Az OS X Lion 10.7.3 és a 2012-001-es biztonsági frissítés biztonsági tartalma

Az alábbi dokumentum az OS X Lion 10.7.3 és a 2012-001-es biztonsági frissítés biztonsági tartalmát ismerteti.

A dokumentum az OS X Lion 10.7.3 és a 2012-001-es biztonsági frissítés biztonsági tartalmát ismerteti, amelyek a Szoftverfrissítés funkció segítségével vagy az Apple letöltési oldaláról tölthetők le és telepíthetők.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információt.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
 

OS X Lion 10.7.3 és a 2012-001-es biztonsági frissítés

  • Címtár

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Magas hálózati jogosultságú támadó CardDAV-adatokat szerezhetett meg.

    Leírás: A Címtár SSL-támogatást biztosít a CardDAV eléréséhez. Visszalépési hiba miatt a Címtár titkosítás nélküli kapcsolatot kezdeményezett, ha a titkosított kapcsolat létrehozása nem sikerült. Magas hálózati jogosultságú támadó ezt kihasználva CardDAV-adatokhoz férhetett hozzá. A frissítés azzal küszöböli ki a problémát, hogy felhasználói jóváhagyás nélkül nem engedélyezi a titkosítás nélküli kapcsolatra történő váltást.

    CVE-azonosító

    CVE-2011-3444: Bernard Desruisseaux (Oracle)

  • Apache

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Több biztonsági rés az Apache alkalmazásban.

    Leírás: Az Apache a 2.2.21-es verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb szolgáltatásmegtagadáshoz vezethet. További információt az Apache webhelyén talál: http://httpd.apache.org/.

    CVE-azonosító

    CVE-2011-3348

  • Apache

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: Előfordultak az SSL 3.0 és a TLS 1.0 titkosítását érintő támadások, amikor egy rejtjelcsomag blokkrejtjelet használt CBC-módban. Az Apache letiltotta az „üres töredékek” elleni fellépést, amely elhárította ezeket a támadásokat. A frissítés azzal küszöböli ki a problémát, hogy konfigurációs paramétert biztosít az ilyen fellépés vezérléséhez, és alapértelmezés szerint engedélyezi.

    CVE-azonosító

    CVE-2011-3389

  • ATS

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott betűtípus Betűtárban történő megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az ATS a DFONT-fájlok Betűtárban történő megnyitásakor memóriakezelési hibát okozott.

    CVE-azonosító

    CVE-2011-3446: Will Dormann (CERT/CC)

  • CFNetwork

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Ártó szándékkal létrehozott webhelyek meglátogatása bizalmas adatok közzétételét eredményezhette.

    Leírás: A CFNetwork keretrendszerben a helytelen formájú URL-címek kezelésével kapcsolatos probléma állt fenn. Előfordult, hogy ártó szándékkal létrehozott URL-címek elérésekor a CFNetwork a kérelmet rossz forráskiszolgálóhoz küldte. A probléma nem érinti az OS X Lion előtti rendszereket.

    CVE-azonosító

    CVE-2011-3246: Erling Ellingsen (Facebook)

  • CFNetwork

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Ártó szándékkal létrehozott webhelyek meglátogatása bizalmas adatok közzétételét eredményezhette.

    Leírás: A CFNetwork keretrendszerben a helytelen formájú URL-címek kezelésével kapcsolatos probléma állt fenn. Ártó szándékkal létrehozott URL-címek megnyitásakor előfordulhatott, hogy a CFNetwork váratlan kérésfejléceket küldött. A probléma nem érinti az OS X Lion előtti rendszereket.

    CVE-azonosító

    CVE-2011-3447: Erling Ellingsen (Facebook)

  • ColorSync

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, ColorSync-profillal rendelkező képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Egészszám-túlcsordulási probléma állt fenn a ColorSync-profillal rendelkező képek kezelésével kapcsolatban, ami esetenként puffertúlcsorduláshoz vezetett. Ez a hiba az OS X Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-0200: binaryproof (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • CoreAudio

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott audiotartalmak lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az AAC-kódolású audio-adatfolyam kezelése kapcsán. Ez a hiba az OS X Lion rendszereket nem érinti.

    CVE-azonosító

    CVE-2011-3252: Luigi Auriemma (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • CoreMedia

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a H.264-kódolású filmfájlok kezelése kapcsán.

    CVE-azonosító

    CVE-2011-3448: Scott Stender (iSEC Partners)

  • CoreText

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A betűtípusfájlok kezelésében felszabadítás utáni használattal kapcsolatos probléma állt fenn.

    CVE-azonosító

    CVE-2011-3449: Will Dormann (CERT/CC)

  • CoreUI

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékú webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A hosszú URL-címek kezelésében korlátlan veremfelosztási probléma állt fenn. A probléma nem érinti az OS X Lion előtti rendszereket.

    CVE-azonosító

    CVE-2011-3450: Ben Syverson

  • curl

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy távoli kiszolgáló GSSAPI-kérelmeken keresztül kliensadatokat tudott megszerezni.

    Leírás: GSSAPI-hitelesítéskor a libcurl feltétel nélkül delegált hitelesítő adatokat. A problémát a GSSAPI hitelesítő adatok delegálását végző folyamatának letiltása küszöböli ki.

    CVE-azonosító

    CVE-2011-2192

  • Adatbiztonság

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Magas hálózati jogosultságú támadó felhasználói hitelesítő adatokat vagy egyéb bizalmas információkat tudott megszerezni.

    Leírás: A megbízható gyökértanúsítványok listájában szereplő két tanúsítványkiadó központ egymástól függetlenül köztes tanúsítványt bocsátott ki a DigiCert Malaysia számára. A DigiCert Malaysia gyenge kulcsokkal bocsátott ki tanúsítványokat, amelyeket nem tudott visszahívni. Magas hálózati jogosultságú támadó meg tudta szerezni a DigiCert Malaysia által kiadott tanúsítvánnyal rendelkező webhelyeknek szánt felhasználói hitelesítő adatokat vagy egyéb bizalmas információkat. A frissítés azzal küszöböli ki a problémát, hogy a rendszer alapértelmezett megbízhatósági beállításaiban a DigiCert Malaysia tanúsítványait nem megbízhatóként minősíti. Köszönjük Bruce Mortonnak (Entrust) hogy bejelentést tett erről a problémáról.

  • dovecot

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: Előfordultak az SSL 3.0 és a TLS 1.0 titkosítását érintő támadások, amikor egy rejtjelcsomag blokkrejtjelet használt CBC-módban. A dovecot letiltotta az „üres töredékek” elleni fellépést, amely elhárította ezeket a támadásokat. A problémát a fellépés engedélyezése küszöböli ki.

    CVE-azonosító

    CVE-2011-3389: Apple

  • filecmds

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott tömörített fájl kitömörítésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Az „uncompress” parancssori eszköz alkalmazásakor puffertúlcsordulás történt.

    CVE-azonosító

    CVE-2011-2895

  • ImageIO

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A libtiff könyvtárban a ThunderScan kódolású TIFF-képfájlok kezelésével összefüggő puffer-túlcsordulásos probléma állt fenn. A problémát a libtiff 3.9.5-ös verzióra való frissítése küszöböli ki.

    CVE-azonosító

    CVE-2011-1167

  • ImageIO

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Több biztonsági rés a libpng 1.5.4-es verziójában.

    Leírás: A libpng 1.5.5-ös verzióra történő frissítése megszünteti a biztonsági réseket, amelyek közül a legsúlyosabb tetszőleges kód végrehajtásához vezethetett. További részletek a libpng webhelyén: http://www.libpng.org/pub/png/libpng.html

    CVE-azonosító

    CVE-2011-3328

  • Internetmegosztás

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy a rendszer frissítése után elvesztek az Internetmegosztással létrehozott Wi-Fi hálózat biztonsági beállításai.

    Leírás: Az OS X Lion 10.7.3-nál korábbi verzióra történő frissítése után előfordult, hogy az Internetmegosztás által alkalmazott Wi-Fi beállítás visszaállt az alapértelmezett gyári értékekre, ami a WEP-jelszó letiltását eredményezte. Ez a probléma csak az Internetmegosztás funkciót engedélyező, és a kapcsolatot Wi-Fi hálózaton megosztó rendszereket érinti. A frissítés a problémát azzal küszöböli ki, hogy megőrzi a Wi-Fi beállításokat a rendszerfrissítés során.

    CVE-azonosító

    CVE-2011-3452: ismeretlen kutató

  • Libinfo

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Ártó szándékkal létrehozott webhelyek meglátogatása bizalmas adatok közzétételét eredményezhette.

    Leírás: Probléma állt fenn azzal kapcsolatban, ahogy a Libinfo a hosztnévkeresési kérelmeket kezelte. Előfordult, hogy ártó szándékkal létrehozott hosztneveknél a Libinfo hibás eredményt adott vissza. A probléma nem érinti az OS X Lion előtti rendszereket.

    CVE-azonosító

    CVE-2011-3441: Erling Ellingsen (Facebook)

  • libresolv

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Az OS X libresolv könyvtárát használó alkalmazások sebezhetőek voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben.

    Leírás: Egészszám-túlcsordulási probléma állt fenn a DNS-erőforrásrekordok elemzésével kapcsolatban, amely alkalmazásmemória-sérüléshez vezethetett.

    CVE-azonosító

    CVE-2011-3453: Ilja van Sprundel (IOActive)

  • libsecurity

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Egyes EV-tanúsítványoknál előfordult, hogy megbízható minősítést kaphattak akkor is, ha a megfelelő gyökeret korábban nem megbízhatónak jelölték.

    Leírás: A tanúsítványkód elfogadta olyan gyökértanúsítvány EV-tanúsítványát, amely szerepelt ugyan az ismert EV-kibocsátók listáján, de a felhasználó a Kulcskarikában „Soha ne legyen megbízható” minősítéssel látta el. A gyökér a továbbiakban nem adhat megbízható aláírást nem-EV tanúsítványokhoz.

    CVE-azonosító

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy az OS X OpenGL-implementációját használó alkalmazások sebezhetők voltak a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben.

    Leírás: A GLSL-shaderek fordításának kezelésével összefüggésben több, memóriahibát előidéző probléma állt fenn.

    CVE-azonosító

    CVE-2011-3457: Chris Evans (a Google Chrome biztonsági csapatának tagja) és Marc Schoenefeld (a Red Hat biztonsági problémák elhárításáért felelős csapatának tagja)

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Több biztonsági rés a PHP 5.3.6-os verziójában.

    Leírás: A PHP az 5.3.8-as verzióra frissül több biztonsági rés megszüntetése érdekében, amelyek közül a legsúlyosabb tetszőleges kód végrehajtását tette lehetővé. További információt a PHP webhelyén talál: http://www.php.net

    CVE-azonosító

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A FreeType memóriasérülési hibába ütközött a Type 1 formátumú betűtípusok kezelése során. E problémát a FreeType 2.4.7-es verziójára való frissítés küszöböli ki. További információért látogasson el a FreeType webhelyére: http://www.freetype.org/.

    CVE-azonosító

    CVE-2011-3256: Apple

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Több biztonsági rés a libpng 1.5.4-es verziójában.

    Leírás: A libpng 1.5.5-ös verzióra történő frissítése megszünteti a biztonsági réseket, amelyek közül a legsúlyosabb tetszőleges kód végrehajtásához vezethetett. További részletek a libpng webhelyén: http://www.libpng.org/pub/png/libpng.html

    CVE-azonosító

    CVE-2011-3328

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott MP4 kódolású fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az MP4 kódolású fájlok kezelése kapcsán nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn.

    CVE-azonosító

    CVE-2011-3458: Luigi Auriemma és pa_kt (a TippingPoint Zero Day Initiative kezdeményezésének közreműködői)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Aláírási hiba állt fenn a QuickTime-filmfájlokba ágyazott betűkészlettáblák kezelése kapcsán.

    CVE-azonosító

    CVE-2011-3248: Luigi Auriemma (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: A QuickTime-filmfájlok rdrf-atomjainak kezelése kapcsán egybájtos puffertúlcsordulást okozó probléma állt fenn.

    CVE-azonosító

    CVE-2011-3459: Luigi Auriemma (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott JPEG2000-képek megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulás történt a JPEG2000-fájlok kezelése során.

    CVE-azonosító

    CVE-2011-3250: Luigi Auriemma (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Az ártó szándékkal létrehozott PNG-fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethetett.

    Leírás: Puffertúlcsordulás történt a PNG-fájlok kezelése során.

    CVE-azonosító

    CVE-2011-3460: Luigi Auriemma (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott filmfájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulás történt az FLC-kódolású filmfájlok kezelése során.

    CVE-azonosító

    CVE-2011-3249: Matt „j00ru” Jurczyk (a TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)

  • SquirrelMail

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: A SquirrelMail több biztonsági rése.

    Leírás: A SquirrelMail 1.4.22-es verzióra történő frissítése számos biztonsági rést kiküszöbölt, amelyek közül a legsúlyosabb webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé. Ez a hiba az OS X Lion rendszereket nem érinti. További részletek a SquirrelMail webhelyén: http://www.SquirrelMail.org/

    CVE-azonosító

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy Subversion-adattár elérésekor bizalmas adatok kerültek nyilvánosságra.

    Leírás: A Subversion 1.6.17-es verzióra történő frissítése több biztonsági részt is kiküszöbölt, amelyek közül a legsúlyosabb bizalmas adatok közzétételéhez vezethetett. További információ a Subversion webhelyén: http://subversion.apache.org/.

    CVE-azonosító

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy távoli támadó hozzáfért a felhasználó rendszere által készített új biztonsági mentésekhez.

    Leírás: A felhasználó távoli AFP-kötetet vagy Time Capsule eszközt jelölhet ki a Time Machine biztonsági mentéseihez. A Time Machine nem ellenőrizte, hogy az egymást követő biztonsági mentések ugyanarra az eszközre kerültek-e. A távoli kötet hamisítására képes támadó hozzá tudott férni a felhasználó rendszere által készített új biztonsági mentésekhez. A frissítés a problémát a biztonsági mentéshez használt lemez egyedi azonosítójának ellenőrzésével küszöböli ki.

    CVE-azonosító

    CVE-2011-3462: Michael Roitzsch (Technische Universität Dresden)

  • Tomcat

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: A Tomcat 6.0.32-es verziója több biztonsági rést is tartalmazott.

    Leírás: A Tomcat 6.0.33-as verzióra történő frissítése több biztonsági részt is kiküszöbölt, melyek közül a legsúlyosabb bizalmas adatok közzétételéhez vezethetett. A Tomcat kizárólag a Mac OS X Server rendszerekhez érhető el. Ez a hiba az OS X Lion rendszereket nem érinti. További részletek a Tomcat webhelyén: http://tomcat.apache.org/

    CVE-azonosító

    CVE-2011-2204

  • WebDAV Sharing

    A következőkhöz érhető el: OS X Lion Server 10.7–10.7.2

    Érintett terület: Helyi felhasználók rendszerjogosultságot szerezhettek.

    Leírás: Hiba történt a WebDAV Sharing funkció felhasználói hitelesítése során. Előfordult, hogy a kiszolgálóhoz vagy valamely kapcsolt könyvtárához érvényes fiókkal rendelkező felhasználó rendszerjogosultságokkal tudott tetszőleges kódot végrehajtani. A probléma nem érinti az OS X Lion előtti rendszereket.

    CVE-azonosító

    CVE-2011-3463: Gordon Davisson (Crywolf)

  • Webmail

    A következőkhöz érhető el: OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Ártó szándékkal létrehozott e-mail üzenetek megtekintése során az üzenetek tartalma nyilvánosságra kerülhetett.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos sebezhetőség állt fenn az e-mail üzenetek kezelésében. A Roundcube Webmail 0.6-os verziójára történő frissítés kiküszöböli a problémát. A hiba nem érinti az OS X Lion előtti rendszereket. További részletek a Roundcube webhelyén: http://trac.roundcube.net/

    CVE-azonosító

    CVE-2011-2937

  • X11

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.2, OS X Lion Server 10.7–10.7.2

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A FreeType memóriasérülési hibába ütközött a Type 1 formátumú betűtípusok kezelése során. E problémát a FreeType 2.4.7-es verziójára való frissítés küszöböli ki. További információért látogasson el a FreeType webhelyére: http://www.freetype.org/.

    CVE-azonosító

    CVE-2011-3256: Apple

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: