Informatie over de beveiligingsinhoud van OS X Lion v10.7.2 en Beveiligingsupdate 2011-006

In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.2 en Beveiligingsupdate 2011-006 beschreven.

In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.2 en Beveiligingsupdate 2011-006 beschreven, die kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
 

OS X Lion v10.7.2 en Beveiligingsupdate 2011-006

  • Apache

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: Apache is bijgewerkt naar versie 2.2.20 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. CVE-2011-0419 is niet van invloed op systemen met OS X Lion. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/.

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Programma-firewall

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het uitvoeren van een binair bestand met een kwaadwillig vervaardigde naam kan leiden tot het uitvoeren van willekeurige code met verhoogde bevoegdheden

    Beschrijving: er was een kwetsbaarheid in een opmaaktekenreeks in de foutopsporingsregistratie van Programma-firewall.

    CVE-ID

    CVE-2011-0185: een anonieme melder

  • ATS

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met ondertekening bij de verwerking van Type 1-letterypen in ATS. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3437

  • ATS

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een ongeoorloofde geheugentoegang bij de verwerking van Type 1-lettertypen in ATS. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0229: Will Dormann van de CERT/CC

  • ATS

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: programma’s die gebruikmaken van de ATSFontDeactivate-API zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop in de ATSFontDeactivate-API.

    CVE-ID

    CVE-2011-0230: Steven Michaud van Mozilla

  • BIND

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: meerdere kwetsbaarheden in BIND 9.7.3

    Beschrijving: er waren meerdere problemen met weigering van service in BIND 9.7.3. Deze problemen worden verholpen door BIND bij te werken naar versie 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in BIND

    Beschrijving: er waren meerdere problemen met weigering van service in BIND. Deze problemen worden verholpen door BIND bij te werken naar versie 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1.

    Impact: rootcertificaten zijn bijgewerkt

    Beschrijving: een aantal vertrouwde certificaten zijn toegevoegd aan de lijst met basiscertificaten. Een aantal bestaande certificaten zijn bijgewerkt naar de meest recente versie. De complete lijst met erkende basiscertificaten kan worden bekeken via de toepassing Sleutelhangertoegang.

  • CFNetwork

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: Safari bewaart mogelijk cookies waarvoor het geconfigureerd is om deze niet te aanvaarden

    Beschrijving: er was een synchronisatieprobleem bij de bewerking van het cookiebeleid in CFNetwork. De Safari-voorkeuren voor cookies worden mogelijk niet nageleefd, waardoor websites cookies kunnen plaatsen op het systeem die normaal worden geblokkeerd als de voorkeuren werden nageleefd. Deze update verhelpt het probleem met een verbeterde opslag van cookies.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Steve Riggins van Geeks R Us, Justin C. Walker en Stephen Creswell

  • CFNetwork

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

    Beschrijving: er was een probleem bij de verwerking van HTTP-cookies in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde HTTP- of HTTPS-URL kan CFNetwork de cookies voor een domein onterecht versturen naar een server buiten dat domein. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen van Facebook

  • CoreFoundation

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigde website of kwaadwillig vervaardigd e-mailbericht kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van de tokenisatie van de tekenreeks in CoreFoundation. Dit probleem is niet van invloed op systemen met OS X Lion. Deze update verhelpt het probleem door een verbeterde bounds checking.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van cross-site doorverwijzingen in CoreMedia. Dit probleem wordt verholpen door een verbeterde brontracering.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai en Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van QuickTime-filmbestanden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een persoon met fysieke toegang tot een systeem kan de schermvergrendeling deels omzeilen

    Beschrijving: een systeemvenster, zoals een VPN-wachtwoordprompt, dat verschijnt terwijl het scherm was vergrendeld heeft mogelijk toetsaanslagen aanvaard terwijl het scherm was vergrendeld. Dit probleem wordt verholpen door ervoor te zorgen dat systeemvensters geen toetsaanslagen verzoeken terwijl het scherm is vergrendeld. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-0260: Clint Tseng van de University of Washington, Michael Kobb en Adam Kemp

  • CoreStorage

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: omzetten naar FileVault wist niet alle bestaande gegevens

    Beschrijving: na de inschakeling van FileVault werd ongeveer 250 MB bij het begin van het volume niet gecodeerd op de schijf in een ongebruikt gebied. Alleen gegevens die zich op het volume bevonden voordat FileVault werd ingeschakeld, werden niet gecodeerd. Dit probleem wordt verholpen door dit gebied te wissen wanneer FileVault wordt ingeschakeld, en bij het eerste gebruik van een gecodeerd volume dat met dit probleem kampt. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3212: Judson Powers van ATC-NY

  • Bestandssystemen

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan HTTPS-servercertificaten manipuleren waardoor vertrouwelijke gegevens worden vrijgegeven

    Beschrijving: er was een probleem bij de verwerking van WebDAV-volumes op HTTPS-servers. Als de server een certificaatketen afleverde die niet automatisch kon worden geverifieerd, verscheen een waarschuwing en werd de verbinding verbroken. Als de gebruiker klikte op de knop ‘Ga door’ in de waarschuwing, werden alle certificaten aanvaard bij de volgende verbinding met die server. Een aanvaller in een geprivilegieerde netwerkpositie kon de verbinding hebben gemanipuleerd om vertrouwelijke gegevens te bemachtigen of om acties op de server namens de gebruiker te ondernemen. Deze update verhelpt het probleem door te controleren of het certificaat dat wordt ontvangen bij de tweede verbinding hetzelfde certificaat is dat oorspronkelijk werd afgeleverd aan de gebruiker.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: een persoon met fysieke toegang kan de schermvergrendeling omzeilen

    Beschrijving: er was een probleem met de schermvergrendeling wanneer deze werd gebruikt met Apple Cinema Displays. Wanneer een wachtwoord is vereist om het systeem uit de sluimerstand te halen, kan een persoon met fysieke toegang ervoor zorgen dat hij toegang verkrijgt tot het systeem zonder een wachtwoord in te voeren als het systeem zich in de sluimerstand voor het beeldscherm bevindt. Deze update verhelpt het probleem door ervoor te zorgen dat de schermvergrendeling juist is geactiveerd in de sluimerstand voor het beeldscherm. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat-server

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een externe aanvaller kan ervoor zorgen dat de Jabber-server een ongewoon groot aantal systeembronnen gebruikt

    Beschrijving: er was een probleem bij de verwerking van XML-externe entiteiten in jabberd2, een server voor het Extensible Messaging and Presence Protocol (XMPP). jabberd2 breidt externe entiteiten in inkomende verzoeken uit. Hierdoor kan een aanvaller zeer snel systeembronnen gebruiken, waardoor service aan legitieme gebruikers van de server wordt geweigerd. Deze update verhelpt het probleem door de uitbreiding van entiteiten in inkomende verzoeken uit te schakelen.

    CVE-ID

    CVE-2011-1755

  • Kernel

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een persoon met fysieke toegang heeft mogelijk toegang tot het wachtwoord van de gebruiker

    Beschrijving: een logische fout in de DMA-bescherming van de kernel liet firewire DMA bij het inlogvenster, opstarten en uitschakelen toe, hoewel niet bij de schermvergrendeling. Deze update verhelpt het probleem door firewire DMA te voorkomen bij alle toestanden waarbij de gebruiker niet is ingelogd.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • Kernel

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een niet-geprivilegieerde gebruiker kan bestanden van een andere gebruiker in een gedeelde directory verwijderen

    Beschrijving: er was in de kernel een logische fout bij de verwerking van bestandsverwijderingen in directories met sticky bit.

    CVE-ID

    CVE-2011-3216: Gordon Davisson van Crywolf, Linc Davis, R. Dormer en Allan Schmid en Oliver Jeckel van brainworks Training

  • libsecurity

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigde website of kwaadwillig vervaardigd e-mailbericht kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een foutieve afhandeling bij de parsering van een niet-standaard extensie voor een certificaatintrekkingslijst.

    CVE-ID

    CVE-2011-3227: Richard Godbee van Virginia Tech

  • Mailman

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in Mailman 2.1.14

    Beschrijving: er waren meerdere cross-site scripting-problemen in Mailman 2.1.14. Deze problemen worden verholpen door een verbeterde codering van tekens in HTML-uitvoer. Meer informatie is beschikbaar via de Mailman-site op http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het openen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van schijfkopieën. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een gebruiker kan wachtwoordgegevens van een andere lokale gebruiker lezen

    Beschrijving: er was een probleem met de toegangscontrole in Open Directory. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3435: Arek Dreyer van Dreyer Network Consultants, Inc en Patrick Dunstan van defenseindepth.net

  • Open Directory

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een gebruiker waarvan de identiteit is gecontroleerd kan het wachtwoord van die account wijzigen zonder het huidige wachtwoord op te geven

    Beschrijving: er was een probleem met de toegangscontrole in Open Directory. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3436: Patrick Dunstan van defenceindepth.net

  • Open Directory

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een gebruiker kan inloggen zonder een wachtwoord

    Beschrijving: wanneer Open Directory is gekoppeld aan een LDAPv3-server met RFC2307 of aangepaste koppelingen, zodat er geen kenmerk AuthenticationAuthority is voor een gebruiker, kan een LDAP-gebruiker inloggen zonder een wachtwoord. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3226: Jeffry Strunk van de University of Texas at Austin, Steven Eppler van Colorado Mesa University, Hugh Cole-Baker en Frederic Metoz van Institut de Biologie Structurale

  • PHP

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met ondertekening bij de verwerking van Type 1-letterypen in FreeType. Dit probleem wordt verholpen door FreeType bij te werken naar versie 2.4.6. Dit probleem is niet van invloed op systemen ouder dan OS X Lion. Meer informatie is te vinden op de website van FreeType op /http://www.freetype.org/.

    CVE-ID

    CVE-2011-0226

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: meerdere kwetsbaarheden in libpng 1.4.3

    Beschrijving: libpng is bijgewerkt naar versie 1.5.4 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in PHP 5.3.4

    Beschrijving: PHP is bijgewerkt naar versie 5.3.6 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code Deze problemen zijn niet van invloed op systemen met OS X Lion. Meer informatie is beschikbaar via de website van PHP op http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in Postfix

    Beschrijving: Postfix is bijgewerkt naar versie 2.5.14 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste ertoe kunnen leiden dat een aanvaller in een geprivilegieerde netwerkpositie de e-mailsessie kan manipuleren om vertrouwelijke gegevens uit het gecodeerde verkeer te bemachtigen. Deze problemen zijn normaal gesproken niet van invloed op systemen met OS X Lion. Meer informatie is beschikbaar via de site van Postfix op http://www.postfix.org/announcements/postfix-2.7.3.html.

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: meerdere kwetsbaarheden in python

    Beschrijving: er waren meerdere kwetsbaarheden in python, waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code. In deze update worden de problemen verholpen door patches van het python-project toe te passen. Meer informatie is beschikbaar via de python-site op http://www.python.org/download/releases/.

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van filmbestanden in QuickTime.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van STSC-atomen in QuickTime-filmbestanden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0249: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van STSS-atomen in QuickTime-filmbestanden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0250: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van STSZ-atomen in QuickTime-filmbestanden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0251: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van STTS-atomen in QuickTime-filmbestanden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0252: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een script invoegen in het lokale domein bij het bekijken van sjabloon-HTML

    Beschrijving: er was een ‘cross-site scripting’-probleem bij de export ‘Bewaar voor web’ in QuickTime Player. De sjabloon-HTML-bestanden gemaakt met deze functie verwezen naar een scriptbestand uit een niet-gecodeerde bron. Een aanvaller in een geprivilegieerde netwerkpositie kan kwaadaardige scripts invoegen in het lokale domein als de gebruiker een sjabloonbestand lokaal bekijkt. Dit probleem wordt verholpen door de verwijzing naar een online script te verwijderen. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3218: Aaron Sigel van vtty.com

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferverloop bij de verwerking van H.264-gecodeerde filmbestanden in QuickTime.

    CVE-ID

    CVE-2011-3219: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot de vrijgave van geheugeninhoud

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van URL-gegevens-handlers in filmbestanden door QuickTime.

    CVE-ID

    CVE-2011-3220: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een implementatieprobleem bij de verwerking van de atomenhiërarchie in een filmbestand door QuickTime.

    CVE-ID

    CVE-2011-3221: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd FlashPix-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferverloop bij de verwerking van FlashPix-bestanden in QuickTime.

    CVE-ID

    CVE-2011-3222: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferverloop bij de verwerking van FLIC-bestanden in QuickTime.

    CVE-ID

    CVE-2011-3223: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • SMB-bestandsserver

    Beschikbaar voor: OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: een gastgebruiker kan gedeelde mappen bekijken

    Beschrijving: er was een probleem met de toegangscontrole in de SMB-bestandsserver. De uitschakeling van de gasttoegang tot het delingspuntrecord voor een map voorkwam dat de gebruiker ‘_unknown’ het delingspunt bekeek maar niet de gasten (gebruiker ‘nobody’). Dit probleem wordt verholpen door de toegangscontrole toe te passen op de gastgebruiker. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in Tomcat 6.0.24

    Beschrijving: Tomcat is bijgewerkt naar versie 6.0.32 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstige kunnen leiden tot een cross-site scripting-aanval. Tomcat wordt alleen voorzien op Mac OS X Server-systemen. Dit probleem is niet van invloed op systemen met OS X Lion. Meer informatie is te vinden op de website van Tomcat op http://tomcat.apache.org/.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Gebruikersdocumentatie

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de helpinhoud van de App Store manipuleren, wat kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: de helpinhoud van de App Store werd bijgewerkt via HTTP. Deze update verhelpt het probleem door de helpinhoud van de App Store bij te werken via HTTPS. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3224: Aaron Sigel van vtty.com en Brian Mastenbrook

  • Webserver

    Beschikbaar voor: Mac OS X Server v10.6.8

    Impact: clients hebben mogelijk geen toegang tot webvoorzieningen die een Digest-identiteitscontrole vereisen

    Beschrijving: een probleem met de verwerking van HTTP Digest-identiteitscontrole is verholpen. Gebruikers worden mogelijk de toegang tot bronnen van de server geweigerd hoewel de serverconfiguratie de toegang diende toe te staan. Dit probleem stelt geen gevaar voor de beveiliging en werd verholpen om het gebruik van sterkere mechanismen voor identiteitscontroles te vereenvoudigen. Dit probleem is niet van invloed op systemen met OS X Lion Server.

  • X11

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 en v10.7.1, OS X Lion Server v10.7 en v10.7.1

    Impact: meerdere kwetsbaarheden in libpng

    Beschrijving: er waren meerdere kwetsbaarheden in libpng, waarvan de ernstigste konden leiden tot het uitvoeren van willekeurige code. Deze problemen worden verholpen door libpng bij te werken naar versie 1.5.4 op systemen met OS Lion en naar 1.2.46 op systemen met Mac OS X v10.6. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: