Tietoja OS X Lion 10.7.2:n ja suojauspäivitys 2011-006:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Lion 10.7.2:n ja suojauspäivitys 2011-006:n turvallisuussisällöstä.

Tässä asiakirjassa kerrotaan OS X Lion 10.7.2:n ja suojauspäivitys 2011-006:n turvallisuussisällöstä. Päivitykset voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
 

OS X Lion 10.7.2 ja suojauspäivitys 2011-006

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Apachessa oli useita haavoittuvuuksia.

    Kuvaus: Apache on päivitetty versioon 2.2.20 useiden haavoittuvuuksien korjaamiseksi. Niistä vakavin saattoi aiheuttaa palveluneston. CVE-2011-0419 ei koske OS X Lion -järjestelmiä. Lisätietoja on Apachen sivustossa osoitteessa http://httpd.apache.org/.

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Ohjelmapalomuuri

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisesti nimetyn binaaritiedoston suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen laajennetuilla käyttöoikeuksilla.

    Kuvaus: Ohjelmapalomuurin vianmäärityksen kirjaamisessa oli muotomerkkijonon haavoittuvuus.

    CVE-ID

    CVE-2011-0185: nimetön ilmoittaja

  • ATS

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ATS:n tavassa käsitellä Type 1 -fontteja oli etumerkillisyyteen liittyvä ongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3437

  • ATS

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen upotetun fontin sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ATS:n tavassa käsitellä Type 1 -fontteja oli rajojen ylittämiseen liittyvä muistin käyttöongelma. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0229: CERT/CC:n Will Dormann

  • ATS

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: ATSFontDeactivate APIa käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkemiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: ATSFontDeactivate APIssa oli puskurin ylivuoto-ongelma.

    CVE-ID

    CVE-2011-0230: Mozillan Steven Michaud

  • BIND

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: BINDin versiossa 9.7.3 oli useita haavoittuvuuksia.

    Kuvaus: BIND 9.7.3:ssa oli useita palvelunesto-ongelmia. Nämä ongelmat on ratkaistu päivittämällä BIND versioon 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: BINDissä oli useita haavoittuvuuksia.

    Kuvaus: BINDissä oli useita palvelunesto-ongelmia. Nämä ongelmat on ratkaistu päivittämällä BIND versioon 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Varmenteiden luottamuskäytäntö

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Juurivarmenteet on päivitetty.

    Kuvaus: Järjestelmän juurivarmenneluetteloon on lisätty useita luotettuja varmenteita. Useita nykyisiä varmenteita on päivitetty uusimpiin versioihin. Tunnistettujen järjestelmän juurivarmenteiden koko luettelon näkee Avainnipun käyttö -ohjelmasta.

  • CFNetwork

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Safari saattoi tallentaa evästeitä, joita sitä ei oltu määritetty hyväksymään.

    Kuvaus: CFNetworkin tavassa käsitellä evästekäytäntöjä oli synkronointiongelma. Safarin evästeasetuksia ei välttämättä noudatettu, jolloin verkkosivustot saattoivat asettaa evästeitä, jotka olisi estetty, jos asetusta olisi noudatettu. Tämä päivitys korjaa ongelman parantamalla evästeiden tallennustilan käsittelyä.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Geeks R Us:n Steve Riggins sekä Justin C. Walker ja Stephen Creswell

  • CFNetwork

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi aiheuttaa luottamuksellisten tietojen paljastumisen.

    Kuvaus: CFNetworkin tavassa käsitellä HTTP-evästeitä oli ongelma. Siirryttäessä haitalliseen HTTP- tai HTTPS-URL-osoitteeseen CFNetwork saattoi virheellisesti lähettää domainin evästeet domainin ulkopuoliseen palvelimeen. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3246: Facebookin Erling Ellingsen

  • CoreFoundation

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen verkkosivuston tai sähköpostiviestin tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreFoundationin tavassa käsitellä merkkijonon jakamista osiin oli muistin vioittumisongelma. Ongelma ei koske OS X Lion -järjestelmiä. Tämä päivitys korjaa ongelman parantamalla rajojen tarkastusta.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa toisen verkkosivuston videotietojen paljastumisen.

    Kuvaus: CoreMedian tavassa käsitellä sivustojenvälisiä uudelleenohjauksia oli eri alkuperään liittyvä ongelma. Tämä ongelma on korjattu alkuperän parannetun seurannan avulla.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai ja Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime -elokuvatiedostojen käsittelyssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat eivät koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy järjestelmään, saattoi osittain ohittaa näytön lukituksen.

    Kuvaus: Järjestelmäikkuna (esimerkiksi VPN-salasanakehote), joka näkyi näytön ollessa lukittuna, saattoi hyväksyä näppäinpainalluksia näytön ollessa lukittuna. Ongelma on ratkaistu estämällä järjestelmäikkunoita pyytämästä näppäinpainalluksia näytön ollessa lukittuna. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-0260: University of Washingtonin Clint Tseng sekä Michael Kobb ja Adam Kemp

  • CoreStorage

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Muuntaminen FileVaultiin ei poistanut kaikkia nykyisiä tietoja.

    Kuvaus: Kun FileVault otettiin käyttöön, taltion alusta noin 250 megatavua jätettiin salaamattomana levyn käyttämättömälle alueelle. Vain tiedot, jotka olivat taltiossa ennen FileVaultin käyttöönottoa, jätettiin salaamatta. Tämä ongelma on ratkaistu tyhjentämällä tämä alue FileVaultin käyttöönoton yhteydessä ja kun salattu taltio, jossa tämä ongelma ilmenee, otetaan käyttöön ensimmäistä kertaa. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3212: ATC-NY:n Judson Powers

  • Tiedostojärjestelmät

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi peukaloida HTTPS-palvelinvarmenteita, mikä aiheutti arkaluontoisten tietojen paljastumisen.

    Kuvaus: HTTPS-palvelimilla olevien WebDAV-taltioiden käsittelyssä oli ongelma. Jos palvelin esitti varmenneketjun, jota ei voitu todentaa automaattisesti, näkyviin tuli varoitus ja yhteys katkaistiin. Jos käyttäjä osoitti Jatka-painiketta varoitusvalintaikkunassa, kaikki varmenteet hyväksyttiin, kun kyseiseen palvelimeen muodostettiin seuraavan kerran yhteys. Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi peukaloida yhteyttä saadakseen arkaluontoisia tietoja tai toimiakseen palvelimella käyttäjän nimissä. Tämä päivitys ratkaisee ongelman tarkistamalla, että toisella yhteyskerralla saatu varmenne on sama kuin käyttäjälle alun perin esitetty varmenne.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä ohittamaan näytön lukituksen.

    Kuvaus: Apple Cinema Display -näyttöjen näytön lukituksessa oli ongelma. Kun lepotilasta heräämiseen vaadittiin salasanaa, henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä järjestelmään ilman salasanaa, jos järjestelmä on näytön lepotilassa. Tämä päivitys korjaa ongelman varmistamalla, että näytön lukitus aktivoidaan oikein näytön lepotilassa. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat-palvelin

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Etähyökkääjä saattoi saada Jabber-palvelimen käyttämään järjestelmäresursseja epäsuhtaisesti.

    Kuvaus: XMPP:lle (Extensible Messaging and Presence Protocol) tarkoitetussa jabberd2-palvelimessa oli ulkoisten XML-entiteettien käsittelyyn liittyvä ongelma. jabberd2 laajensi ulkoisia entiteettejä saapuvissa pyynnöissä. Tämän vuoksi hyökkääjä pystyi kuluttamaan järjestelmäresursseja erittäin nopeasti ja estämään palvelun palvelimen oikeilta käyttäjiltä. Tämä päivitys ratkaisee ongelman poistamalla käytöstä entiteetin laajennuksen saapuvissa pyynnöissä.

    CVE-ID

    CVE-2011-1755

  • Kernel

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käsiksi käyttäjän salasanaan.

    Kuvaus: Kernelin DMA-suojauksessa ollut logiikkavirhe salli firewire-DMA:n kirjautumisikkunassa, käynnistettäessä ja sammutettaessa, mutta ei näytön ollessa lukittuna. Tämä päivitys ratkaisee ongelman estämällä firewire-DMA:n kaikissa tiloissa, joissa käyttäjä ei ole kirjautunut sisään.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Käyttöoikeudeton käyttäjä saattoi pystyä poistamaan toisen käyttäjän tiedostoja jaetussa hakemistossa.

    Kuvaus: Kernelin tavassa käsitellä tiedostojen poistoja hakemistoissa, joissa on tahmabitti, oli logiikkavirhe.

    CVE-ID

    CVE-2011-3216: Crywolfin Gordon Davisson, Linc Davis, R. Dormer ja Allan Schmid sekä brainworks Trainingin Oliver Jeckel

  • libsecurity

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen verkkosivuston tai sähköpostiviestin tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Ei-standardinmukaisen kumottujen varmenteiden luettelon laajennuksen jäsennyksessä oli virheenkäsittelyongelma.

    CVE-ID

    CVE-2011-3227: Virginia Techin Richard Godbee

  • Mailman

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Mailman 2.1.14:ssä oli useita haavoittuvuuksia.

    Kuvaus: Mailman 2.1.14:ssä oli useita sivustojen välisiä komentosarjaongelmia. Nämä ongelmat on ratkaistu parantamalla merkkien koodausta HTML-tuotoksessa. Lisätietoja on Mailmanin sivustossa osoitteessa http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen levytiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Levytiedostojen käsittelyssä oli useita muistin vioittumiseen liittyviä ongelmia. Nämä ongelmat eivät koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Kuka tahansa käyttäjä saattoi pystyä lukemaan toisen paikallisen käyttäjän salasanatietoja.

    Kuvaus: Open Directoryssa oli käytönvalvontaongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3435: Dreyer Network Consultants Inc:n Arek Dreyer ja defenseindepth.netin Patrick Dunstan

  • Open Directory

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Todennettu käyttäjä saattoi vaihtaa tilinsä salasanan antamatta nykyistä salasanaa.

    Kuvaus: Open Directoryssa oli käytönvalvontaongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3436: defenceindepth.netin Patrick Dunstan

  • Open Directory

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Käyttäjä saattoi pystyä kirjautumaan ilman salasanaa.

    Kuvaus: Kun Open Directory oli sidottu LDAPv3-palvelimeen käyttämällä RFC2307- tai mukautettuja määrityksiä (esimerkiksi jos käyttäjälle ei ole AuthenticationAuthority-määritettä), LDAP-käyttäjän sallittiin mahdollisesti kirjautua ilman salasanaa. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3226: University of Texas at Austinin Jeffry Strunk, Colorado Mesa Universityn Steven Eppler sekä Hugh Cole-Baker ja Institut de Biologie Structuralen Frederic Metoz

  • PHP

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: FreeTypen tavassa käsitellä Type 1 -fontteja oli etumerkillisyyteen liittyvä ongelma. Tämä ongelma on ratkaistu päivittämällä FreeType versioon 2.4.6. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä. Lisätietoja on FreeType-sivustossa osoitteessa http://www.freetype.org/.

    CVE-ID

    CVE-2011-0226

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: libpng 1.4.3:ssa oli useita haavoittuvuuksia.

    Kuvaus: libpng on päivitetty versioon 1.5.4 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: PHP 5.3.4:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP on päivitetty versioon 5.3.6 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Nämä ongelmat eivät koske OS X Lion -järjestelmiä. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Postfixissa oli useita haavoittuvuuksia.

    Kuvaus: Postfix on päivitetty versioon 2.5.14 useiden haavoittuvuuksien korjaamiseksi. Vakavin niistä saattoi antaa etuoikeutetussa verkkoasemassa olevalle hyökkääjälle mahdollisuuden manipuloida sähköposti-istuntoa, jolloin hyökkääjä saattoi saada arkaluontoista tietoa salatusta liikenteestä. Näiden ongelmien ei pitäisi vaikuttaa OS X Lion -järjestelmiin. Lisätietoja on Postfixin sivustossa osoitteessa http://www.postfix.org/announcements/postfix-2.7.3.html.

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: pythonissa oli useita haavoittuvuuksia.

    Kuvaus: pythonissa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Tämä päivitys korjaa ongelmat käyttämällä python-projektin korjauskoodia. Lisätietoja on pythonin sivustossa osoitteessa http://www.python.org/download/releases/.

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä elokuvatiedostoja oli useita muistin vioittumiseen liittyviä ongelmia.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostojen STSC-atomien käsittelyssä oli kekopuskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0249: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • QuickTime

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostojen STSS-atomien käsittelyssä oli kekopuskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0250: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • QuickTime

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostojen STSZ-atomien käsittelyssä oli kekopuskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0251: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • QuickTime

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-elokuvatiedostojen STTS-atomien käsittelyssä oli kekopuskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0252: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • QuickTime

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi lisätä komentosarjan paikalliseen domainiin tarkasteltaessa HTML-työpohjaa.

    Kuvaus: QuickTime Playerin Tallenna verkkoa varten -viennissä oli sivustojen välinen komentosarjaongelma. Tämän ominaisuuden luomat HTML-työpohjatiedostot viittasivat alkuperältään salaamattomaan komentosarjatiedostoon. Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä lisäämään haitallisia komentosarjoja paikalliseen domainiin, jos käyttäjä tarkasteli työpohjatiedostoa paikallisesti. Tämä ongelma on ratkaistu poistamalla viittaus verkkokomentosarjaan. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3218: vtty.comin Aaron Sigel

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä H.264-koodattuja elokuvatiedostoja oli kekopuskurin ylivuoto.

    CVE-ID

    CVE-2011-3219: TippingPointin Zero Day Initiativen parissa työskentelevä Damian Put

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen elokuvatiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.

    Kuvaus: QuickTimen tavassa käsitellä elokuvatiedostojen URL-tiedonkäsittelijöitä oli alustamattoman muistin käyttöön liittyvä ongelma.

    CVE-ID

    CVE-2011-3220: TippingPointin Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä elokuvatiedoston atomihierarkiaa oli toteuttamisongelma.

    CVE-ID

    CVE-2011-3221: TippingPointin Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen FlashPix-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä FlashPix-tiedostoja oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-3222: TippingPointin Zero Day Initiativen parissa työskentelevä Damian Put

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä FLIC-tiedostoja oli puskurin ylivuoto.

    CVE-ID

    CVE-2011-3223: TippingPointin Zero Day Initiativen parissa työskentelevä Matt "j00ru" Jurczyk

  • SMB-tiedostopalvelin

    Saatavuus: OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: Vieraskäyttäjä saattoi selata jaettuja kansioita.

    Kuvaus: SMB-tiedostopalvelimessa oli käytön valvontaan liittyvä ongelma. Vieraiden pääsyn estäminen kansion jakopisteen tietueeseen esti _unknown-käyttäjää selaamasta jakopistettä, mutta ei vieraita (nobody-käyttäjä). Tämä ongelma on ratkaistu käyttämällä käytön valvontaa vieraskäyttäjään. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Tomcat 6.0.24:ssä oli useita haavoittuvuuksia.

    Kuvaus: Tomcat on päivitetty versioon 6.0.32 useiden haavoittuvuuksien korjaamiseksi, joista vakavin saattoi aiheuttaa sivustojenvälisen komentosarjahyökkäyksen. Tomcat on ainoastaan Mac OS X Server -järjestelmissä. Ongelma ei koske OS X Lion -järjestelmiä. Lisätietoja on Tomcatin sivustossa osoitteessa http://tomcat.apache.org/.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Käyttäjädokumentaatio

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi peukaloida App Storen ohjesisältöä, mikä aiheutti mielivaltaisen koodin suorittamisen.

    Kuvaus: App Storen ohjesisältö päivitettiin HTTP:n kautta. Tämä päivitys ratkaisee ongelman päivittämällä App Storen ohjesisällön HTTPS:n kautta. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3224: vtty.comin Aaron Sigel sekä Brian Mastenbrook

  • Verkkopalvelin

    Saatavuus: Mac OS X Server 10.6.8.

    Vaikutus: Asiakkaat eivät mahdollisesti päässeet verkkopalveluihin, jotka vaativat Digest-todennusta.

    Kuvaus: HTTP Digest -todennuksessa ollut ongelma on ratkaistu. Käyttäjien pääsy palvelimen resursseihin saatettiin estää, vaikka palvelimen määritysten olisi pitänyt sallia pääsy. Tämä ongelma ei ollut tietoturvariski, ja se ratkaistiin vahvempien todentamismenetelmien käytön helpottamiseksi. Tämä ongelma ei koske järjestelmiä, joissa on OS X Lion Server.

  • X11

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ja 10.7.1 sekä OS X Lion Server 10.7 ja 10.7.1.

    Vaikutus: libpng:ssä oli useita haavoittuvuuksia.

    Kuvaus: libpng:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Nämä ongelmat on ratkaistu päivittämällä libpng versioon 1.5.4 OS X Lion -järjestelmissä ja versioon 1.2.46 Mac OS X 10.6 -järjestelmissä. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: