In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.3 en Beveiligingsupdate 2012-001 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.


OS X Lion v10.7.3 en Beveiligingsupdate 2012-001
- 

- 

Adresboek

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan CardDAV-gegevens onderscheppen

 
Beschrijving: Adresboek ondersteunt Secure Sockets Layer (SSL) voor de toegang tot CardDAV. Een probleem bij de downgrade heeft veroorzaakt dat Adresboek een ongecodeerde verbinding probeerde te maken als een gecodeerde verbinding mislukte. Een aanvaller met een geprivilegieerde netwerkpositie kan gebruikmaken van dit gedrag om CardDAV-gegevens te onderscheppen. Dit probleem wordt verholpen door geen downgrade naar een niet-gecodeerde verbinding uit te voeren zonder toestemming van de gebruiker.

CVE-ID

CVE-2011-3444: Bernard Desruisseaux van Oracle Corporation

 

- 

- 

Apache

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: meerdere kwetsbaarheden in Apache

Beschrijving: Apache is bijgewerkt naar versie 2.2.21 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/.

CVE-ID

CVE-2011-3348

 

- 

- 

Apache

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. Apache schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door een configuratieparameter te voorzien voor het beheer van de tegenmaatregel en standaard inschakeling ervan.

CVE-ID

CVE-2011-3389

 

- 

- 

ATS

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het openen van een kwaadwillig vervaardigd lettertype in Lettertypecatalogus kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van lettertypebestanden door ATS wanneer deze werden geopend door Lettertypecatalogus.

CVE-ID

CVE-2011-3446: Will Dormann van de CERT/CC

 

- 

- 

CFNetwork

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

Beschrijving: er was een probleem bij de verwerking van onjuist gevormde URL's in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde URL kan CFNetwork het verzoek versturen naar een onjuiste bronserver. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3246: Erling Ellingsen van Facebook

 

- 

- 

CFNetwork

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

Beschrijving: er was een probleem bij de verwerking van onjuist gevormde URL’s in CFNetwork. Bij de toegang tot een kwaadwillig vervaardigde URL kon CFNetwork onverwachte verzoekheaders versturen. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3447: Erling Ellingsen van Facebook

 

- 

- 

ColorSync

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingebed ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een overloop bij gehele getallen bij het verwerken van afbeeldingen met een ingebed ColorSync-profiel dat kan leiden tot een heapbufferoverloop. Dit probleem is niet van invloed op systemen met OS X Lion.

CVE-ID

CVE-2011-0200: binaryproof in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

CoreAudio

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: het afspelen van een kwaadwillig vervaardigd audiobestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van AAC-gecodeerde audiostreams. Dit probleem is niet van invloed op systemen met OS X Lion.

CVE-ID

CVE-2011-3252: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

CoreMedia

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een heapbufferoverloop bij de verwerking van H.264-gecodeerde filmbestanden door CoreMedia.

CVE-ID

CVE-2011-3448: Scott Stender van iSEC Partners

 

- 

- 

CoreText

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het weergeven of downloaden van een document dat een kwaadwillig vervaardigd ingebed lettertype bevat, kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

Beschrijving: er was een probleem bij gebruik na een gratis periode bij de verwerking van lettertypebestanden.

CVE-ID

CVE-2011-3449: Will Dormann van de CERT/CC

 

- 

- 

CoreUI

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met een onbegrensde stacktoewijzing bij de verwerking van lange URL’s. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3450: Ben Syverson

 

- 

- 

curl

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een externe server kan zich voordoen als clients via GSSAPI-verzoeken

Beschrijving: bij een GSSAPI-identiteitscontrole voert libcurl onvoorwaardelijk een delegatie van de legitimatie uit. Dit probleem wordt verholpen door de delegatie van de GSSAPI-legitimatie uit te schakelen.

CVE-ID

CVE-2011-2192

 

- 

- 

Gegevensbeveiliging

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

Beschrijving: twee certificaatautoriteiten in de lijst met vertrouwde rootcertificaten hebben afzonderlijk intermediaire certificaten uitgevaardigd aan DigiCert Malaysia. DigiCert Malaysia heeft certificaten met zwakke sleutels uitgevaardigd die het niet kan intrekken. Een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen die bedoeld zijn voor een website met een door DigiCert Malaysia uitgevaardigd certificaat. Dit probleem wordt verholpen door de standaard vertrouwensinstellingen van het systeem zo te configureren dat certificaten van DigiCert Malaysia niet worden vertrouwd. Met dank aan Bruce Morton van Entrust, Inc. voor het melden van dit probleem.

 

- 

- 

dovecot

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. Dovecot schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door de tegenmaatregel in te schakelen.

CVE-ID

CVE-2011-3389: Apple

 

- 

- 

filecmds

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het decomprimeren van een kwaadwillig vervaardigd gecomprimeerd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop in de commandoregeltool ‘uncompress’.

CVE-ID

CVE-2011-2895

 

- 

- 

ImageIO

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-bestanden door libtiff. Dit probleem wordt verholpen door libtiff bij te werken naar versie 3.9.5.

CVE-ID

CVE-2011-1167

 

- 

- 

ImageIO

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: meerdere kwetsbaarheden in libpng 1.5.4

Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

CVE-ID

CVE-2011-3328

 

- 

- 

Internetdeling

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een Wi-Fi-netwerk, dat door internetdeling is gemaakt, kan na een systeemupdate de beveiligingsinstellingen verliezen

Beschrijving: na het bijwerken naar een versie van OS X Lion die ouder is dan 10.7.3, kan de door internetdeling gebruikte Wi-Fi-configuratie terugkeren naar de standaardwaarden waardoor het WEP-wachtwoord wordt uitgeschakeld. Dit probleem is alleen van invloed op systemen waarbij internetdeling is ingeschakeld en die de verbinding via Wi-Fi delen. Dit probleem wordt verholpen door de Wi-Fi-configuratie te behouden tijdens een systeemupdate.

CVE-ID

CVE-2011-3452: een anonieme onderzoeker

 

- 

- 

Libinfo

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van vertrouwelijke informatie

Beschrijving: er was een probleem bij het opzoeken van hostnamen in Libinfo. Libinfo kon onjuiste resultaten weergeven voor een kwaadwillig vervaardigde hostnaam. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3441: Erling Ellingsen van Facebook

 

- 

- 

libresolv

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: programma’s die de libresolv-bibliotheek in OS X gebruiken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een overloop bij gehele getallen bij het anaylseren van DNS-bronrecords, wat kan leiden tot beschadiging van het heapgeheugen.

CVE-ID

CVE-2011-3453: Ilja van Sprundel van IOActive

 

- 

- 

libsecurity

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: sommige EV-certificaten worden mogelijk vertrouwd zelfs als de overeenstemmende root is gemarkeerd als niet-vertrouwd

Beschrijving: de certificaatcode vertrouwde een rootcertificaat om EV-certificaten te ondertekenen als deze voorkwam op de lijst met bekende EV-verstrekkers, zelfs als de gebruiker deze had gemarkeerd als ‘Vertrouw nooit’ in Sleutelhanger. De root zou niet worden vertrouwd om niet-EV-certificaten te ondertekenen.

CVE-ID

CVE-2011-3422: Alastair Houghton

 

- 

- 

OpenGL

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: programma’s die de OpenGL-implementatie van OS X gebruiken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van GLSL-compilaties.

CVE-ID

CVE-2011-3457: Chris Evans van Google Chrome Security Team en Marc Schoenefeld van Red Hat Security Response Team

 

- 

- 

PHP

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: meerdere kwetsbaarheden in PHP 5.3.6

Beschrijving: PHP wordt bijgewerkt naar versie 5.3.8 om meerdere kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net.

CVE-ID

CVE-2011-1148

CVE-2011-1657

CVE-2011-1938

CVE-2011-2202

CVE-2011-2483

CVE-2011-3182

CVE-2011-3189

CVE-2011-3267

CVE-2011-3268

 

- 

- 

PHP

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking Type 1-letterypen in FreeType. Dit probleem wordt verholpen door FreeType bij te werken naar versie 2.4.7. Meer informatie vindt u via de website van FreeType op http://www.freetype.org/.

CVE-ID

CVE-2011-3256: Apple

 

- 

- 

PHP

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: meerdere kwetsbaarheden in libpng 1.5.4

Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html.

CVE-ID

CVE-2011-3328

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het openen van een kwaadwillig vervaardigd mp4-bestand kan leiden tot het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van mp4-gecodeerde bestanden.

CVE-ID

CVE-2011-3458: Luigi Auriemma en pa_kt beide in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een handtekeningprobleem bij de verwerking van lettertypetabellen die zijn ingebed in QuickTime-filmbestanden.

CVE-ID

CVE-2011-3248: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een ‘off by one’-bufferoverloop bij de verwerking van rdrf-atomen in QuickTime-filmbestanden.

CVE-ID

CVE-2011-3459: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: de weergave van een kwaadwillig vervaardigde JPEG2000-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van JPEG2000-bestanden.

CVE-ID

CVE-2011-3250: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het verwerken van een kwaadwillig vervaardigde PNG-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van PNG-bestanden.

CVE-ID

CVE-2011-3460: Luigi Auriemma in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van FLC-gecodeerde filmbestanden.

CVE-ID

CVE-2011-3249: Matt ‘j00ru’ Jurczyk in samenwerking met het Zero Day Initiative van TippingPoint

 

- 

- 

SquirrelMail

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: meerdere kwetsbaarheden in SquirrelMail

Beschrijving: SquirrelMail is bijgewerkt naar versie 1.4.22 om diverse kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot problemen met scripts die naar andere sites verwijzen. Dit probleem is niet van invloed op systemen met OS X Lion. U vindt meer informatie via de website van SquirrelMail op http://www.SquirrelMail.org.

CVE-ID

CVE-2010-1637

CVE-2010-2813

CVE-2010-4554

CVE-2010-4555

CVE-2011-2023

 

- 

- 

Subversion

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: de toegang tot een Subversion-bewaarplaats kan leiden tot de vrijgave van vertrouwelijke informatie

Beschrijving: Subversion is bijgewerkt naar versie 1.6.17 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van vertrouwelijke informatie. Verdere informatie is beschikbaar via de Subversion-website op http://subversion.apache.org/.

CVE-ID

CVE-2011-1752

CVE-2011-1783

CVE-2011-1921

 

- 

- 

Time Machine

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: een externe aanvaller heeft mogelijk toegang tot nieuwe reservekopieën die gemaakt zijn door het systeem van de gebruiker

Beschrijving: de gebruiker kan een extern AFP-volume of Time Capsule instellen voor gebruik voor reservekopieën van Time Machine. Time Machine heeft niet gecontroleerd of hetzelfde apparaat voor latere reservekopieën is gebruikt. Een aanvaller die het externe volume kan vervalsen, verkrijgt mogelijk toegang tot nieuwe reservekopieën die gemaakt zijn door het systeem van de gebruiker. Dit probleem wordt verholpen door de unieke ID van een schijf voor reservekopieën te controleren.

CVE-ID

CVE-2011-3462: Michael Roitzsch van de Technische Universität Dresden

 

- 

- 

Tomcat

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Impact: meerdere kwetsbaarheden in Tomcat 6.0.32

Beschrijving: Tomcat is bijgewerkt naar versie 6.0.32 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van vertrouwelijke informatie. Tomcat wordt alleen voorzien op Mac OS X Server-systemen. Dit probleem is niet van invloed op systemen met OS X Lion. Meer informatie is te vinden op de website van Tomcat op http://tomcat.apache.org/.

CVE-ID

CVE-2011-2204

 

- 

- 

WebDAV-delen

Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.2

Impact: lokale gebruikers kunnen systeembevoegdheden verkrijgen

Beschrijving: er was een probleem bij de identiteitscontrole van gebruikers in WebDAV-delen. Een gebruiker met een geldige account op de server of één van de gekoppelde directory’s kan ervoor zorgen dat willekeurige code met systeembevoegdheden worden uitgevoerd. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

CVE-ID

CVE-2011-3463: Gordon Davisson van Crywolf

 

- 

- 

Webmail

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot de vrijgave van de inhoud van het bericht

Beschrijving: er was een cross-site scripting-kwetsbaarheid bij de verwerking e-mailberichten. Dit probleem wordt verholpen door Roundcube Webmail bij te werken naar versie 0.6. Dit probleem is niet van invloed op systemen ouder dan OS X Lion. Meer informatie vindt u via de website van Roundcube op http://trac.roundcube.net/.

CVE-ID

CVE-2011-2937

 

- 

- 

X11

Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 t/m v10.7.2, OS X Lion Server v10.7 t/m v10.7.2

Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking Type 1-letterypen in FreeType. Dit probleem wordt verholpen door FreeType bij te werken naar versie 2.4.7. Meer informatie vindt u via de website van FreeType op http://www.freetype.org/.

CVE-ID

CVE-2011-3256: Apple