Over de beveiligingsinhoud van OS X Lion v10.7.4 en Beveiligingsupdate 2012-002

In dit document wordt de beveiligingsinhoud van OS X Lion v10.7.4 en Beveiligingsupdate 2012-002 beschreven.

OS X Lion v10.7.4 en Beveiligingsupdate 2012-002 kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
 

OS X Lion v10.7.4 en Beveiligingsupdate 2012-002

  • Inlogvenster

    Beschikbaar voor: OS X Lion v10.7.3, OS X Lion Server v10.7.3

    Impact: externe beheerders en personen met fysieke toegang tot het systeem kunnen accountinformatie verkrijgen

    Beschrijving: er was een probleem met de verwerking van inlognamen van netwerkaccounts. Bij het inloggen werden vertrouwelijke gegevens in het systeemlog opgenomen en andere gebruikers van het systeem konden dit log lezen. De vertrouwelijke gegevens kunnen na de installatie van deze update in bewaarde logbestanden bewaard blijven. Dit probleem is alleen van invloed op systemen met OS X Lion v10.7.3 bij gebruikers van Legacy File Vault en/of thuismappen in het netwerk. Raadpleeg http://support.apple.com/kb/TS4272?viewlocale=nl_NL voor meer informatie over hoe resterende bestanden veilig worden verwijderd.

    CVE-ID

    CVE-2012-0652: Terry Reeves en Tim Winningham van de Ohio State University, Markus ‘Jaroneko’ Räty van de Finnish Academy of Fine Arts, Jaakko Pero van Aalto University, Mark Cohen van Oregon State University, Paul Nelson

  • Bluetooth

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met de racevoorwaarde van een tijdelijk bestand bij de initialisatie in blued.

    CVE-ID

    CVE-2012-0649: Aaron Sigel van vtty.com

  • curl

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. curl schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door lege fragmenten in te schakelen.

    CVE-ID

    CVE-2011-3389: Apple

  • curl

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het gebruik van curl of libcurl met een kwaadwillig vervaardigde URL kan leiden tot protocolspecifieke aanvallen voor de plaatsing van gegevens

    Beschrijving: er was een probleem met de plaatsing van gegevens bij de verwerking van URL’s door curl. Dit probleem wordt verholpen door een verbeterde validatie van URL’s. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2012-0036

  • Adreslijstvoorziening

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: een externe aanvaller kan vertrouwelijke gegevens verkrijgen

    Beschrijving: er waren meerdere problemen met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver geheugen van de adresruimte vrijgeeft waardoor toegangsgegevens van de account of andere vertrouwelijke gegevens mogelijk worden vrijgegeven. Dit probleem is niet van invloed op systemen met OS X Lion. De adreslijstserver is standaard uitgeschakeld bij niet-serverinstallaties van OS X.

    CVE-ID

    CVE-2012-0651: Agustin Azubel

  • HFS

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het activeren van een kwaadwillig vervaardigde schijfkopie kan leiden tot het uitschakelen van het systeem of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een onderloop van gehele getallen bij de verwerking van HFS-catalogusbestanden.

    CVE-ID

    CVE-2012-0642: pod2g

  • ImageIO

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-bestanden door ImageIO. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies

  • ImageIO

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: meerdere kwetsbaarheden in libpng

    Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van gegevens. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-bestanden door libtiff. Dit probleem wordt verholpen door libtiff bij te werken naar versie 3.9.5.

    CVE-ID

    CVE-2011-1167

  • Kernel

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: bij gebruik van FileVault kan de schijf niet-gecodeerde gebruikersgegevens bevatten

    Beschrijving: de kernel vertoonde een probleem met de verwerking van de sluimerkopie voor de sluimerstand waardoor sommige gegevens op de schijf niet werden gecodeerd, zelfs wanneer FileVault was ingeschakeld. Dit probleem is verholpen met een verbeterde verwerking van de sluimerkopie en door de bestaande sluimerkopie te overschrijven bij het bijwerken naar OS X v10.7.4. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2011-3212: Felix Groebert van Google Security Team

  • libarchive

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het extraheren van een kwaadwillig vervaardigd archief kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere bufferoverlopen bij de verwerking van tar-archieven en iso9660-bestanden.

    CVE-ID

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: de controle van een kwaadwillig vervaardigd X.509-certificaat, zoals een bezoek aan een kwaadwillig vervaardigde website, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van X.509-certificaten.

    CVE-ID

    CVE-2012-0654: Dirk-Willem van Gulik van WebWeaving.org, Guilherme Prado van Conselho da Justiça Federal, Ryan Sleevi van Google

  • libsecurity

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: de ondersteuning voor X.509-certificaten met RSA-sleutels met een onveilige lengte kan gebruikers blootstellen aan de vervalsing en vrijgave van gegevens

    Beschrijving: certificaten die zijn ondertekend met RSA-sleutels met een onveilige sleutellengte werden door libsecurity aanvaard. Dit probleem wordt verholpen door certificaten met RSA-sleutels die kleiner zijn dan 1024 bits te weigeren.

    CVE-ID

    CVE-2012-0655

  • libxml

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in libxml waarvan de ernstigste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze problemen worden verholpen door de relevante upstream-patches toe te passen.

    CVE-ID

    CVE-2011-1944: Chris Evans van het Google Chrome Security Team

    CVE-2011-2821: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-2834: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences

    CVE-2011-3919: Jüri Aedla

  • LoginUIFramework

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: als de gastgebruiker ingeschakeld is, kan een gebruiker met fysieke toegang tot de computer inloggen bij een gebruiker die geen gastgebruiker is zonder een wachtwoord in te voeren

    Beschrijving: er was een racevoorwaarde bij de verwerking van inlognamen van gastgebruikers. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2012-0656: Francisco Gómez (espectalll123)

  • PHP

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: meerdere kwetsbaarheden in PHP

    Beschrijving: PHP wordt bijgewerkt naar versie 5.3.10 om meerdere kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net

    CVE-ID

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: een gebruiker met fysieke toegang tot de computer kan Safari starten als het scherm is vergrendeld en de schermbeveiliging RSS Visualizer wordt gebruikt

    Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van schermbeveiligingen door Quartz Composer. Dit probleem wordt verholpen door een verbeterde controle van de al dan niet vergrendelde status van het scherm.

    CVE-ID

    CVE-2012-0657: Aaron Sigel van vtty.com

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand tijdens een progressieve download kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van audiosampletabellen.

    CVE-ID

    CVE-2012-0658: Luigi Auriemma in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van MPEG-bestanden.

    CVE-ID

    CVE-2012-0659: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferonderloop bij de verwerking van MPEG-bestanden.

    CVE-ID

    CVE-2012-0660: Justin Kim van Microsoft en Microsoft Vulnerability Research

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een ‘use after free’-probleem bij de verwerking van JPEG2000-gecodeerde filmbestanden. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.

    CVE-ID

    CVE-2012-0661: Damian Put in samenwerking met het Zero Day Initiative van HP

  • Ruby

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: meerdere kwetsbaarheden in Ruby

    Beschrijving: Ruby is bijgewerkt naar 1.8.7-p357 om meerdere kwetsbaarheden te verhelpen.

    CVE-ID

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: als SMB-bestandsdeling is ingeschakeld, kan een niet-geïdentificeerde externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met bufferoverlopen bij de verwerking van RPC’s (Remote Procedure Calls) door Samba. Door het versturen van een kwaadwillig vervaardig pakket kan een niet-geïdentificeerde externe gebruiker zorgen voor het weigeren van een service of het uitvoeren van willekeurige code met systeembevoegdheden. Dit probleem is niet van invloed op systemen met OS X Lion.

    CVE-ID

    CVE-2012-0870: Andy Davis van NGS Secure

    CVE-2012-1182: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

  • Security Framework

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen in het beveiligingskader. De verwerking van niet-vertrouwde invoer met het Security Framework kan leiden tot de geheugenbeschadiging. Dit probleem is niet van invloed op 32-bits-processen.

    CVE-ID

    CVE-2012-0662: aazubel in samenwerking met het Zero Day Initiative van HP

  • Time Machine

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: een externe aanvaller kan toegang verkrijgen tot de inloggegevens van de Time Machine-reservekopie van een gebruiker

    Beschrijving: de gebruiker kan een Time Capsule of een extern AFP-volume dat gekoppeld is aan een AirPort-basisstation instellen voor gebruik voor reservekopieën van Time Machine. Firmware-update 7.6 voor AirPort-basisstations en Time Capsule geven Time Capsules en basisstations ondersteuning voor een beveiligd SRP-gebaseerd mechanisme voor identiteitscontrole via AFP. Time Machine vereiste echter niet dat het SRP-gebaseerde mechanisme voor identiteitscontrole werd gebruikt voor latere back-ups, zelfs als Time Machine oorspronkelijk was geconfigureerd of verbinding maakte met een Time Capsule of basisstation die dit ondersteunde. Een aanvaller die het externe volume kan vervalsen, verkrijgt mogelijk toegang tot de Time Capsule-inloggegevens van de gebruiker, maar niet tot de reservekopiegegevens, die door het systeem van de gebruiker werden verstuurd. Dit probleem wordt verholpen door het gebruik van het SRP-gebaseerde mechanische voor identiteitscontrole als de back-upbestemming dit ooit heeft ondersteund.

    CVE-ID

    CVE-2012-0675: Renaud Deraison van Tenable Network Security, Inc.

  • X11

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3

    Impact: programma’s die libXfont gebruiken om LZW-gecomprimeerde gegevens te verwerken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van LZW-gecomprimeerde gegevens door libXfont. Dit probleem wordt verholpen door libXfont bij te werken naar versie 1.4.4.

    CVE-ID

    CVE-2011-2895: Tomas Hoger van Red Hat
     

Opmerking: deze update filtert ook dynamische koppelomgevingsvariabelen van een aangepaste omgevingseigenschappenlijst in de thuismap van de gebruiker, indien deze aanwezig zijn.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: