Over de beveiligingsinhoud van OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 en Beveiligingsupdate 2012-004

Lees hier meer over de beveiligingsinhoud van OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 en Beveiligingsupdate 2012-004.

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 en Beveiligingsupdate 2012-004 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 en Beveiligingsupdate 2012-004

Opmerking: OS X Mountain Lion v10.8.2 bevat de inhoud van Safari 6.0.1. Voor meer informatie raadpleegt u Over de beveiligingsinhoud van Safari 6.0.1.

  • Apache

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: Apache is bijgewerkt naar versie 2.2.22 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: een externe aanvaller kan zorgen voor een weigering van service bij systemen die zijn geconfigureerd om BIND uit te voeren als een DNS-naamserver

    Beschrijving: er was een probleem met een bereikbare bewering bij de verwerking van DNS-records. Dit probleem is verholpen door bij te werken naar BIND 9.7.6-P1. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-4313

  • BIND

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4, OS X Mountain Lion v10.8 en v10.8.1

    Impact: een externe aanvaller kan zorgen voor een weigering van service, gegevensbeschadiging of vertrouwelijke gegevens verkrijgen uit procesgeheugen bij systemen die zijn geconfigureerd om BIND uit te voeren als een DNS-naamserver

    Beschrijving: er was een probleem met het geheugenbeheer bij de verwerking van DNS-records. Dit probleem is verholpen door bij te werken naar BIND 9.7.6-P1 op systemen met OS X Lion en naar BIND 9.8.3-P1 op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: programma’s die CoreText gebruiken zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bounds checking-probleem bij de verwerking van schrifttekens. Dit kan leiden tot het lezen van of schrijven naar geheugen buiten het bereik. Dit probleem is verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met Mac OS X v10.6 of OS X Mountain Lion.

    CVE-ID

    CVE-2012-3716: Jesse Ruderman van Mozilla Corporation

  • Gegevensbeveiliging

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4, OS X Mountain Lion v10.8 en v10.8.1

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

    Beschrijving: TrustWave, een certificaatautoriteit voor vertrouwde roots, heeft een certificaat van een subcertificaatautoriteit voor een vertrouwd ankerpunt uitgereikt en vervolgens herroepen. Deze subcertificaatautoriteit vergemakkelijkte de onderschepping van communicatie die is beveiligd via Transport Layer Security (TLS). Deze update voegt het desbetreffende certificaat van de subcertificaatautoriteit toe aan de lijst met niet-vertrouwde certificaten in OS X.

  • DirectoryService

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: als de DirectoryService Proxy wordt gebruikt, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop in de DirectoryService Proxy. Dit probleem is verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met OS X Lion en Mountain Lion.

    CVE-ID

    CVE-2012-0650: aazubel in samenwerking met het Zero Day Initiative van HP

  • ImageIO

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van PNG-afbeeldingen door libpng. Deze problemen zijn verholpen door een verbeterde validatie van PNG-afbeeldingen. Deze problemen zijn niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop van gehele getallen bij de verwerking van TIFF-afbeeldingen door libTIFF. Dit probleem is verholpen door een verbeterde validatie van TIFF-afbeeldingen. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-1173: Alexander Gavrun in samenwerking met HP's Zero Day Initiative

  • Installer

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: externe beheerders en personen met fysieke toegang tot het systeem kunnen accountinformatie verkrijgen

    Beschrijving: de verbetering voor CVE-2012-0652 in OS X Lion 10.7.4 verhinderde dat gebruikerswachtwoorden werden opgenomen in het systeemlog maar verwijderde de oude vermeldingen in het log niet. Dit probleem is verholpen door logbestanden met wachtwoorden te verwijderen. Dit probleem is niet van invloed op systemen met Mac OS X 10.6 of OS X Mountain Lion.

    CVE-ID

    CVE-2012-0652

  • ICU

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een stackbufferoverloop bij de verwerking van ICU locale-ID’s. Dit probleem is verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-4599

  • Kernel

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: een kwaadwillig vervaardigd programma kan de sandbox-beperkingen omzeilen

    Beschrijving: er was een logisch probleem bij de verwerking van het opsporen van fouten met systeemaanroepen. Hierdoor kan een kwaadwillig vervaardigd programma code uitvoeren in andere programma’s met dezelfde gebruikersbevoegdheden. Dit probleem is verholpen door de verwerking van adressen in PT_STEP en PT_CONTINUE uit te schakelen. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-0643: iOS Jailbreak Dream Team

  • Inlogvenster

    Beschikbaar voor: OS X Mountain Lion v10.8 en v10.8.1

    Impact: een lokale gebruiker kan het inlogwachtwoord van een andere gebruiker verkrijgen

    Beschrijving: een door de gebruiker geïnstalleerde invoermethode kan toetsaanslagen van wachtwoorden onderscheppen in het inlogvenster of het venster om de schermbeveiliging te ontgrendelen. Dit probleem is verholpen door ervoor te zorgen dat door de gebruiker geïnstalleerde methoden niet worden gebruikt wanneer het systeem inloggegevens hanteert.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een e-mailbericht kan leiden tot het uitvoeren van webplugins

    Beschrijving: er was een fout bij de validatie van invoer bij de verwerking van ingebedde webplugins door Mail. Dit probleem is verholpen door plugins van andere fabrikanten in Mail uit te schakelen. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-3719: Will Dormann van de CERT/CC

  • Mobiele accounts

    Beschikbaar voor: OS X Mountain Lion v10.8 en v10.8.1

    Impact: een gebruiker met toegang tot de inhoud van een mobiele account kan het wachtwoord van de account verkrijgen

    Beschrijving: het aanmaken van een mobiele account bewaarde een hash van het wachtwoord in de account die werd gebruikt om in te loggen wanneer de mobiele account werd gebruikt als een externe account. De wachtwoordhash kon worden gebruikt om het wachtwoord van de gebruiker te bepalen. Dit probleem is verholpen door de wachtwoordhash alleen aan te maken als externe accounts zijn ingeschakeld in het systeem waarop de mobiele account wordt aangemaakt.

    CVE-ID

    CVE-2012-3720: Harald Wagener van Google, Inc.

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4, OS X Mountain Lion v10.8 en v10.8.1

    Impact: meerdere kwetsbaarheden in PHP

    Beschrijving: >PHP wordt bijgewerkt naar versie 5.3.15 om meerdere kwetsbaarheden op te lossen, waarvan het ernstigste probleem kan leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: PHP-scripts die gebruikmaken van libpng zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van PNG-bestanden. Dit probleem is verholpen door PHP’s kopie van libpng bij te werken naar versie 1.5.10. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-3048

  • Profielbeheer

    Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.4

    Impact: een geïdentificeerde gebruiker kon beheerde apparaten opsommen

    Beschrijving: er was een probleem met de identiteitscontrole in de private interface van Apparaatbeheer. Dit probleem is verholpen door de interface te verwijderen.

    Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-3721: Derick Cassidy van XEquals Corporation

  • QuickLook

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigd pict-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van PICT-bestanden. Dit probleem is verholpen door een verbeterde validatie van PICT-bestanden. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) van de Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop van gehele getallen bij de verwerking van sean-atomen door QuickTime. Dit probleem is verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-0670: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van Sorenson-gecodeerde filmbestanden. Dit probleem is verholpen met een verbeterde geheugeninitialisatie. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-3722: Will Dormann van de CERT/CC

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferverloop bij de verwerking van RLE-gecodeerde filmbestanden. Dit probleem is verholpen door middel van verbeterde bounds checking. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-0668: Luigi Auriemma in samenwerking met het Zero Day Initiative van HP

  • Ruby

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. De module Ruby OpenSSL schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem is verholpen door lege fragmenten in te schakelen. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2011-3389

  • USB

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.4, OS X Lion Server v10.7 t/m v10.7.4

    Impact: het aansluiten van een USB-apparaat kan leiden tot het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van USB-hub-beschrijvingen. Dit probleem is verholpen door een verbeterde verwerking van het beschrijvende veld bNbrPorts. Dit probleem is niet van invloed op systemen met OS X Mountain Lion.

    CVE-ID

    CVE-2012-3723: Andy Davis van NGS Secure

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: