OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisältö

Tässä artikkelissa kerrotaan OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisällöstä.

Tässä artikkelissa kerrotaan OS X Mountain Lion 10.8.2:n, OS X Lion 10.7.5:n ja suojauspäivitys 2012-004:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 ja suojauspäivitys 2012-004

Huomautus: OS X Mountain Lion 10.8.2 sisältää Safari 6.0.1:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.1:n turvallisuussisällöstä.

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Apachessa oli useita haavoittuvuuksia.

    Kuvaus: Apache on päivitetty versioon 2.2.22 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi johtaa palvelunestoon. Lisätietoja on Apachen sivustossa osoitteessa http://httpd.apache.org/. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston, jos järjestelmä oli määritetty käyttämään BINDiä DNS-nimipalvelimena.

    Kuvaus: DNS-tietueiden käsittelyssä oli tavoitettavan vahvistuksen ongelma. Ongelma on ratkaistu päivittämällä BIND versioon 9.7.6-P1. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-4313

  • BIND

    Saatavuus: OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston tai tietojen vioittumisen tai saada arkaluontoisia tietoja prosessimuistista, jos järjestelmä oli määritetty käyttämään BINDiä DNS-nimipalvelimena.

    Kuvaus: DNS-tietueiden käsittelyssä oli muistin hallintaongelma. Ongelma on ratkaistu päivittämällä BIND versioon 9.7.6-P1 OS X Lion -järjestelmissä ja versioon 9.8.3-P1 OS X Mountain Lion -järjestelmissä.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: CoreTextiä käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: Tekstihakumerkkien käsittelyssä oli rajojen tarkistamisongelma, joka saattoi johtaa rajat ylittäviin muistin lukemisiin tai kirjoittamisiin. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske Mac OS X 10.6- ja OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-3716: Mozilla Corporationin Jesse Ruderman

  • Tietoturva

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: TrustWave, joka on luotettu päävarmenne, on myöntänyt ja myöhemmin kumonnut alivarmenteen yhdeltä luotetuista ankkureistaan. Alivarmenne mahdollisti TLS:n suojaaman viestiliikenteen kaappaamisen. Tässä päivityksessä kyseinen alivarmenne lisätään OS X:n ei-luotettujen varmenteiden luetteloon.

  • DirectoryService

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8.

    Vaikutus: Jos DirectoryService-välipalvelin oli käytössä, etähyökkääjä saattoi pystyä aiheuttamaan palveluneston tai mielivaltaisen koodin suorittamisen.

    Kuvaus: DirectoryService-välipalvelimessa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Lion- ja Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0650: HP:n Zero Day Initiativen parissa työskentelevä aazubel

  • ImageIO

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen PNG-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libpng:n tavassa käsitellä PNG-kuvia oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla PNG-kuvien tarkistamista. Nämä ongelmat eivät koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen TIFF-kuvan katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: libTIFF:n tavassa käsitellä TIFF-kuvia oli kokonaisluvun ylivuoto-ongelma. Ongelma on ratkaistu parantamalla TIFF-kuvien tarkistamista. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-1173: HP:n Zero Day Initiativen parissa työskentelevä Alexander Gavrun

  • Asentaja

    Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Etäylläpitäjät ja henkilöt, joilla oli fyysinen pääsy järjestelmään, saattoivat pystyä saamaan haltuunsa tilitietoja.

    Kuvaus: CVE-2012-0652:n korjaus OS X Lion 10.7.4:ssä esti käyttäjien salasanojen kirjaamisen järjestelmälokiin, mutta ei poistanut vanhoja lokikirjauksia. Ongelma on ratkaistu poistamalla lokitiedostot, joissa oli salasanoja. Ongelma ei koske Mac OS X 10.6- ja OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0652

  • Maakohtaiset Unicode-komponentit

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: ICU:ta käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: ICU-lokaalitunnisteiden käsittelyssä oli pinopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-4599

  • Kernel

    Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haittaohjelma pystyi ohittamaan eristämisrajoitukset.

    Kuvaus: Järjestelmän virheenkorjauskutsujen käsittelyssä oli logiikkaongelma. Tämän vuoksi haittaohjelma saattoi saada koodin suorittamisoikeudet muissa ohjelmissa, joissa oli samat käyttöoikeudet. Ongelma on ratkaistu poistamalla käytöstä osoitteiden käsittely PT_STEPissä ja PT_CONTINUEssa. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0643: iOS Jailbreak Dream Team

  • LoginWindow

    Saatavuus: OS X Mountain Lion 10.8 ja 10.8.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä saamaan haltuunsa muiden käyttäjien kirjautumissalasanat.

    Kuvaus: Käyttäjän asentama syöttömenetelmä saattoi kaapata salasanan näppäilyjä kirjautumisikkunasta tai näytönsäästäjän lukituksen avaamisesta. Ongelma on ratkaistu estämällä käyttäjän asentamien menetelmien käyttö, kun järjestelmä käsittelee kirjautumistietoja.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Sähköpostiviestin tarkasteleminen saattoi johtaa verkkoliitännäisten suorittamiseen.

    Kuvaus: Mailin tavassa käsitellä upotettuja verkkoliitännäisiä oli syötteen validointivirhe. Ongelma on ratkaistu poistamalla muun valmistajan liitännäiset käytöstä Mailissa. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-3719: CERT/CC:n Will Dormann

  • Liikkuvat tilit

    Saatavuus: OS X Mountain Lion 10.8 ja 10.8.1.

    Vaikutus: Käyttäjä, jolla oli pääsy liikkuvan tilin sisältöön, saattaa pystyä saamaan tilin salasanan haltuunsa.

    Kuvaus: Liikkuva tilin luominen tallensi tiliin salasanan hajautuskoodin, jota käytettiin kirjautumiseen, kun liikkuvaa tiliä käytettiin ulkoisena tilinä. Käyttäjän salasana voitiin selvittää salasanan hajautuskoodin avulla. Ongelma on ratkaistu luomalla salasanan hajautuskoodi vain jos liikkuvan tilin luomiseen käytetyssä järjestelmässä on käytössä ulkoisia tilejä.

    CVE-ID

    CVE-2012-3720: Google Inc:n Harald Wagener

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4, OS X Lion Server 10.7–10.7.4 ja OS X Mountain Lion 10.8–10.8.1.

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: >PHP on päivitetty versioon 5.3.15 useiden haavoittuvuuksien korjaamiseksi. Vakavin haavoittuvuus saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Lisätietoja on PHP:n sivustossa osoitteessa http://www.php.net.

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: libpngia käyttävät PHP-komentosarjat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: PNG-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu päivittämällä PHP:n kopio libpng:stä versioon 1.5.10. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3048

  • Profiilinhallinta

    Saatavuus: OS X Lion Server 10.7–10.7.4.

    Vaikutus: Todentamaton käyttäjä pystyi luetteloimaan hallinnoidut laitteet.

    Kuvaus: Laitehallinnan yksityisessä liittymässä oli todentamisongelma. Ongelma on ratkaistu poistamalla liittymä.

    Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-3721: XEquals Corporationin Derick Cassidy

  • Pikakatselu

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen .pict-tiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: .pict-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla .pict-tiedostojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0671: Qualys Vulnerability & Malware Research Labsin (VMRL) Rodrigo Rubira Branco (twitter.com/bsdaemon)

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimen tavassa käsitellä sean-atomeja oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0670: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Sorenson-koodattujen elokuvatiedostojen käsittelyssä oli alustamattomaan muistiin liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin alustamista. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-3722: CERT/CC:n Will Dormann

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: RLE-koodattujen elokuvatiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-0668: HP:n Zero Day Initiativen Luigi Auriemma

  • Ruby

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Ruby OpenSSL -moduuli poisti empty fragment -vastatoimenpiteen, joka esti nämä hyökkäykset. Ongelma on ratkaistu ottamalla tämä vastatoimenpide käyttöön. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2011-3389

  • USB

    Saatavuus: OS X Lion 10.7–10.7.4 ja OS X Lion Server 10.7–10.7.4.

    Vaikutus: USB-laitteen liittäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: USB-keskittimien kuvaajissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla bNbrPorts-kuvaajakentän käsittelyä. Ongelma ei koske OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2012-3723: NGS Securen Andy Davis

 

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: