Tietoja OS X Lion 10.7.4:n ja suojauspäivitys 2012-002:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Lion 10.7.4:n ja suojauspäivitys 2012-002:n turvallisuussisällöstä.

OS X Lion 10.7.4 ja suojauspäivitys 2012-002 voidaan ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
 

OS X Lion 10.7.4 ja suojauspäivitys 2012-002

  • Kirjautumisikkuna

    Saatavuus: OS X Lion 10.7.3 ja OS X Lion Server 10.7.3.

    Vaikutus: Etäylläpitäjät ja henkilöt, joilla on fyysinen pääsy järjestelmään, voivat saada tilitietoja.

    Kuvaus: Verkossa tapahtuvien käyttäjätilille kirjautumisten käsittelyssä oli ongelma. Kirjautumisen yhteydessä järjestelmälokiin kirjattiin arkaluontoisia tietoja, ja muut järjestelmän käyttäjät pystyivät lukemaan ne. Arkaluontoiset tiedot voivat jäädä tallennettuihin lokeihin tämän päivityksen asentamisen jälkeen. Ongelma koskee vain järjestelmiä, joissa on OS X Lion 10.7.3 ja joissa käytetään vanhaa FileVaultia ja/tai verkkokotihakemistoja. Artikkelissa http://support.apple.com/kb/TS4272?viewlocale=fi_FI on lisätietoja jäljelle jäävien tietojen turvallisesta poistamisesta.

    CVE-ID

    CVE-2012-0652: Ohion valtionyliopiston Terry Reeves ja Tim Winningham, Kuvataideakatemian Markus "Jaroneko" Räty, Aalto-yliopiston Jaakko Pero, Oregonin valtionyliopiston Mark Cohen sekä Paul Nelson

  • Bluetooth

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: bluedin alustusprosessissa oli tilapäinen tiedostojen kilpailutilanneongelma.

    CVE-ID

    CVE-2012-0649: vtty.comin Aaron Sigel

  • curl

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. curl poisti käytöstä ns. tyhjä osa -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu ottamalla tyhjät osat käyttöön.

    CVE-ID

    CVE-2011-3389: Apple

  • curl

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: curlin tai libcurlin käyttäminen haitallisen URL-osoitteen kanssa saattoi johtaa protokollakohtaisiin tiedonlisäyshyökkäyksiin.

    Kuvaus: curlin tavassa käsitellä URL-osoitteita oli tietojen lisäysongelma. Ongelma on ratkaistu URL-osoitteiden parannetulla tarkistuksella. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2012-0036

  • Hakemistopalvelu

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Etähyökkääjä saattoi saada arkaluontoisia tietoja.

    Kuvaus: Hakemistopalvelimen tavassa käsitellä verkosta tulleita viestejä oli useita ongelmia. Lähettämällä haitallisen viestin etähyökkääjä saattoi saada hakemistopalvelimen paljastamaan muistia osoiteavaruudestaan, ja seurauksena saattoi olla kirjautumis- tai muiden arkaluontoisten tietojen paljastuminen. Ongelma ei koske OS X Lion -järjestelmiä. Hakemistopalvelin on oletusarvoisesti poissa käytöstä OS X -järjestelmissä, jotka eivät ole palvelimia.

    CVE-ID

    CVE-2012-0651: Agustin Azubel

  • HFS

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen levytiedoston näkyviin tuominen saattoi johtaa järjestelmän sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: HFS-katalogitiedostojen käsittelyssä oli kokonaisluvun alivuoto.

    CVE-ID

    CVE-2012-0642: pod2g

  • ImageIO

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ImageIO:n tavassa käsitellä CCITT Group 4 -koodattuja TIFF-tiedostoja oli puskurin ylivuoto. Tämä ongelma ei koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2011-0241: Tessi Technologiesin Cyril CATTIAUX

  • ImageIO

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: libpng:ssä oli useita haavoittuvuuksia.

    Kuvaus: libpng on päivitetty versioon 1.5.5 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa tietojen paljastumiseen. Lisätietoja on libpng:n sivustossa osoitteessa http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libtiffin tavassa käsitellä ThunderScan-koodattuja TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu päivittämällä libtiff versioon 3.9.5.

    CVE-ID

    CVE-2011-1167

  • Kernel

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Levyllä saattoi olla salaamattomia käyttäjätietoja FileVaultia käytettäessä.

    Kuvaus: Kernelin tavassa käsitellä horrostilan lepotilavedosta oli ongelma, jonka vuoksi joitakin levyllä olevia tietoja ei salattu, vaikka FileVault oli käytössä. Ongelma on ratkaistu parantamalla lepotilavedoksen käsittelyä ja korvaamalla nykyinen lepotilavedos, kun tietokoneeseen päivitetään OS X 10.7.4. Ongelma ei koske OS X Lionia aiempia käyttöjärjestelmiä.

    CVE-ID

    CVE-2011-3212: Google Security Teamin Felix Groebert

  • libarchive

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen arkiston purkaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: tar-arkistojen ja iso9660-tiedostojen käsittelyssä oli useita puskurin ylivuotoja.

    CVE-ID

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen X.509-varmenteen vahvistaminen esimerkiksi haitallisella verkkosivustolla saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: X.509-varmenteiden käsittelyssä oli alustamattoman muistin käyttöongelma.

    CVE-ID

    CVE-2012-0654: WebWeaving.orgin Dirk-Willem van Gulik, Conselho da Justiça Federalin Guilherme Prado ja Googlen Ryan Sleevi

  • libsecurity

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Tuki X.509-varmenteille, joiden RSA-avainten pituudet ovat riittämättömät, saattoi altistaa käyttäjät huijauksille ja tietojen paljastumiselle.

    Kuvaus: libsecurity hyväksyi varmenteet, jotka oli allekirjoitettu RSA-avaimilla, joiden pituus oli riittämätön. Ongelma on ratkaistu hylkäämällä varmenteet, joissa on alle 1024 bittiä pitkiä RSA-avaimia.

    CVE-ID

    CVE-2012-0655

  • libxml

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen verkkosivuston selaaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: libxml:ssä oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu käyttämällä asianmukaisia upstream-korjauksia.

    CVE-ID

    CVE-2011-1944: Google Chrome Security Teamin Chris Evans

    CVE-2011-2821: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

    CVE-2011-2834: NCNIPC:n Yang Dingning, Kiinan akatemian tutkijakoulut (Graduate University of Chinese Academy of Sciences)

    CVE-2011-3919: Jüri Aedla

  • LoginUIFramework

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Jos vierastili oli käytössä, käyttäjä, jolla oli fyysinen pääsy tietokoneeseen, saattoi pystyä kirjautumaan muulle ei-vierastilille ilman salasanaa.

    Kuvaus: Vierastilille kirjautumisten käsittelyssä oli kilpailutilanne. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2012-0656: Francisco Gómez (espectalll123)

  • PHP

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP on päivitetty versioon 5.3.10 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa mielivaltaisen koodin suorittamiseen. Lisätietoja on PHP:n verkkosivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Käyttäjä, jolla oli fyysinen pääsy tietokoneeseen, saattoi pystyä käynnistämään Safarin, jos näyttö oli lukittu ja jos RSS Visualizer -näytönsäästäjä oli käytössä.

    Kuvaus: Quartz Composerin tavassa käsitellä näytönsäästäjiä oli käytönvalvontaongelma. Ongelma on ratkaistu näytön lukituksen parannetulla tarkistuksella.

    CVE-ID

    CVE-2012-0657: vtty.comin Aaron Sigel

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen elokuvatiedoston katsominen progressiivisen latauksen aikana saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Ääninäytetaulukkojen käsittelyssä oli puskurin ylivuoto.

    CVE-ID

    CVE-2012-0658: HP:n Zero Day Initiativen parissa työskentelevä Luigi Auriemma

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen MPEG-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: MPEG-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto.

