Informatie over de beveiligingsinhoud van Mac OS X v10.6.8 en Beveiligingsupdate 2011-004

In dit document wordt de beveiligingsinhoud van Mac OS X v10.6.8 en Beveiligingsupdate 2011-004 beschreven.

Deze update kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

Mac OS X v10.6.8 en Beveiligingsupdate 2011-004

  • AirPort

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld

    Beschrijving: er was een probleem met het lezen van geheugen buiten het bereik bij de verwerking van Wi-Fi-frames. Een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld. Dit probleem is niet van invloed op Mac OS X v10.6

    CVE-ID

    CVE-2011-0196

  • App Store

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het wachtwoord van de Apple ID van de gebruiker is mogelijk geregistreerd in een lokaal bestand

    Beschrijving: in bepaalde gevallen kan de App Store het wachtwoord van de Apple ID van de gebruiker registreren in een bestand dat niet kan worden gelezen door andere gebruikers in het systeem. Dit probleem wordt verholpen door een verbeterde verwerking van inloggegevens.

    CVE-ID

    CVE-2011-0197: Paul Nelson

  • ATS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van TrueType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld van het Red Hat Security Response Team

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

    Beschrijving: er was een foutieve afhandeling in het certificaatvertrouwensbeleid. Als een Extended Validation (EV)-certificaat geen OCSP-url heeft en CRL-controle is ingeschakeld, wordt de CRL niet gecontroleerd en kan een ingetrokken certificaat worden geaccepteerd als geldig. Dit probleem is gematigd omdat de meeste EV-certificaten een OCSP-url opgeven.

    CVE-ID

    CVE-2011-0199: Chris Hawk en Wan-Teh Chang van Google

  • ColorSync

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel dat kan leiden tot een heapbufferoverloop. Het openen van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint

  • CoreFoundation

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: programma’s die gebruik maken van het CoreFoundation-framework zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een ‘off-by-one’-bufferoverloop bij de verwerking van CFStrings. Programma’s die gebruik maken van het CoreFoundation-framework zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van Type 1-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0202: Cristian Draghici van Modulo Consulting, Felix Grobert van het Google Security Team

  • FTP-server

    Beschikbaar voor: Mac OS X Server v10.6 t/m v10.6.7

    Impact: een persoon met FTP-toegang kan mogelijk een lijst met bestanden van het systeem weergeven

    Beschrijving: er was een probleem met de validatie van het pad in xftpd. Een persoon met FTP-toegang kan een recursieve lijst met mappen vanaf het rootniveau opvragen, inclusief mappen die niet worden gedeeld voor FTP. De lijst vermeldt eventueel bestanden die toegankelijk zijn voor de FTP-gebruiker. De inhoud van bestanden wordt niet vrijgegeven. Dit probleem wordt verholpen door een verbeterde validatie van paden. Dit probleem is alleen van invloed op systemen met Mac OS X Server.

    CVE-ID

    CVE-2011-0203: team karlkani

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van TIFF-afbeeldingen door ImageIO. het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0204: Dominic Chell van NGS Secure

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij het verwerken van JPEG2000-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0205: Harry Sintonen

  • ICU

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van tekenreeksen in hoofdletters door ICU. programma’s die gebruik maken van ICU zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0206: David Bienvenu van Mozilla

  • Kernel

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld

    Beschrijving: er was een null-dereferentie bij de verwerking van IPV6-socketopties. Een lokale gebruiker kan ervoor zorgen dat het systeem opnieuw wordt ingesteld.

    CVE-ID

    CVE-2011-1132: Thomas Clement van Intego

  • Libsystem

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: programma’s die gebruik maken van de glob(3) API zijn mogelijk kwetsbaar voor een serviceweigering

    Beschrijving: programma’s die gebruik maken van de glob(3) API zijn mogelijk kwetsbaar voor een serviceweigering. Als het glob-patroon uit een niet-vertrouwde invoer afkomstig is, kan het programma blokkeren of een te groot aantal CPU-bronnen gebruiken. Dit probleem wordt verholpen met een verbeterde validatie van glob-patronen.

    CVE-ID

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap

    Beschrijving: libxslt’s implementatie van de generate-id() XPath-functie gaf het adres van een heapbuffer vrij. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de vrijgave van adressen op de heap. Dit probleem wordt verholpen door een ID te genereren op basis van het verschil tussen de adressen van twee heapbuffers.

    CVE-ID

    CVE-2011-0195: Chris Evans van het Google Chrome Security Team

  • MobileMe

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan MobileMe-e-mailaliassen van gebruikers lezen

    Beschrijving: bij de communicatie met MobileMe om de e-mailaliassen van een gebruiker te bepalen, zal Mail verzoeken via HTTP sturen. Hierdoor kan een aanvaller met een geprivilegieerde netwerkpositie de MobileMe-e-mailaliassen van gebruikers lezen. Dit probleem wordt verholpen door SSL te gebruiken om toegang te hebben tot de e-mailaliassen van gebruikers.

    CVE-ID

    CVE-2011-0207: Aaron Sigel van vtty.com

  • MySQL

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 t/m v10.6.7

    Impact: meerdere kwetsbaarheden in MySQL 5.0.91

    Beschrijving: MySQL is bijgewerkt naar versie 5.0.92 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. MySQL wordt alleen geleverd bij Mac OS X Server-systemen.

    CVE-ID

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: er waren meerdere kwetsbaarheden in OpenSSL waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen worden verholpen door OpenSSL bij te werken naar versie 0.9.8r.

    CVE-ID

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • patch

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: patch uitvoeren op een kwaadwillig vervaardigd patchbestand kan leiden tot het maken of overschrijven van willekeurige bestanden

    Beschrijving: er was een ‘directory traversal’-probleem in GNU-patch. Patch uitvoeren op een kwaadwillig vervaardigd patchbestand kan leiden tot het maken of overschrijven van willekeurige bestanden. Dit probleem wordt verholpen door een verbeterde validatie van patchbestanden.

    CVE-ID

    CVE-2010-4651

  • QuickLook

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2011-0208: Tobias Klein in samenwerking met iDefense VCP

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigd WAV-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van RIFF WAV-bestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd WAV-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0209: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van voorbeeldtabellen in QuickTime-filmbestanden door QuickTime. het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0210: Honggang Ren van Fortinet’s FortiGuard Labs

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van filmbestanden door QuickTime. het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0211: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de afhandeling van PICT-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-3790: Subreption LLC in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JPEG-bestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0213: Luigi Auriemma in samenwerking met iDefense

  • Samba

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code

    Beschrijving: er was een stackbufferoverloop in de verwerking van Windows Security ID’s door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code. Voor systemen met Mac OS X v10.6 wordt dit probleem verholpen in Mac OS X 10.6.7.

    CVE-ID

    CVE-2010-3069

  • Samba

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bestandsbeschrijvingen door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0719: Volker Lendecke van SerNet

  • servermgrd

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6 t/m v10.6.7

    Impact: een externe aanvaller kan mogelijk willekeurige bestanden op het systeem lezen

    Beschrijving: er is een ‘XML External Entity’-probleem bij de verwerking van XML-RPC-verzoeken door servermgrd. Dit probleem wordt verholpen door de XML-RPC-interface van servermgrd te verwijderen. Dit probleem is alleen van invloed op systemen met Mac OS X Server.

    CVE-ID

    CVE-2011-0212: Apple

  • subversion

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.7, Mac OS X Server v10.6 t/m v10.6.7

    Impact: als een http-gebaseerd Subversion-server is ingesteld, kan een externe aanvaller zorgen voor een weigering van service

    Beschrijving: er was een null-dereferentie bij Subversion’s verwerking van vergrendelingstokens die via HTTP zijn verstuurd. Als een http-gebaseerde Subversion-server is ingesteld, kan een externe aanvaller zorgen voor een weigering van service. Voor systemen met Mac OS X v10.6 is Subversion bijgewerkt naar versie 1.6.6. Voor systemen met Mac OS X v10.5.8 wordt het probleem verholpen door extra validatie van vergrendelingstokens. Verdere informatie is beschikbaar via de Subversion-website op http://subversion.apache.org/.

    CVE-ID

    CVE-2011-0715

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: