Informatie over de beveiligingsinhoud van OS X Lion v10.7.3 en Beveiligingsupdate 2012-001

In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.3 en Beveiligingsupdate 2012-001 beschreven.

In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.3 en Beveiligingsupdate 2012-001 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
 

OS X Lion v10.7.3 en Beveiligingsupdate 2012-001

  • Adresboek

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan CardDAV-gegevens onderscheppen

    Beschrijving: Adresboek ondersteunt Secure Sockets Layer (SSL) voor de toegang tot CardDAV. Een probleem bij de downgrade heeft veroorzaakt dat Adresboek een ongecodeerde verbinding probeerde te maken als een gecodeerde verbinding mislukte. Een aanvaller met een geprivilegieerde netwerkpositie kan gebruikmaken van dit gedrag om CardDAV-gegevens te onderscheppen. Dit probleem wordt verholpen door geen downgrade naar een niet-gecodeerde verbinding uit te voeren zonder toestemming van de gebruiker.

    CVE-ID

    CVE-2011-3444: Bernard Desruisseaux van Oracle Corporation

  • Apache

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: Apache is bijgewerkt naar versie 2.2.21 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/.

    CVE-ID

    CVE-2011-3348

  • Apache

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. Apache schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door een configuratieparameter te voorzien voor het beheer van de tegenmaatregel en standaard inschakeling ervan.

    CVE-ID

    CVE-2011-3389

  • ATS

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het openen van een kwaadwillig vervaardigd lettertype in Lettertypecatalogus kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van lettertypebestanden door ATS wanneer deze werden geopend door Lettertypecatalogus.

    CVE-ID

    CVE-2011-3446: Will Dormann van de CERT/CC

  • CFNetwork

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

    Beschrijving: er was een probleem bij de verwerking van onjuist gevormde URL's in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde URL kan CFNetwork het verzoek versturen naar een onjuiste bronserver. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen van Facebook

  • CFNetwork

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

    Beschrijving: er was een probleem bij de verwerking van onjuist gevormde URL’s in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde URL kon CFNetwork onverwachte verzoekheaders versturen. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3447: Erling Ellingsen van Facebook

  • ColorSync

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel dat kan leiden tot een heapbufferoverloop. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint

  • CoreAudio

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het afspelen van een kwaadwillig vervaardigd audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van AAC-gecodeerde audiostreams. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-3252: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • CoreMedia

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van H.264-gecodeerde filmbestanden door CoreMedia.

    CVE-ID

    CVE-2011-3448: Scott Stender van iSEC Partners

  • CoreText

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het weergeven of downloaden van een document dat een kwaadwillig vervaardigd ingebed lettertype bevat, kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

    Beschrijving: er was een probleem bij gebruik na een gratis periode bij de verwerking van lettertypebestanden.

    CVE-ID

    CVE-2011-3449: Will Dormann van de CERT/CC

  • CoreUI

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een onbegrensde stacktoewijzing bij de verwerking van lange URL’s. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3450: Ben Syverson

  • curl

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een externe server kan zich voordoen als clients via GSSAPI-verzoeken

    Beschrijving: bij een GSSAPI-identiteitscontrole voert libcurl onvoorwaardelijk een delegatie van de legitimatie uit. Dit probleem wordt verholpen door de delegatie van de GSSAPI-legitimatie uit te schakelen.

    CVE-ID

    CVE-2011-2192

  • Gegevensbeveiliging

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

    Beschrijving: twee certificaatautoriteiten in de lijst met vertrouwde rootcertificaten hebben afzonderlijk intermediaire certificaten uitgevaardigd aan DigiCert Malaysia. DigiCert Malaysia heeft certificaten met zwakke sleutels uitgevaardigd die het niet kan intrekken. Een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen die bedoeld zijn voor een website met een door DigiCert Malaysia uitgevaardigd certificaat. Dit probleem wordt verholpen door de standaard vertrouwensinstellingen van het systeem zo te configureren dat certificaten van DigiCert Malaysia niet worden vertrouwd. Met dank aan Bruce Morton van Entrust, Inc. voor het melden van dit probleem.

  • dovecot

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. Dovecot schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door de tegenmaatregel in te schakelen.

    CVE-ID

    CVE-2011-3389: Apple

  • filecmds

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het decomprimeren van een kwaadwillig vervaardigd gecomprimeerd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop in de commandoregeltool ‘uncompress’.

    CVE-ID

    CVE-2011-2895

  • ImageIO

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-bestanden door libtiff. Dit probleem wordt verholpen door libtiff bij te werken naar versie 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: meerdere kwetsbaarheden in libpng 1.5.4

    Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • Internetdeling

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een Wi-Fi-netwerk, dat door internetdeling is gemaakt, kan na een systeemupdate de beveiligingsinstellingen verliezen

    Beschrijving: na het bijwerken naar een versie van OS X Lion die ouder is dan 10.7.3, kan de door internetdeling gebruikte Wi-Fi-configuratie terugkeren naar de standaardwaarden waardoor het WEP-wachtwoord wordt uitgeschakeld. Dit probleem is alleen van invloed op systemen waarbij internetdeling is ingeschakeld en die de verbinding via Wi-Fi delen. Dit probleem wordt verholpen door de Wi-Fi-configuratie te behouden tijdens een systeemupdate.

    CVE-ID

    CVE-2011-3452: een anonieme onderzoeker

  • Libinfo

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

    Beschrijving: er was een probleem bij het opzoeken van hostnamen in Libinfo. Libinfo kon onjuiste resultaten weergeven voor een kwaadwillig vervaardigde hostnaam. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3441: Erling Ellingsen van Facebook

  • libresolv

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: programma’s die de libresolv-bibliotheek in OS X gebruiken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij het anaylseren van DNS-bronrecords, wat kan leiden tot beschadiging van het heapgeheugen.

    CVE-ID

    CVE-2011-3453: Ilja van Sprundel van IOActive

  • libsecurity

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: sommige EV-certificaten worden mogelijk vertrouwd zelfs als de overeenstemmende root is gemarkeerd als niet-vertrouwd

    Beschrijving: de certificaatcode vertrouwde een rootcertificaat om EV-certificaten te ondertekenen als deze voorkwam op de lijst met bekende EV-verstrekkers, zelfs als de gebruiker deze had gemarkeerd als ‘Vertrouw nooit’ in Sleutelhanger. De root zou niet worden vertrouwd om niet-EV-certificaten te ondertekenen.

    CVE-ID

    CVE-2011-3422: Alastair Houghton

  • OpenGL

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: programma’s die de OpenGL-implementatie van OS X gebruiken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van GLSL-compilaties.

    CVE-ID

    CVE-2011-3457: Chris Evans van Google Chrome Security Team en Marc Schoenefeld van Red Hat Security Response Team

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: meerdere kwetsbaarheden in PHP 5.3.6

    Beschrijving: PHP wordt bijgewerkt naar versie 5.3.8 om meerdere kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net.

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking Type 1-letterypen in FreeType. Dit probleem wordt verholpen door FreeType bij te werken naar versie 2.4.7. Meer informatie vindt u via de website van FreeType op http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

  • PHP

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: meerdere kwetsbaarheden in libpng 1.5.4

    Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

    CVE-ID

    CVE-2011-3328

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het openen van een kwaadwillig vervaardigd mp4-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van mp4-gecodeerde bestanden.

    CVE-ID

    CVE-2011-3458: Luigi Auriemma en pa_kt beide in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een handtekeningprobleem bij de verwerking van lettertypetabellen die zijn ingebed in QuickTime-filmbestanden.

    CVE-ID

    CVE-2011-3248: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een ‘off by one’-bufferoverloop bij de verwerking van rdrf-atomen in QuickTime-filmbestanden.

    CVE-ID

    CVE-2011-3459: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: de weergave van een kwaadwillig vervaardigde JPEG2000-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JPEG2000-bestanden.

    CVE-ID

    CVE-2011-3250: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van PNG-bestanden.

    CVE-ID

    CVE-2011-3460: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van FLC-gecodeerde filmbestanden.

    CVE-ID

    CVE-2011-3249: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

  • SquirrelMail

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in SquirrelMail

    Beschrijving: SquirrelMail is bijgewerkt naar versie 1.4.22 om diverse kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot problemen met scripts die naar andere sites verwijzen. Dit probleem is niet van invloed op systemen met OS X Lion. U vindt meer informatie via de website van SquirrelMail op http://www.SquirrelMail.org.

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversion

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: de toegang tot een Subversion-bewaarplaats kan leiden tot de vrijgave van vertrouwelijke informatie

    Beschrijving: Subversion is bijgewerkt naar versie 1.6.17 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van vertrouwelijke informatie. Verdere informatie is beschikbaar via de Subversion-website op http://subversion.apache.org/.

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: een externe aanvaller heeft mogelijk toegang tot nieuwe reservekopieën die gemaakt zijn door het systeem van de gebruiker

    Beschrijving: de gebruiker kan een extern AFP-volume of Time Capsule instellen voor gebruik voor reservekopieën van Time Machine. Time Machine heeft niet gecontroleerd of hetzelfde apparaat voor latere reservekopieën is gebruikt. Een aanvaller die het externe volume kan vervalsen, verkrijgt mogelijk toegang tot nieuwe reservekopieën die gemaakt zijn door het systeem van de gebruiker. Dit probleem wordt verholpen door de unieke ID van een schijf voor reservekopieën te controleren.

    CVE-ID

    CVE-2011-3462: Michael Roitzsch van de Technische Universität Dresden

  • Tomcat

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: meerdere kwetsbaarheden in Tomcat 6.0.32

    Beschrijving: Tomcat is bijgewerkt naar versie 6.0.32 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van vertrouwelijke informatie. Tomcat wordt alleen voorzien op Mac OS X Server-systemen. Dit probleem is niet van invloed op systemen met OS X Lion. Meer informatie is te vinden op de website van Tomcat op http://tomcat.apache.org/.

    CVE-ID

    CVE-2011-2204

  • WebDAV-delen

    Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.2

    Impact: lokale gebruikers kunnen systeembevoegdheden verkrijgen

    Beschrijving: er was een probleem bij de identiteitscontrole van gebruikers in WebDAV-delen. Een gebruiker met een geldige account op de server of één van de gekoppelde directory’s kan ervoor zorgen dat willekeurige code met systeembevoegdheden worden uitgevoerd. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3463: Gordon Davisson van Crywolf

  • Webmail

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot de vrijgave van de inhoud van het bericht

    Beschrijving: er was een cross-site scripting-kwetsbaarheid bij de verwerking e-mailberichten. Dit probleem wordt verholpen door Roundcube Webmail bij te werken naar versie 0.6. Dit probleem is niet van invloed op systemen ouder dan OS X Lion. Meer informatie vindt u via de website van Roundcube op http://trac.roundcube.net/.

    CVE-ID

    CVE-2011-2937

  • X11

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking Type 1-letterypen in FreeType. Dit probleem wordt verholpen door FreeType bij te werken naar versie 2.4.7. Meer informatie vindt u via de website van FreeType op http://www.freetype.org/.

    CVE-ID

    CVE-2011-3256: Apple

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: