Informatie over de beveiligingsinhoud van Mac OS X v10.6.7 en Beveiligingsupdate 2011-001

In dit artikel wordt de beveiligingsinhoud van Mac OS X v10.6.7 en Beveiligingsupdate 2011-001 beschreven.

In dit artikel wordt de beveiligingsinhoud van OS X Lion v10.6.7 en Beveiligingsupdate 2011-001 beschreven. Deze kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

Mac OS X v10.6.7 en Beveiligingsupdate 2011-001

  • AirPort

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld

    Beschrijving: er was een probleem met het delen door nul bij de verwerking van Wi-Fi-frames. Een aanvaller kan bij een Wi-Fi-verbinding in hetzelfde netwerk ervoor zorgen dat een systeem opnieuw wordt ingesteld. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2011-0172

  • Apache

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: meerdere kwetsbaarheden in Apache 2.2.15

    Beschrijving: Apache is bijgewerkt naar versie 2.2.17 om diverse kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het weigeren van service. Verdere informatie is beschikbaar via de website van Apache op http://httpd.apache.org/.

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het uitvoeren van een op AppleScript Studio gebaseerd programma dat toestaat dat niet-vertrouwde invoer wordt overgebracht naar een dialoog kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een tekenreeks voor opmaak in de algemene dialoogcommando's van AppleScript Studio (‘display dialog’ en ‘display alert’). Het uitvoeren van een op AppleScript Studio gebaseerd programma dat toestaat dat niet-vertrouwde invoer wordt overgebracht naar een dialoog kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van OpenType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0174

  • ATS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van TrueType-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0175: Christoph Diehl van Mozilla, Felix Grobert van Google Security Team, Marc Schoenefeld van Red Hat Security Response Team, Tavis Ormandy en Will Drewry van Google Security Team

  • ATS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van Type 1-lettertypen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0176: Felix Grobert van Google Security Team in samenwerking met het Zero Day Initiative van TippingPoint

  • ATS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van SFNT-tabellen. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0177: Marc Schoenefeld van Red Hat Security Response Team

  • bzip2

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: de commandoregeltool bzip2 of bunzip2 gebruiken om een bzip2-bestand te decomprimeren kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van bzip2-gecomprimeerde bestanden door bzip2. De commandoregeltool bzip2 of bunzip2 gebruiken om een bzip2-bestand te decomprimeren kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: programma’s die FSFindFolder() gebruiken met de markering kTemporaryFolderType zijn mogelijk kwetsbaar voor de vrijgave van lokale informatie

    Beschrijving: bij gebruik met de markering kTemporaryFolderType gaat FSFindFolder() API terug naar een map die leesbaar is voor iedereen. Dit probleem is verholpen door terug te gaan naar een map die alleen leesbaar is door de gebruiker die het proces uitvoert.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    Beschikbaar voor: Mac OS X Server v10.5.8, Mac OS X Server v10.6.6

    Impact: meerdere kwetsbaarheden in ClamAV

    Beschrijving: er zijn meerdere kwetsbaarheden in ClamAV waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. In deze update zijn de problemen verholpen door ClamAV bij te werken naar versie 0.96.5. ClamAV wordt alleen bij Mac OS X Server-systemen meegeleverd. U vindt meer informatie via de website van ClamAV op http://www.clamav.net.

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden door CoreText. Het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0179: Christoph Diehl van Mozilla

  • Bestandsquarantaine

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: toegevoegde definitie

    Beschrijving: de OSX.OpinionSpy-definitie is toegevoegd aan de malwarecontrole in Bestandsquarantaine.

  • HFS

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een lokale gebruiker kan willekeurige bestanden van een HFS-, HFS+- of HFS+J-bestandssysteem lezen

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van de F_READBOOTSTRAP ioctl. Een lokale gebruiker kan willekeurige bestanden van een HFS-, HFS+- of HFS+J-bestandssysteem lezen.

    CVE-ID

    CVE-2011-0180: Dan Rosenberg van Virtual Security Research

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van JPEG-afbeeldingen door ImageIO. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

     

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak in samenwerking met iDefense VCP

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van XBM-afbeeldingen door ImageIO. Het bekijken van een kwaadwillig vervaardigde XBM-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van JPEG-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-afbeeldingen door libTIFF. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde JPEG-gecodeerde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop bij gehele getallen bij de verwerking van JPEG-gecodeerde TIFF-afbeeldingen in ImageIO. Het bekijken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2011-0194: Dominic Chell van NGS Secure

  • RAW-afbeelding

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde Canon RAW-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van Canon RAW-afbeeldingen in Image. Het bekijken van een kwaadwillig vervaardigde Canon RAW-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0193: Paul Harrington van NGS Secure

  • Installer

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de installatie van een agent die contact opneemt met een willekeurige server wanneer de gebruiker inlogt en die de gebruiker doet denken dat deze verbinding maakt met Apple

    Beschrijving: een probleem met de URL-verwerking in Install Helper kan leiden tot de installatie van een agent die contact opneemt met een willekeurige server wanneer de gebruiker inlogt. Het dialoogvenster dat verschijnt na een mislukte verbinding kan de gebruiker doen denken dat deze verbinding probeerde te maken met Apple. Dit probleem is verholpen door Install Helper te verwijderen.

    CVE-ID

    CVE-2011-0190: Aaron Sigel van vtty.com

  • Kerberos

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: meerdere kwetsbaarheden in MIT Kerberos 5

    Beschrijving: er waren meerdere cryptografische problemen in MIT Kerberos 5. Alleen CVE-2010-1323 is van invloed op Mac OS X v10.5. Meer informatie over de problemen en de toegepaste patches vindt u via de MIT-website voor Kerberos op http://web.mit.edu/Kerberos/.

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kernel

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met de controle van bevoegdheden bij de verwerking van call gates door i386_set_ldt system call. Een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden. Dit probleem is verholpen door het aanmaken van call gate-gegevens via i386_set_ldt() niet langer toe te staan.

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een externe aanvaller kan zorgen voor een weigering van service op hosts die NFS-bestandssystemen exporteren

    Beschrijving: er was een probleem met de afkapping van gehele getallen bij de verwerking van NFS RPC-paketten door Libinfo. Een externe aanvaller kan ervoor zorgen dat NFS RPC-voorzieningen, zoals lockd, statd, mountd en portmap, niet meer reageren.

    CVE-ID

    CVE-2011-0183: Peter Schwenk van de University of Delaware

  • libxml

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van XPath door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh van Bkis (www.bkis.com)

  • libxml

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een double free-probleem bij de verwerking van XPath-expressies door libxml. Een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2010-4494: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

  • Mailman

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: meerdere kwetsbaarheden in Mailman 2.1.13

    Beschrijving: er waren meerdere cross-site scripting-problemen in Mailman 2.1.13. Deze problemen zijn verholpen door Mailman bij te werken naar versie 2.1.14. Meer informatie is beschikbaar via de Mailman-website op http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html.

    CVE-ID

    CVE-2010-3089

  • PHP

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: meerdere kwetsbaarheden in PHP 5.3.3

    Beschrijving: PHP is bijgewerkt naar versie 5.3.4 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de website van PHP op http://www.php.net.

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Impact: meerdere kwetsbaarheden in PHP 5.2.14

    Beschrijving: PHP is bijgewerkt naar versie 5.2.15 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie is beschikbaar via de website van PHP op http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Excel-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Excel-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2011-0184: Tobias Klein in samenwerking met Verisign iDefense Labs

  • QuickLook

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-1417: Charlie Miller en Dion Blazakis in samenwerking met het Zero Day Initiative van TippingPoint

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde JPEG2000-afbeelding in QuickTime kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van JPEG2000-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde JPEG2000-afbeelding in QuickTime kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2011-0186: Will Dormann van de CERT/CC

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van filmbestanden door QuickTime. Het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-4009: Honggang Ren van Fortinet's FortiGuard Labs

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigde FlashPix-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van FlashPix-afbeeldingen door QuickTime. Het bekijken van een kwaadwillig vervaardigde FlashPix-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3801: Damian Put in samenwerking met het Zero Day Initiative van TippingPoint en Rodrigo Rubira Branco van het Check Point Vulnerability Discovery Team

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website

    Beschrijving: er was een ‘cross-origin’-probleem bij de verwerking van cross-site doorverwijzingen door de QuickTime-plugin. Het bekijken van een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van videogegevens van een andere website. Dit probleem is verholpen door te voorkomen dat QuickTime cross-site doorverwijzingen volgt.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai en Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het bekijken van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van panorama-atomen in QTVR-filmbestanden (QuickTime Virtual Reality) door QuickTime. Het weergeven van een kwaadwillig vervaardigd QTVR-filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Voor Mac OS X v10.5 is dit probleem verholpen in QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3802: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van TippingPoint

  • Ruby

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een BigDecimal-object te maken, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met de afkapping van gehele getallen in BigDecimal class van Ruby. Het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een BigDecimal-object te maken, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is alleen van invloed op 64-bits Ruby-processen.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code

    Beschrijving: er was een stackbufferoverloop in de verwerking van Windows Security ID's door Samba. Als SMB-bestandsdeling is ingeschakeld, kan een externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code.

    CVE-ID

    CVE-2010-3069

  • Subversion

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: Subversion-servers die de niet-standaard mod_dav_svn-configuratie-instelling ‘SVNPathAuthz short_circuit’ gebruiken, geven onbevoegde gebruikers mogelijk toegang tot delen van de bewaarplaats

    Beschrijving: Subversion-servers die de niet-standaard mod_dav_svn-configuratie-instelling ‘SVNPathAuthz short_circuit’ gebruiken, geven onbevoegde gebruikers mogelijk toegang tot delen van de bewaarplaats. Dit probleem is verholpen door Subversion bij te werken naar versie 1.6.13. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2010-3315

  • Terminal

    Beschikbaar voor: Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: wanneer ssh in het dialoogvenster ‘Nieuwe externe verbinding’ van Terminal wordt gebruikt, wordt SSH versie 1 geselecteerd als standaardversie van het protocol

    Beschrijving: wanneer ssh in het dialoogvenster ‘Nieuwe externe verbinding’ van Terminal wordt gebruikt, wordt SSH versie 1 geselecteerd als standaardversie van het protocol. Dit probleem is verholpen door de standaardversie van het protocol te wijzigen naar ‘Automatisch’. Dit probleem is niet van invloed op systemen ouder dan Mac OS X v10.6.

    CVE-ID

    CVE-2011-0189: Matt Warren van HNW Inc.

  • X11

    Beschikbaar voor: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 t/m v10.6.6, Mac OS X Server v10.6 t/m v10.6.6

    Impact: meerdere kwetsbaarheden in FreeType

    Beschrijving: er waren meerdere kwetsbaarheden in FreeType waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code bij de verwerking van een kwaadwillig vervaardigd lettertype. Deze problemen zijn verholpen door FreeType bij te werken naar versie 2.4.4. Meer informatie is beschikbaar via de FreeType-website op http://www.freetype.org/.

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: