Om sikkerhetsinnholdet i Mac OS X v10.6.7 og sikkerhetsoppdatering 2011-001

Dette dokumentet beskriver sikkerhetsinnholdet i Mac OS X v10.6.7 og sikkerhetsoppdatering 2011-001.

Dette dokumentet er en beskrivelse av sikkerhetsinnholdet i Mac OS X v10.6.7 og sikkerhetsoppdatering 2011-001, som kan lastes ned og installeres ved hjelp av Programvareoppdatering eller fra Apple Support Nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Mac OS X v10.6.7 og sikkerhetsoppdatering 2011-001

  • AirPort

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Når datamaskinen er tilkoblet via Wi-Fi, kan en angriper i samme nettverk bli i stand til å nullstille systemet

    Beskrivelse: Det var et problem med divisjon med null ved håndtering av Wi-Fi-rammer. Når datamaskinen er tilkoblet via Wi-Fi, kan en angriper i samme nettverk bli i stand til å nullstille systemet. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2011-0172

  • Apache

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Flere sårbarheter i Apache 2.2.15

    Beskrivelse: Apache oppdateres til versjon 2.2.17 for å korrigere flere svakhetspunkter. Det største problemet kan innebære nekting av tjeneste. Mer informasjon er tilgjengelig via Apache-nettstedet på adressen http://httpd.apache.org/

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Kjøring av et AppleScript Studio-basert program som tillater at ikke godkjente inndata overføres til en dialogrute, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det var et problem med formateringsstreng i AppleScript Studios generiske dialogrutekommandoer («vis dialogrute» og «vis varsel»). Kjøring av et AppleScript Studio-basert program som tillater at ikke godkjente inndata overføres til en dioalogrute, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med heap-bufferoverflyt ved håndtering av OpenType-fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0174

  • ATS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var flere problemer med bufferoverflyt ved håndtering av TrueType-fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0175: Christoph Diehl hos Mozilla, Felix Grobert hos Google Security Team, Marc Schoenefeld hos Red Hat Security Response Team, Tavis Ormandy og Will Drewry hos Google Security Team

  • ATS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var flere problemer med bufferoverflyt ved håndtering av Type 1-fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0176: Felix Grobert hos Google Security Team, geekable som arbeider for TippingPoints Zero Day Initiative

  • ATS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var flere problemer med bufferoverflyt ved håndtering av SFNT-tabeller. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0177: Marc Schoenefeld hos Red Hat Security Response Team

  • bzip2

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Bruk av kommandolinjeverktøyet bzip2 eller bunzip2 til å dekomprimere en bzip2-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var en heltallsoverflyt i bzip2s håndtering av bzip2-komprimerte filer. Bruk av kommandolinjeverktøyet bzip2 eller bunzip2 til å dekomprimere en bzip2-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Programmer som bruker FSFindFolder() med flagget kTemporaryFolderType, kan være sårbare for en lokal avdekking av informasjon

    Beskrivelse: Når APIen FSFindFolder() brukes med flagget kTemporaryFolderType, returnerer den en katalog som kan leses av alle. Dette problemet er løst ved at det returneres en katalog som bare kan leses av brukeren som prosessen kjører som.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    Tilgjengelig for: Mac OS X Server v10.5.8, Mac OS X Server v10.6.6

    Virkning: Flere sårbarheter i ClamAV

    Beskrivelse: Det er mange svakheter i ClamAV, og den alvorligste kan forårsake kjøring av vilkårlig kode. Denne oppdateringen løser problemet ved å oppdatere ClamAV til versjon 0.96.5. ClamAV distribueres bare sammen med Mac OS X Server-systemer. Ytterligere informasjon er tilgjengelig via ClamAV-nettstedet på http://www.clamav.net/

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i CoreTexts håndtering av fontfiler. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0179: Christoph Diehl hos Mozilla

  • Filkarantene

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Definisjon lagt til

    Beskrivelse: OSX.OpinionSpy-definisjonen har blitt lagt til for kontrollen av skadelig programvare i File Quarantine.

  • HFS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: En lokal bruker kan bli i stand til å lese vilkårlige filer fra et HFS-, HFS+- eller HFS+J-filsystem

    Beskrivelse: Det var en heltallsoverflyt ved håndtering av ioctl-forekomsten READBOOTSTRAP. En lokal bruker kan bli i stand til å lese vilkårlige filer fra et HFS-, HFS+- eller HFS+J-filsystem.

    CVE-ID

    CVE-2011-0180: Dan Rosenberg hos Virtual Security Research

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det foreligger heap-bufferoverflyt i ImageIOs håndtering av JPEG-bilder. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

     

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak hos iDefense VCP

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig XBM-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med heltallsoverflyt i ImageIOs håndtering av XBM-bilder. Visning av et skadelig XBM-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det foreligger bufferoverflyt i libTIFFs håndtering av JPEG-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det foreligger bufferoverflyt i libTIFFs håndtering av CCITT-gruppe 4-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig JPEG-kodet TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med heltallsoverflyt i ImageIOs håndtering av JPEG-kodede TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2011-0194: Dominic Chell hos NGS Secure

  • Image RAW

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig Canon RAW-bilde kan resultere i at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var flere problemer med bufferoverflyt i Image RAWs håndtering av Canon RAW-bilder. Visning av et skadelig Canon RAW-bilde kan resultere i at et program avsluttes uventet eller at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0193: Paul Harrington hos NGS Secure

  • Installeringsprogram

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Besøk på et skadelig nettsted kan føre til installering av en agent som kontakter en vilkårlig server når brukeren logger seg på, og kan villede brukeren til å tro at tilkoblingen er til Apple

    Beskrivelse: Et problem med URL-behandling i Install Helper kan føre til installering av en agent som kontakter en vilkårlig server når brukeren logger seg på. Dialogruten som åpnes med feil tilkobling, kan villede brukeren til å tro at tilkoblingen ble forsøkt gjort med Apple. Problemet er løst ved å fjerne Install Helper.

    CVE-ID

    CVE-2011-0190: Aaron Sigel hos vtty.com

  • Kerberos

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Flere sårbarheter i MIT Kerberos 5

    Beskrivelse: Det var flere problemer med kryptografi i MIT Kerberos 5 Bare CVE-2010-1323 påvirker Mac OS X v10.5. Mer informasjon om problemene og oppdateringene som brukes, er tilgjengelig på MIT Kerberos-nettstedet http://web.mit.edu/Kerberos/

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med kontroll av rettigheter i i386_set_ldt-systemkallets håndtering av kallporter. En lokal bruker kan klare å kjøre arbitrær kode med systemrettigheter. Dette problemet er løst ved å ikke tillate kallportoppføringer via i386_set_ldt().

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: En ekstern angriper kan forårsake nekting av tjeneste på verter som eksporterer NFS-filsystemer

    Beskrivelse: Det var et problem med avkutting av heltall i Libinfos håndtering av NFS RPC-pakker. En ekstern angriper kan forårsake at NFS RPC-tjenester som lockd, statd, mountd og portmap, ikke svarer.

    CVE-ID

    CVE-2011-0183: Peter Schwenk hos University of Delaware

  • libxml

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et problem med ødelagt hukommelse i libxmls håndtering av XPath-uttrykk. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh fra Bkis (www.bkis.com)

  • libxml

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det er et dobbeltfrigivelsesproblem i libxmls håndtering av XPath-uttrykk. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2010-4494: Yang Dingning ved NCNIPC, Graduate University of Chinese Academy of Sciences

  • Mailman

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Flere sårbarheter i Mailman 2.1.13

    Beskrivelse: Det var flere problemer med skripting mellom nettsteder i Mailman 2.1.13. Disse problemene er løst ved å oppdatere Mailman til versjon 2.1.14. Ytterligere informasjon er tilgjengelig via Mailmans nettsted på http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

    CVE-ID

    CVE-2010-3089

  • PHP

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Flere sårbarheter i PHP 5.3.3

    Beskrivelse: PHP oppdateres til versjon 5.3.4 for å rette flere sårbarheter, der den mest alvorlige kan føre til at vilkårlig kode kjøres. Mer informasjon er tilgjengelig via PHP-nettstedet på adressen http://www.php.net/.

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Flere sårbarheter i PHP 5.2.14

    Beskrivelse: PHP oppdateres til versjon 5.2.15 for å rette flere svakheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Mer informasjon er tilgjengelig via PHP-nettstedet på adressen http://www.php.net/.

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Nedlasting av en skadelig Excel-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickLooks håndtering av Excel-filer. Nedlasting av en skadelig Excel-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2011-0184: Tobias Klein som arbeider med Verisign iDefense Labs

  • QuickLook

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Nedlasting av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-1417 : Charlie Miller og Dion Blazakis, som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Åpning av et skadelig JPEG2000-bilde med QuickTime kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var flere problemer med ødelagt minne i QuickTimes håndtering av JPEG2000-bilder. Åpning av et skadelig JPEG2000-bilde med QuickTime kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres.

    CVE-ID

    CVE-2011-0186: Will Dormann of the CERT/CC

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en heltallsoverflyt i QuickTimes håndtering av filmfiler. Visning av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. For Mac OS X v10.5 ble dette problemet løst i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-4009: Honggang Ren hos Fortinets FortiGuard Labs

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av et skadelig FlashPix-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt minne i QuickTimes håndtering av FlashPix-bilder. Visning av et skadelig FlashPix-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. For Mac OS X v10.5 ble dette problemet løst i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3801: Damian Put som arbeider med TippingPoints Zero Day Initiative, og Rodrigo Rubira Branco fra Check Point Vulnerability Discovery Team

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Besøk på et skadelig nettsted kan føre til avsløring av videodata fra et annet nettsted

    Beskrivelse: Det var et problem på tvers av opprinnelsessteder i QuickTime-programtilleggets håndtering av omdirigeringer på tvers av opprinnelsessteder. Besøk på et skadelig nettsted kan føre til avsløring av videodata fra et annet nettsted. Problemet ble løst ved å hindre at QuickTime omdirigerer på tvers av opprinnelsessteder.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai og Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Visning av en skadelig QTVR-filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickTimes håndtering av panoramaprøveatomer i QTVR-filmfiler (QuickTime Virtual Reality). Visning av en skadelig QTVR-filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. For Mac OS X v10.5 ble dette problemet løst i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3802: En anonym forsker som arbeider med TippingPoints Zero Day Initiative

  • Ruby

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Kjøring av et Ruby-skript som bruker ikke godkjente inndata til å opprette et BigDecimal-objekt, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det var et problem med avkutting av heltall i Rubys BigDecimal-klasse. Kjøring av et Ruby-skript som bruker ikke godkjente inndata til å opprette et BigDecimal-objekt, kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Dette problemet påvirker bare 64-bits Ruby-prosesser.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller at vilkårlig kode kjøres

    Beskrivelse: Det foreligger stakkbufferoverflyt i Sambas håndtering av Windows Security ID-er. Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller at vilkårlig kode kjøres.

    CVE-ID

    CVE-2010-3069

  • Subversion

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Subversion-servere som bruker den ikke standard konfigurasjonsinnstillingen «SVNPathAuthz short_circuit» mod_dav_svn, kan tillate ikke godkjente brukere får tilgang til deler av arkivet

    Beskrivelse: Subversion-servere som bruker den ikke standard konfigurasjonsinnstillingen «SVNPathAuthz short_circuit» mod_dav_svn, kan tillate ikke godkjente brukere får tilgang til deler av arkivet. Problemet ble løst ved å oppdatere Subversion til versjon 1.6.13. Dette problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2010-3315

  • Terminal

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Når ssh brukes i Terminal-dialogruten «Ny ekstern tilkobling», velges SSH versjon 1 som standard protokollversjon

    Beskrivelse: Når ssh brukes i Terminal-dialogruten «Ny ekstern tilkobling», velges SSH versjon 1 som standard protokollversjon. Problemet er løst ved å endre standard protokollversjon til Automatisk. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2011-0189: Matt Warren of HNW Inc.

  • X11

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.6, Mac OS X Server v10.6 til og med v10.6.6

    Virkning: Flere sårbarheter i FreeType

    Beskrivelse: Det foreligger flere sårbarheter i FreeType , og den mest alvorlige kan føre til vilkårlig utførelse av kode ved tilgang til en skadelig font. Disse problemene løses ved å oppdatere FreeType til versjon 2.4.4. Ytterligere informasjon kan fås på nettsidene til FreeType på http://www.freetype.org/

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: