OS X Lion v10.7.4 en Beveiligingsupdate 2012-002 kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
OS X Lion v10.7.4 en Beveiligingsupdate 2012-002
-
Inlogvenster
Beschikbaar voor: OS X Lion v10.7.3, OS X Lion Server v10.7.3
Impact: externe beheerders en personen met fysieke toegang tot het systeem kunnen accountinformatie verkrijgen
Beschrijving: er was een probleem met de verwerking van inlognamen van netwerkaccounts. Bij het inloggen werden vertrouwelijke gegevens in het systeemlog opgenomen en andere gebruikers van het systeem konden dit log lezen. De vertrouwelijke gegevens kunnen na de installatie van deze update in bewaarde logbestanden bewaard blijven. Dit probleem is alleen van invloed op systemen met OS X Lion v10.7.3 bij gebruikers van Legacy File Vault en/of thuismappen in het netwerk. Raadpleeg http://support.apple.com/kb/TS4272?viewlocale=nl_NL voor meer informatie over hoe resterende bestanden veilig worden verwijderd.
CVE-ID
CVE-2012-0652: Terry Reeves en Tim Winningham van de Ohio State University, Markus ‘Jaroneko’ Räty van de Finnish Academy of Fine Arts, Jaakko Pero van Aalto University, Mark Cohen van Oregon State University, Paul Nelson
-
Bluetooth
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de racevoorwaarde van een tijdelijk bestand bij de initialisatie in blued.
CVE-ID
CVE-2012-0649: Aaron Sigel van vtty.com
-
curl
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd
Beschrijving: er zijn gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. curl schakelde de tegenmaatregel ‘leeg fragment’ uit die deze aanvallen voorkwam. Dit probleem wordt verholpen door lege fragmenten in te schakelen.
CVE-ID
CVE-2011-3389: Apple
-
curl
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het gebruik van curl of libcurl met een kwaadwillig vervaardigde URL kan leiden tot protocolspecifieke aanvallen voor de plaatsing van gegevens
Beschrijving: er was een probleem met de plaatsing van gegevens bij de verwerking van URL’s door curl. Dit probleem wordt verholpen door een verbeterde validatie van URL’s. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.
CVE-ID
CVE-2012-0036
-
Adreslijstvoorziening
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: een externe aanvaller kan vertrouwelijke gegevens verkrijgen
Beschrijving: er waren meerdere problemen met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver geheugen van de adresruimte vrijgeeft waardoor toegangsgegevens van de account of andere vertrouwelijke gegevens mogelijk worden vrijgegeven. Dit probleem is niet van invloed op systemen met OS X Lion. De adreslijstserver is standaard uitgeschakeld bij niet-serverinstallaties van OS X.
CVE-ID
CVE-2012-0651: Agustin Azubel
-
HFS
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het activeren van een kwaadwillig vervaardigde schijfkopie kan leiden tot het uitschakelen van het systeem of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een onderloop van gehele getallen bij de verwerking van HFS-catalogusbestanden.
CVE-ID
CVE-2012-0642: pod2g
-
ImageIO
Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van CCITT Group 4-gecodeerde TIFF-bestanden door ImageIO. Dit probleem is niet van invloed op systemen met OS X Lion.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX van Tessi Technologies
-
ImageIO
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: meerdere kwetsbaarheden in libpng
Beschrijving: libpng is bijgewerkt naar versie 1.5.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste kunnen leiden tot de vrijgave van gegevens. Meer informatie is beschikbaar via de libpng-website op http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2011-2692
CVE-2011-3328
-
ImageIO
Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van ThunderScan-gecodeerde TIFF-bestanden door libtiff. Dit probleem wordt verholpen door libtiff bij te werken naar versie 3.9.5.
CVE-ID
CVE-2011-1167
-
Kernel
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: bij gebruik van FileVault kan de schijf niet-gecodeerde gebruikersgegevens bevatten
Beschrijving: de kernel vertoonde een probleem met de verwerking van de sluimerkopie voor de sluimerstand waardoor sommige gegevens op de schijf niet werden gecodeerd, zelfs wanneer FileVault was ingeschakeld. Dit probleem is verholpen met een verbeterde verwerking van de sluimerkopie en door de bestaande sluimerkopie te overschrijven bij het bijwerken naar OS X v10.7.4. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.
CVE-ID
CVE-2011-3212: Felix Groebert van Google Security Team
-
libarchive
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het extraheren van een kwaadwillig vervaardigd archief kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere bufferoverlopen bij de verwerking van tar-archieven en iso9660-bestanden.
CVE-ID
CVE-2011-1777
CVE-2011-1778
-
libsecurity
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: de controle van een kwaadwillig vervaardigd X.509-certificaat, zoals een bezoek aan een kwaadwillig vervaardigde website, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van X.509-certificaten.
CVE-ID
CVE-2012-0654: Dirk-Willem van Gulik van WebWeaving.org, Guilherme Prado van Conselho da Justiça Federal, Ryan Sleevi van Google
-
libsecurity
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: de ondersteuning voor X.509-certificaten met RSA-sleutels met een onveilige lengte kan gebruikers blootstellen aan de vervalsing en vrijgave van gegevens
Beschrijving: certificaten die zijn ondertekend met RSA-sleutels met een onveilige sleutellengte werden door libsecurity aanvaard. Dit probleem wordt verholpen door certificaten met RSA-sleutels die kleiner zijn dan 1024 bits te weigeren.
CVE-ID
CVE-2012-0655
-
libxml
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het bekijken van een kwaadwillig vervaardigde webpagina kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in libxml waarvan de ernstigste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze problemen worden verholpen door de relevante upstream-patches toe te passen.
CVE-ID
CVE-2011-1944: Chris Evans van het Google Chrome Security Team
CVE-2011-2821: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: Yang Dingning van NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
-
LoginUIFramework
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: als de gastgebruiker ingeschakeld is, kan een gebruiker met fysieke toegang tot de computer inloggen bij een gebruiker die geen gastgebruiker is zonder een wachtwoord in te voeren
Beschrijving: er was een racevoorwaarde bij de verwerking van inlognamen van gastgebruikers. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.
CVE-ID
CVE-2012-0656: Francisco Gómez (espectalll123)
-
PHP
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: meerdere kwetsbaarheden in PHP
Beschrijving: PHP wordt bijgewerkt naar versie 5.3.10 om meerdere kwetsbaarheden op te lossen, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Meer informatie vindt u via de website van PHP op http://www.php.net
CVE-ID
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
-
Quartz Composer
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: een gebruiker met fysieke toegang tot de computer kan Safari starten als het scherm is vergrendeld en de schermbeveiliging RSS Visualizer wordt gebruikt
Beschrijving: er was een probleem met de toegangscontrole bij de verwerking van schermbeveiligingen door Quartz Composer. Dit probleem wordt verholpen door een verbeterde controle van de al dan niet vergrendelde status van het scherm.
CVE-ID
CVE-2012-0657: Aaron Sigel van vtty.com
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand tijdens een progressieve download kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van audiosampletabellen.
CVE-ID
CVE-2012-0658: Luigi Auriemma in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van MPEG-bestanden.
CVE-ID
CVE-2012-0659: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het bekijken van een kwaadwillig vervaardigd MPEG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferonderloop bij de verwerking van MPEG-bestanden.
CVE-ID
CVE-2012-0660: Justin Kim van Microsoft en Microsoft Vulnerability Research
-
QuickTime
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een ‘use after free’-probleem bij de verwerking van JPEG2000-gecodeerde filmbestanden. Dit probleem is niet van invloed op systemen ouder dan OS X Lion.
CVE-ID
CVE-2012-0661: Damian Put in samenwerking met het Zero Day Initiative van HP
-
Ruby
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: meerdere kwetsbaarheden in Ruby
Beschrijving: Ruby is bijgewerkt naar 1.8.7-p357 om meerdere kwetsbaarheden te verhelpen.
CVE-ID
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
-
Samba
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: als SMB-bestandsdeling is ingeschakeld, kan een niet-geïdentificeerde externe aanvaller zorgen voor het weigeren van service of het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: er waren meerdere problemen met bufferoverlopen bij de verwerking van RPC’s (Remote Procedure Calls) door Samba. Door het versturen van een kwaadwillig vervaardig pakket kan een niet-geïdentificeerde externe gebruiker zorgen voor het weigeren van een service of het uitvoeren van willekeurige code met systeembevoegdheden. Dit probleem is niet van invloed op systemen met OS X Lion.
CVE-ID
CVE-2012-0870: Andy Davis van NGS Secure
CVE-2012-1182: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP
-
Security Framework
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen in het beveiligingskader. De verwerking van niet-vertrouwde invoer met het Security Framework kan leiden tot de geheugenbeschadiging. Dit probleem is niet van invloed op 32-bits-processen.
CVE-ID
CVE-2012-0662: aazubel in samenwerking met het Zero Day Initiative van HP
-
Time Machine
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: een externe aanvaller kan toegang verkrijgen tot de inloggegevens van de Time Machine-reservekopie van een gebruiker
Beschrijving: de gebruiker kan een Time Capsule of een extern AFP-volume dat gekoppeld is aan een AirPort-basisstation instellen voor gebruik voor reservekopieën van Time Machine. Firmware-update 7.6 voor AirPort-basisstations en Time Capsule geven Time Capsules en basisstations ondersteuning voor een beveiligd SRP-gebaseerd mechanisme voor identiteitscontrole via AFP. Time Machine vereiste echter niet dat het SRP-gebaseerde mechanisme voor identiteitscontrole werd gebruikt voor latere back-ups, zelfs als Time Machine oorspronkelijk was geconfigureerd of verbinding maakte met een Time Capsule of basisstation die dit ondersteunde. Een aanvaller die het externe volume kan vervalsen, verkrijgt mogelijk toegang tot de Time Capsule-inloggegevens van de gebruiker, maar niet tot de reservekopiegegevens, die door het systeem van de gebruiker werden verstuurd. Dit probleem wordt verholpen door het gebruik van het SRP-gebaseerde mechanische voor identiteitscontrole als de back-upbestemming dit ooit heeft ondersteund.
CVE-ID
CVE-2012-0675: Renaud Deraison van Tenable Network Security, Inc.
-
X11
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.3, OS X Lion Server v10.7 t/m v10.7.3
Impact: programma’s die libXfont gebruiken om LZW-gecomprimeerde gegevens te verwerken, zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van LZW-gecomprimeerde gegevens door libXfont. Dit probleem wordt verholpen door libXfont bij te werken naar versie 1.4.4.
CVE-ID
CVE-2011-2895: Tomas Hoger van Red Hat
Opmerking: deze update filtert ook dynamische koppelomgevingsvariabelen van een aangepaste omgevingseigenschappenlijst in de thuismap van de gebruiker, indien deze aanwezig zijn.