    CVE-ID

    CVE-2012-0659: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen MPEG-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: MPEG-tiedostojen käsittelyssä oli puskurin alivuoto.

    CVE-ID

    CVE-2012-0660: Microsoftin ja Microsoft Vulnerability Researchin Justin Kim

  • QuickTime

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: JPEG2000-koodattujen elokuvatiedostojen käsittelyssä oli use after free -ongelma. Tämä ongelma ei koske OS X Lion -käyttöjärjestelmää vanhempia järjestelmiä.

    CVE-ID

    CVE-2012-0661: HP:n Zero Day Initiativen parissa työskentelevä Damian Put

  • Ruby

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Rubyssa oli useita haavoittuvuuksia.

    Kuvaus: Ruby on päivitetty versioon 1.8.7-p357 useiden haavoittuvuuksien korjaamiseksi.

    CVE-ID

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Jos SMB-tiedostonjako oli käytössä, todentamaton etähyökkääjä saattoi aiheuttaa palveluneston tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.

    Kuvaus: Samban tavassa käsitellä etätoimintosarjakutsuja oli useita puskurin ylivuotoja. Lähettämällä haitallisen paketin todentamaton etähyökkääjä pystyi aiheuttamaan palveluneston tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Nämä ongelmat eivät koske OS X Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0870: NGS Securen Andy Davis

    CVE-2012-1182: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • Security Framework

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Turvallisuuskehyksessä oli kokonaisluvun ylivuoto. Epäluotettavan syötteen käsittely turvallisuuskehyksessä saattoi aiheuttaa muistin vioittumisen. Ongelma ei koske 32-bittisiä järjestelmiä.

    CVE-ID

    CVE-2012-0662: HP:n Zero Day Initiativen parissa työskentelevä aazubel

  • Time Machine

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Etähyökkääjä saattoi päästä käyttäjän Time Machine -varmuuskopiointitietoihin.

    Kuvaus: Käyttäjä voi määrittää, että Time Capsulea tai AirPort-tukiasemassa olevaa AFP-etätaltiota käytetään Time Machine -varmuuskopioihin. AirPort-tukiaseman ja Time Capsulen laiteohjelmistopäivitys 7.6:sta alkaen Time Capsulet ja tukiasemat tukevat turvallista SRP-pohjaista todennusmenetelmää AFP:n kautta. Time Machine ei kuitenkaan vaatinut SRP-pohjaista todentamismenetelmää seuraavissa varmuuskopioinneissa, vaikka Time Machine oli alun perin määritetty käyttämään sitä tai siitä oli aiemmin otettu yhteys SRP:tä tukevaan Time Capsuleen tai tukiasemaan. Hyökkääjä, joka pystyi esittämään etätaltiota, saattoi päästä käyttäjän järjestelmän lähettämiin Time Capsule -kirjautumistietoihin, vaikkakaan ei varmuuskopiointitietoihin. Ongelma on ratkaistu edellyttämällä SRP-pohjaisen todentamismenetelmän käyttöä, jos varmuuskopiointikohde on tukenut sitä.

    CVE-ID

    CVE-2012-0675: Tenable Network Security Inc:n Renaud Deraison

  • X11

    Saatavuus: OS X Lion 10.7–10.7.3 ja OS X Lion Server 10.7–10.7.3.

    Vaikutus: Ohjelmat, jotka käyttivät libXfontia LZW-pakatun tiedon käsittelyyn, saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: libXfontin tavassa käsitellä LZW-pakattua tietoa oli puskurin ylivuoto. Ongelma on korjattu päivittämällä libXfont versioon 1.4.4.

    CVE-ID

    CVE-2011-2895: Red Hatin Tomas Hoger
     

Huomautus: Lisäksi tämä päivitys suodattaa dynaamiset linkitinympäristömuuttujat käyttäjän kotihakemiston mukautetusta ympäristön ominaisuusluettelosta, jos sellainen on.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: