Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004
Les om sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004.
Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004
Merk: OS X Mountain Lion v10.8.2 inkluderer innholdet i Safari 6.0.1. Hvis du vil vite mer, kan du se Om sikkerhetsinnholdet i Safari 6.0.1.
Apache
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Flere sårbarheter i Apache
Beskrivelse: Apache oppdateres til versjon 2.2.22 for å korrigere flere svakhetspunkter. Det største problemet kan innebære nekting av tjeneste. Mer informasjon er tilgjengelig via Apache-nettstedet på adressen http://httpd.apache.org/. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: En ekstern angriper kan være i stand til å forårsake tjenestenekt i systemer som er konfigurert for å kjøre BIND som en DNS-navnetjener
Beskrivelse: Det var et oppnåelig påstandsproblem i håndteringen av DNS-poster. Problemet ble løst ved oppdatering til BIND 9.7.6-P1. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-4313
BIND
Tilgjengelig for: OS X Lion v10.7 to v10.7.4, OS X Lion Server v10.7 to v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Virkning: En ekstern angriper kan være i stand til å forårsake tjenestenekt, dataødeleggelse eller innhenting av sensitiv informasjon fra prosesshukommelse i systemer som er konfigurert for å kjøre BIND som en DNS-navnetjener
Beskrivelse: Det var et problem med hukommelsesadministrasjon i håndteringen av DNS-poster. Dette problemet ble løst ved oppdatering til BIND 9.7.6-P1 i OS X Lion-systemer og BIND 9.8.3-P1 i OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-1667
CoreText
Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Programmer som bruker CoteText, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var et grensekontrollproblem i håndteringen av tekstglyfer, som kunne føre til hukommelseslesing og -skriving utenfor grensene. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke Mac OS X v10.6- og OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-3716 : Jesse Ruderman i Mozilla Corporation
Datasikkerhet
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Virkning: En angriper i en priviligert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon
Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og så inndratt, et del-CA-sertifikat fra et av dets klarerte ankere. Dette del-CA la til rette for oppfanging av kommunikasjon som var sikret med Transport Layer Security (TLS). Denne oppdateringen legger til det aktuelle del-CA-sertifikatet i OS X-listen over ikke-klarerte sertifikater.
DirectoryService
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Virkning: Hvis DirectoryService-proxyenbrukes, kan en ekstern angriper forårsake nekting av tjeneste eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i DirectoryService-proxyen. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Lion og Mountain Lion-systemer.
CVE-ID
CVE-2012-0650: aazubel som arbeider med HPs Zero Day Initiative
ImageIO
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av et skadelig PNG-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i libpng-håndteringen av PNG-bilder. Disse problemene ble løst ved forbedret kontroll av PNG-bilder. Problemene påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-3026: Jüri Aedla
CVE-2011-3048
ImageIO
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med heltallsoverflyt i libTIFFs håndtering av TIFF-bilder. Problemet ble løst ved forbedret kontroll av TIFF-bilder. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-1173 : Alexander Gavrun fra HPs Zero Day Initiative
Installeringsprogram
Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Eksterne administratorer og personer med fysisk tilgang til systemet kan få kontoinformasjon
Beskrivelse: Rettelsen for CVE-2012-0652 i OS X Lion 10.7.4 hindret at brukerpassord ble registrert i systemloggen, men slettet ikke de gamle loggoppføringene. Dette problemet ble løst ved å slette loggfiler som inneholdt passord. Dette problemet påvirker ikke Mac OS X v 10.6 eller OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-0652
Internasjonale komponenter for Unicode
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Programmer som bruker ICU, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av ICU lokasjons-IDer. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-4599
Kjerne
Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Et skadelig program kunne omgå sandkasserestriksjonene
Beskrivelse: Det var et logikkproblem i håndteringen av feilsøkingssystemkall. Dette kan tillate at et skadelig program kan kjøre kode i andre programmer med samme brukerrettigheter. Dette problemet ble løst ved å deaktivere håndtering av adresser i PT_STEP og PT_CONTINUE. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-0643: 2012 iOS Jailbreak Dream Team
Påloggingsvindu
Tilgjengelig for: OS X Mountain Lion v10.8 og v10.8.1
Virkning: En lokal bruker kan få tak i påloggingspassordet til andre brukere
Beskrivelse: En brukerinstallert inndatametode kunne fange opp passordtastetrykk fra påloggingsvinduet eller opplåsingsvinduet for skjermsparer. Dette problemet ble løst ved å hindre bruk av brukerinstallerte inndatametoder mens systemet håndterer påloggingsinformasjon.
CVE-ID
CVE-2012-3718: Lukhnos Liu
Mail
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av en e-postmelding kan føre til kjøring av web-innpluggingsmoduler
Beskrivelse: Det var en inndatakontrollfeil i Mails håndtering av innebygde web-innpluggingsmoduler. Dette problemet ble løst ved å deaktivere innpluggingsmoduler fra tredjepart i Mail. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-3719: Will Dormann hos CERT/CC
Mobile kontoer
Tilgjengelig for: OS X Mountain Lion v10.8 og v10.8.1
Virkning: En bruke med tilgang til innholdet på en mobil konto, kan få tak i kontopassordet
Beskrivelse: Oppretting av en mobil konto lagret en hash av passordet på kontoen, som ble brukt til pålogging når den mobile kontoen ble brukt som en ekstern konto. Passord-hashen kunne brukes til å fastslå brukerens passord. Dette problemet ble løst ved å opprette passord-hashen bare hvis eksterne kontoer er aktivert i systemet der den mobile kontoen opprettes.
CVE-ID
CVE-2012-3720 : Harald Wagener i Google, Inc.
PHP
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1
Virkning: Flere svakheter i PHP
Beskrivelse: > PHP oppdateres til versjon 5.3.15 for å rette flere svakheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Mer informasjon er tilgjengelig på PHP-nettstedet http://www.php.net/.
CVE-ID
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: PHP-skript som bruker libpng, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av PNG-filer. Problemet ble løst ved å oppdatere PHPs kopi av libpng til version 1.5.10. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-3048
Profile Manager
Tilgjengelig for: OS X Lion Server v10.7 til v10.7.4
Virkning: En uautorisert bruker kunne telle opp administrerte enheter
Beskrivelse: Det var et autentiseringsproblem i det private grensesnittet for enhetsadministrasjon. Dette problemet ble løst ved å fjerne grensesnittet.
Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-3721 : Derick Cassidy i XEquals Corporation
QuickLook
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av en skadelig .pict-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av .pict-filer. Problemet ble løst ved forbedret validering av .pict-filer. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon) fra Qualys Vulnerability & Malware Research Labs (VMRL)
QuickTime
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var en heltallsoverflyt i QuickTimes håndtering av sean-atomer. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-0670 : Tom Gallagher (Microsoft) og Paul Bates (Microsoft) fra HPs Zero Day Initiative
QuickTime
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ikke initialisert hukommelsestilgang i håndteringen av Sorenson-kodede filmfiler. Dette problemet ble løst ved forbedret initialisering av hukommelse. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-3722: Will Dormann hos CERT/CC
QuickTime
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av RLE-kodede filmfiler. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-0668: Luigi Auriemma som arbeider med HPs Zero Day Initiative
Ruby
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: En angriper kan være i stand til å dekryptere data som er beskyttet av SSL
Beskrivelse: Det finnes kjente angrep på konfidensialiteten til SSL 3.0 og TLS 1.0 når en chiffersamling bruker blokkchiffrering i CBC-modus. Ruby OpenSSL-modulen deaktiverte "tomt fragment"-tiltaket som hindret disse angrepene. Problemet ble løst ved å aktivere tomme fragmenter. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2011-3389
USB
Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4
Virkning: Tilkobling av en USB-enhet kan føre til uventet avslutning av systemet eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av USB-hubdeskriptorer. Dette problemet ble løst gjennom forbedret håndtering av bNbrPorts-deskriptorfeltet. Dette problemet påvirker ikke OS X Mountain Lion-systemer.
CVE-ID
CVE-2012-3723: Andy Davis i NGS Secure
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.