhteyttä yritettiin muodostaa Appleen. Ongelma on ratkaistu poistamalla Install Helper.

    CVE-ID

    CVE-2011-0190: Vtty.comin Aaron Sigel

  • Kerberos

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Useita haavoittuvuuksia MIT Kerberos 5:ssä.

    Kuvaus: MIT Kerberos 5:ssä oli useita salaukseen liittyviä ongelmia. Vain CVE-2010-1323 koskee Mac OS X 10.5:tä. Lisätietoja ongelmista sekä korjauspäivityksistä on MIT:n Kerberos-sivustossa osoitteessa http://web.mit.edu/kerberos/.

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kernel

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: i386_set_ldt -järjestelmäkutsun tavassa käsitellä kutsuportteja oli käyttöoikeuksien tarkistamiseen liittyvä ongelma. Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla. Tämä ongelma on ratkaistu estämällä kutsuporttimerkintöjen luominen i386_set_ldt():n kautta.

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palvelunestohyökkäyksen isäntäkoneissa, jotka vievät NFS-tiedostojärjestelmiä.

    Kuvaus: Libinfon tavassa käsitellä NFS RPC -paketteja oli kokonaisluvun katkaisuongelma. Etähyökkääjä saattoi saada aikaan sen, että NFS RPC -palvelut (esimerkiksi lockd, statd, mountd ja portmap) lakkaavat vastaamasta.

    CVE-ID

    CVE-2011-0183: Delawaren yliopiston Peter Schwenk

  • libxml

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:n XPath-käsittelyssä oli muistin vioittumisongelma. Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2010-4008: Bkisin (www.bkis.com) Bui Quang Minh

  • libxml

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:n tavassa käsitellä XPath-ilmaisuja oli double free -ongelma. Haitallisella verkkosivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2010-4494: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

  • Mailman

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Useita haavoittuvuuksia Mailman 2.1.13:ssa.

    Kuvaus: Mailman 2.1.13:ssa oli useita sivustojenvälisiä komentosarjaongelmia. Nämä ongelmat on ratkaistu päivittämällä Mailman versioon 2.1.14. Lisätietoja on Mailmanin sivustossa osoitteessa http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html.

    CVE-ID

    CVE-2010-3089

  • PHP

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Useita haavoittuvuuksia PHP 5.3.3:ssa.

    Kuvaus: PHP on päivitetty versioon 5.3.4 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa mielivaltaisen koodin suorittamiseen. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Saatavuus: Mac OS X 10.5.8 ja Mac OS X Server 10.5.8.

    Vaikutus: Useita haavoittuvuuksia PHP 5.2.14:ssä.

    Kuvaus: PHP on päivitetty versioon 5.2.15 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa mielivaltaisen koodin suorittamiseen. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • Pikakatselu

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen Excel-tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Pikakatselun tavassa käsitellä Excel-tiedostoja oli muistin vioittumisongelma. Haitallisen Excel-tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0184: Verisign iDefense Labsin parissa työskentelevä Tobias Klein

  • Pikakatselu

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Pikakatselun tavassa käsitellä Microsoft Office -tiedostoja oli muistin vioittumisongelma. Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-1417: TippingPointin Zero Day Initiativen parissa työskentelevät Charlie Miller ja Dion Blazakis

  • QuickTime

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen JPEG2000-kuvan tarkasteleminen QuickTimessa saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QuickTimen tavassa käsitellä JPEG2000-kuvia oli useita muistin vioittumiseen liittyviä ongelmia. Haitallisen JPEG2000-kuvan tarkasteleminen QuickTimessa saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    CVE-ID

    CVE-2011-0186: CERT/CC:n Will Dormann

  • QuickTime

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QuickTimen tavassa käsitellä elokuvatiedostoja oli kokonaisluvun ylivuoto. Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Mac OS X 10.5:n osalta tämä ongelma on ratkaistu QuickTime 7.6.9:ssä.

    CVE-ID

    CVE-2010-4009: Fortinetin FortiGuard Labsin Honggang Ren

  • QuickTime

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen FlashPix-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QuickTimen tavassa käsitellä FlashPix-kuvia oli muistin vioittumisongelma. Haitallisen FlashPix-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Mac OS X 10.5:n osalta tämä ongelma on ratkaistu QuickTime 7.6.9:ssä.

    CVE-ID

    CVE-2010-3801: TippingPointin Zero Day Initiativen parissa työskentelevä Damian Put sekä Check Point Vulnerability Discovery Teamin Rodrigo Rubira Branco

  • QuickTime

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi johtaa videotietojen paljastumiseen toisella verkkosivustolla.

    Kuvaus: QuickTime-liitännäisen tavassa käsitellä sivustojenvälisiä uudelleenohjauksia oli eri alkuperään liittyvä ongelma. Haitallisella verkkosivustolla käynti saattoi johtaa videotietojen paljastumiseen toisella verkkosivustolla. Tämä ongelma on ratkaistu estämällä QuickTimea seuraamasta sivustojen välisiä uudelleenohjauksia.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai ja Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Haitallisen QTVR-elokuvatiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QuickTimen tavassa käsitellä QTVR (QuickTime Virtual Reality) -elokuvatiedostojen panoraama-atomeja oli muistin vioittumisongelma. Haitallisen QTVR-elokuvatiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Mac OS X 10.5:n osalta tämä ongelma on ratkaistu QuickTime 7.6.9:ssä.

    CVE-ID

    CVE-2010-3802: TippingPointin Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • Ruby

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Sellaisen Ruby-komentosarjan suorittaminen, joka käyttää ei-luotettua syötettä BigDecimal-objektin luomiseen, saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Rubyn BigDecimal-luokassa oli kokonaisluvun katkaisuun liittyvä ongelma. Sellaisen Ruby-komentosarjan suorittaminen, joka käyttää ei-luotettua syötettä BigDecimal-objektin luomiseen, saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma koskee vain 64-bittisiä Ruby-prosesseja.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Jos SMB-tiedostonjako oli käytössä, etähyökkääjä saattoi saada aikaan palveluneston tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Samban tavassa käsitellä Windowsin suojaustunnuksia oli pinopuskurin ylivuoto. Jos SMB-tiedostonjako oli käytössä, etähyökkääjä saattoi saada aikaan palveluneston tai mielivaltaisen koodin suorittamisen.

    CVE-ID

    CVE-2010-3069

  • Subversion

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Subversion-palvelimet, jotka käyttävät "SVNPathAuthz short_circuit" mod_dav_svn -määritysasetusta (ei oletusarvoinen), saattoivat sallia valtuuttamattomien käyttäjien pääsyn arkiston osiin.

    Kuvaus: Subversion-palvelimet, jotka käyttävät "SVNPathAuthz short_circuit" mod_dav_svn -määritysasetusta (ei oletusarvoinen), saattoivat sallia valtuuttamattomien käyttäjien pääsyn arkiston osiin. Tämä ongelma on ratkaistu päivittämällä Subversion versioon 1.6.13. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2010-3315

  • Terminal

    Saatavuus: Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Kun ssh:ta käytettiin Päätteen Uusi etäyhteys -valintaikkunassa, SSH-versio 1 valittiin oletusprotokollaversioksi.

    Kuvaus: Kun ssh:ta käytettiin Päätteen Uusi etäyhteys -valintaikkunassa, SSH-versio 1 valittiin oletusprotokollaversioksi. Tämä ongelma on ratkaistu muuttamalla oletusprotokollaversioksi Automaattinen. Tämä ongelma ei koske Mac OS X 10.6 -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0189: HNW Inc:n Matt Warren

  • X11

    Saatavuus: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6 ja Mac OS X Server 10.6–10.6.6.

    Vaikutus: Useita haavoittuvuuksia FreeType-ohjelmassa.

    Kuvaus: FreeType-ohjelmassa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen haitallisia fontteja käsiteltäessä. Nämä ongelmat on ratkaistu päivittämällä FreeType versioon 2.4.4. Lisätietoja on FreeTypen sivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: