A Mac OS X 10.6.7 és a 2011-001-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum a Mac OS X 10.6.7 és a 2011-001-es biztonsági frissítés biztonsági tartalmát ismerteti.

A dokumentum a Mac OS X 10.6.7 és a 2011-001-es biztonsági frissítés biztonsági tartalmát ismerteti, amelyek a Szoftverfrissítés segítségével, illetve az Apple letöltési oldaláról tölthetők le és telepíthetők.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

A Mac OS X 10.6.7 és a 2011-001-es biztonsági frissítés

  • AirPort

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Wi-Fi hálózathoz kapcsolódva az ugyanahhoz a hálózathoz csatlakozó támadó alaphelyzetbe tudta állítani a rendszert.

    Leírás: Nullával való osztási hiba lépet fel a Wi-Fi keretek kezelésekor. Wi-Fi hálózathoz kapcsolódva az ugyanahhoz a hálózathoz csatlakozó támadó alaphelyzetbe tudta állítani a rendszert. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2011-0172

  • Apache

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Több biztonsági rés az Apache 2.2.15-ös verziójában.

    Leírás: Az Apache a 2.2.17-es verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb szolgáltatásmegtagadást okozhat. További információk az Apache webhelyén találhatók: http://httpd.apache.org/.

    CVE-azonosító

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges kódvégrehajtásra került sor olyan AppleScript Studio-alapú alkalmazás futtatásakor, amely engedélyezte a megbízhatatlan bevitel párbeszédpanelre történő továbbítását.

    Leírás: Formázó karakterlánccal kapcsolatos probléma állt fenn az AppleScript Studio általános párbeszédpanel-parancsaival („display dialog” és „display alert”). Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges kódvégrehajtásra került sor olyan AppleScript Studio-alapú alkalmazás futtatásakor, amely engedélyezte a megbízhatatlan bevitel párbeszédpanelre történő továbbítását.

    CVE-azonosító

    CVE-2011-0173 : Alexander Strange

  • ATS

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az OpenType-betűtípusok kezelésével összefüggésben. Egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget.

    CVE-azonosító

    CVE-2011-0174

  • ATS

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

    Leírás: Több, puffertúlcsordulást okozó probléma lépett fel a TrueType betűtípusok kezelésekor. Egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget.

    CVE-azonosító

    CVE-2011-0175 : Christoph Diehl (Mozilla), Felix Grobert (Google Security Team), Marc Schoenefeld (Red Hat Security Response Team), Tavis Ormandy és Will Drewry (Google Security Team)

  • ATS

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

    Leírás: Több, puffertúlcsordulást okozó probléma lépett fel a Type 1 betűtípusok kezelésekor. Egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget.

    CVE-azonosító

    CVE-2011-0176 : Felix Grobert (Google Security Team), geekable (a TippingPoint Zero Day Initiative kezdeményezésének közreműködője)

  • ATS

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

    Leírás: Több, puffertúlcsordulást okozó probléma lépett fel az SFNT-táblázatok kezelésekor. Egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget.

    CVE-azonosító

    CVE-2011-0177 : Marc Schoenefeld (Red Hat Security Response Team)

  • bzip2

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor, ha a bzip2 vagy bunzip2 parancssoros eszközt használták a bzip2-fájlok tömörítésére.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a bzip2 tömörített fájlok bzip2 általi kezelésekor. Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor, ha a bzip2 vagy bunzip2 parancssoros eszközt használták a bzip2-fájlok tömörítésére.

    CVE-azonosító

    CVE-2010-0405

  • CarbonCore

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Az FSFindFolder() API-t a kTemporaryFolderType jelölővel használó alkalmazások esetén helyileg nyilvánosságra kerülhetnek az információk.

    Leírás: A kTemporaryFolderType jelölővel való használat során az FSFindFolder() API általánosan olvasható könyvtárat ad vissza. A hibát olyan könyvtár visszaadásával hárították el, amely csak a folyamatot futtató felhasználó által olvasható.

    CVE-azonosító

    CVE-2011-0178

  • ClamAV

    A következőkhöz érhető el: Mac OS X Server 10.5.8, Mac OS X Server 10.6.6

    Érintett terület: Több biztonsági rés a ClamAV szoftverben.

    Leírás: Több biztonsági rés volt a ClamAV szoftverben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtásához vezethet. Ez a frissítés a ClamAV 0.96.5-ös verziójára való frissítéssel hárítja el a hibát. A ClamAV kizárólag a Mac OS X Server rendszerekhez érhető el. További információkat a ClamAV webhelyén talál a következő címen: http://www.clamav.net/.

    CVE-azonosító

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülési hiba lépett fel a CoreText-fájlok kezelésekor. Egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtására adott lehetőséget.

    CVE-azonosító

    CVE-2011-0179 : Christoph Diehl (Mozilla)

  • Fájlkarantén

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Definíció hozzáadása

    Leírás: Az OSX.OpinionSpy definíció bekerült a kártékony szoftverek Fájlkarantén által végzett ellenőrzésébe.

  • HFS

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: A helyi felhasználók olvasni tudtak tetszőleges fájlokat a HFS, HFS+ és HFS+J fájlrendszerben.

    Leírás: Egészszám-túlcsordulási probléma lépett fel az F_READBOOTSTRAP ioctl kezelésekor. A helyi felhasználók olvasni tudtak tetszőleges fájlokat a HFS, HFS+ és HFS+J fájlrendszerben.

    CVE-azonosító

    CVE-2011-0180 : Dan Rosenberg (Virtual Security Research)

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG-képek ImageIO általi kezelésével összefüggésben. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

     

    CVE-azonosító

    CVE-2011-0170 : Andrzej Dyjak (az iDefense VCP munkatársaként)

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XBM-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Egészszám-túlcsordulási probléma lépett fel az XBM-képek ImageIO általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott XBM-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-0181 : Harry Sintonen

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG kódolású TIFF-képfájlok libTIFF általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-0191 : Apple

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a CCITT Group 4 kódolású TIFF-képfájlok libTIFF általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-0192 : Apple

  • ImageIO

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott, JPEG kódolású TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a JPEG kódolású TIFF-képek ImageIO általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2011-0194 : Dominic Chell (NGS Secure)

  • Image RAW

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Canon RAW-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Több, puffertúlcsordulást okozó probléma lépett fel a Canon RAW-képek Image RAW általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott Canon RAW-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2011-0193 : Paul Harrington (NGS Secure)

  • Telepítő

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén olyan ügynök telepítésére került sor, amely kapcsolatba lépett egy tetszőleges kiszolgálóval, amikor a felhasználó bejelentkezett, aminek következtében a felhasználó tévesen azt gondolhatta, hogy az Apple-lel létesített kapcsolatot.

    Leírás: Az Install Helper esetén URL-feldolgozási hiba állt fenn, amely miatt olyan ügynök telepítésére kerülhetett sor, amely kapcsolatba lépett egy tetszőleges kiszolgálóval, amikor a felhasználó bejelentkezett. A kapcsolódási hiba nyomán megjelenő párbeszédpanel alapján a felhasználói azt gondolhatta, hogy az Apple-lel létesített kapcsolatot. Az Install Helper eltávolításával hárították el a hibát.

    CVE-azonosító

    CVE-2011-0190 : Aaron Sigel (vtty.com)

  • Kerberos

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Több biztonsági rés az MIT Kerberos 5 esetén.

    Leírás: Több titkosítási probléma állt fenn az MIT Kerberos 5 esetén. Csak a CVE-2010-1323 érinti a Mac OS X 10.5 rendszert. A MIT Kerberos webhelyén bővebb információk találhatók a problémákról és az alkalmazott javításokról (http://web.mit.edu/Kerberos/).

    CVE-azonosító

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Jogosultságellenőrzési hiba állt fenn a híváskapuk (call gate) i386_set_ldt rendszerhívás általi kezelésekor. A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani. Azáltal hárították el a hibát, hogy letiltották a híváskapu-bejegyzések i386_set_ldt() keresztüli létrehozását.

    CVE-azonosító

    CVE-2011-0182 : Jeff Mears

  • Libinfo

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni NFS fájlrendszereket exportáló hosztokon.

    Leírás: Az NFS RPC csomagok Libinfo általi kezelésekor egészszám-csonkolási hiba lépett fel. A távoli támadók elő tudták idézni, hogy az NFS RPC szolgáltatások – például lockd, statd, mountd és portmap – ne reagáljanak.

    CVE-azonosító

    CVE-2011-0183 : Peter Schwenk (University of Delaware)

  • libxml

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülési hiba állt fenn az XPath libxml általi kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    CVE-azonosító

    CVE-2010-4008 : Bui Quang Minh (Bkis; www.bkis.com)

  • libxml

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Kétszeres felszabadítást előidéző hiba lépett fel az XPath-kifejezések libxml általi kezelésekor. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatása esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2010-4494 : Yang Dingning (NCNIPC, a Kínai Tudományos Akadémia továbbképző egyeteme)

  • Mailman

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Több biztonsági rés a Mailman 2.1.13-as verziójában.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos problémák álltak fenn a Mailman 2.1.13-as verziójában. A Mailman 2.1.14-es verziójára való frissítéssel háríthatók el a problémák. A Mailman webhelyén találhatók bővebb információk: http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

    CVE-azonosító

    CVE-2010-3089

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Több biztonsági rés a PHP 5.3.3-as verziójában.

    Leírás: A PHP az 5.3.4-es verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb tetszőleges kód végrehajtását tette lehetővé. További információkat a PHP webhelyén talál a következő címen: http://www.php.net/.

    CVE-azonosító

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Érintett terület: Több biztonsági rés a PHP 5.2.14-es verziójában.

    Leírás: A PHP az 5.2.15-ös verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb tetszőleges kód végrehajtását tette lehetővé. További információkat a PHP webhelyén talál a következő címen: http://www.php.net/.

    CVE-azonosító

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Excel-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az Excel-fájlok QuickLook általi kezelésekor. Előfordult, hogy az Excel-fájlok letöltése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2011-0184 : Tobias Klein (a Verisign iDefense Labs munkatársaként)

  • QuickLook

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülési hiba állt fenn a Microsoft Office-fájlok QuickLook általi kezelésében. Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    CVE-azonosító

    CVE-2011-1417 : Charlie Miller és Dion Blazakis (a TippingPoint Zero Day Initiative kezdeményezésének közreműködői)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG2000-fájlok QuickTime segítségével való megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési probléma is fellépett a JPEG2000-képek QuickTime általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott JPEG2000-fájlok QuickTime segítségével való megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    CVE-azonosító

    CVE-2011-0186 : Will Dormann (CERT/CC)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a filmfájlok QuickTime általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A Mac OS X 10.5 esetén a QuickTime 7.6.9 hárítja el a problémát.

    CVE-azonosító

    CVE-2010-4009 : Honggang Ren (FortiGuard Labs, Fortinet)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott FlashPix-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel a FlashPix-fájlok QuickTime általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott FlashPix-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A Mac OS X 10.5 esetén a QuickTime 7.6.9 hárítja el a problémát.

    CVE-azonosító

    CVE-2010-3801 : Damian Put (a TippingPoint Zero Day Initiative kezdeményezésének közreműködője) és Rodrigo Rubira Branco (Check Point Vulnerability Discovery Team)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatásakor nyilvánosságra kerültek egy másik webhely videoadatai.

    Leírás: Kereszteredet-probléma állt fenn, amikor a QuickTime bővítménye kezelte a webhelyközi átirányításokat. Előfordult, hogy egy ártó szándékkal létrehozott webhely meglátogatásakor nyilvánosságra kerültek egy másik webhely videoadatai. A hibát annak megakadályozásával hárították el, hogy a QuickTime követni tudja a webhelyközi átirányításokat.

    CVE-azonosító

    CVE-2011-0187 : Nirankush Panchbhai és a Microsoft Vulnerability Research (MSVR)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QTVR-filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba állt fenn a QTVR (QuickTime Virtual Reality) videofájlokban lévő panorámaatomok QuickTime általi kezelésekor. Előfordult, hogy az ártó szándékkal létrehozott QTVR-filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor. A Mac OS X 10.5 esetén a QuickTime 7.6.9 hárítja el a problémát.

    CVE-azonosító

    CVE-2010-3802 : Anonim kutató a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként

  • Ruby

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor egy olyan Ruby-parancsfájl futtatásakor, amely nem megbízható bemenet segítségével hozott létre BigDecimal-objektumot.

    Leírás: A Ruby BigDecimal osztályában egészszám-csonkolási hiba állt fenn. Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor egy olyan Ruby-parancsfájl futtatásakor, amely nem megbízható bemenet segítségével hozott létre BigDecimal-objektumot. A probléma csak a 64 bites Ruby-folyamatokat érinti.

    CVE-azonosító

    CVE-2011-0188 : Apple

  • Samba

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Ha aktiválva van az SMB-fájlmegosztás, a távoli támadók szolgáltatásmegtagadást vagy egy tetszőleges programkód végrehajtását tudták előidézni.

    Leírás: Verempuffer-túlcsordulást okozó probléma állt fenn a Windows biztonsági azonosítók Samba általi kezelésekor. Ha aktiválva van az SMB-fájlmegosztás, a távoli támadók szolgáltatásmegtagadást vagy egy tetszőleges programkód végrehajtását tudták előidézni.

    CVE-azonosító

    CVE-2010-3069

  • Subversion

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: A nem alapértelmezett „SVNPathAuthz short_circuit” mod_dav_svn konfigurációs beállítást használó Subversion kiszolgálók jogosulatlan felhasználóknak engedélyeztek hozzáférést a tárház egyes részeihez.

    Leírás: A nem alapértelmezett „SVNPathAuthz short_circuit” mod_dav_svn konfigurációs beállítást használó Subversion kiszolgálók jogosulatlan felhasználóknak engedélyeztek hozzáférést a tárház egyes részeihez. A Subversion 1.6.13-as verziójára való frissítéssel hárult el a hiba. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2010-3315

  • Terminal

    A következőkhöz érhető el: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Ha a felhasználó ssh protokollt használt a Terminal „New Remote Connection” (Új távoli kapcsolat) párbeszédpanelén, a rendszer az 1-es verziójú SSH protokollt választotta ki alapértelmezett protokollverzióként.

    Leírás: Ha a felhasználó ssh protokollt használt a Terminal „New Remote Connection” (Új távoli kapcsolat) párbeszédpanelén, a rendszer az 1-es verziójú SSH protokollt választotta ki alapértelmezett protokollverzióként. A hibát azáltal hárították el, hogy az alapértelmezett protokollverziót „Automatic” (Automatikus) értékre módosították. A probléma nem érinti a Mac OS X 10.6-os verziójánál korábbi rendszereket.

    CVE-azonosító

    CVE-2011-0189 : Matt Warren (HNW Inc.)

  • X11

    A következőkhöz érhető el: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Érintett terület: Több biztonsági rés a FreeType betűtípusmotorban

    Leírás: A FreeType betűtípusmotorban több biztonsági rés is jelen volt, melyek közül a legsúlyosabb tetszőleges kódvégrehajtást tudott előidézni az ártó szándékkal létrehozott betűtípusok feldolgozásakor. Ezeket a hibákat orvosolja a FreeType 2.4.4-es frissítés. További információkért látogasson el a FreeType webhelyére: http://www.freetype.org/ címen.

    CVE-azonosító

    CVE-2010-3814

    CVE-2010-3855

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: