Om sikkerhetsinnholdet i Mac OS X v10.6.8 og sikkerhetsoppdatering 2011-004

Dette dokumentet beskriver Mac OS X v10.6.8 og sikkerhetsoppdatering 2011-004.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering-valg eller fra Support Nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Mac OS X v10.6.8 og sikkerhetsoppdatering 2011-004

  • AirPort

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Når datamaskinen er tilkoblet via Wi-Fi, kan en angriper i samme nettverk være i stand til å forårsake at systemet nullstilles

    Beskrivelse: Det var et problem med tilgang utenfor hukommelsesområdet i håndteringen av Wi-Fi-rammer. Når datamaskinen er tilkoblet via Wi-Fi, kan en angriper i samme nettverk være i stand til å forårsake at systemet nullstilles Problemet berører ikke Mac OS X v10.6.

    CVE-ID

    CVE-2011-0196

  • App Store

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Brukerens Apple-ID-passord kan bli loggført i en lokal fil

    Beskrivelse: I enkelte tilfeller kan App Store loggføree brukerens Apple-ID-passord i en fil som ikke kan leses av andre brukere i systemet. Problemet løses ved forbedret håndtering av akkreditiver.

    CVE-ID

    CVE-2011-0197: Paul Nelson

  • ATS

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med heap-bufferoverflyt ved håndtering av TrueType-fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld i Red Hat Security Response Team

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: Det var et feilhåndteringsproblem i retningslinjene for sertifikatgodkjenning. Hvis et utvidet valideringssertifikat (EV) ikke har en OCSP URL-adresse og CRL-kontroll er aktivert, kontrolleres ikke CRL, og et tilbakekalt sertifikat kan bli godtatt som gyldig. Problemet er redusert fordi de fleste EV-sertifikater angir en OCSP URL-adresse.

    CVE-ID

    CVE-2011-0199: Chris Hawk og Wan-Teh Chang i Google

  • ColorSync

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Åpning av et skadelig bilde med innebygd ColorSync-profil, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heltallsoverflyt i håndteringen av bilder med innebygd ColorSync-profil, noe som kan føre til heap-bufferoverflyt. Åpning av et skadelig bilde med innebygd ColorSync-profil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0200: binaryproof som arbeider med TippingPoints Zero Day Initiative

  • CoreFoundation

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Programmer som bruker CoreFoundation-rammeverket, kan være sårbare for uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med bufferoverflyt med en forskyvning på én i håndteringen av CFStrings. Programmer som bruker CoreFoundation-rammeverket, kan være utsatt for uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med heltallsoverflyt i håndteringen av Type 1-fonter. Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0202: Cristian Draghici hos Modulo Consulting, Felix Grobert hos Google Security Team

  • FTP Server

    Tilgjengelig for: Mac OS X Server v10.6 til v10.6.7

    Virkning: En person med FTP-tilgang kan vise en liste over filer i systemet

    Beskrivelse: Det var et problem med banevalidering i xftpd. En person med FTP-tilgang kan utføre en rekursiv katalogoversikt som starter fra roten og inkluderer kataloger som ikke deles for FTP. Oversikten vil etter hvert inkludere alle filer som ville vært tilgjengelig for FTP-brukeren. Innholdet i filene avsløres ikke. Problemet er løst gjennom forbedret banevalidering. Problemet berører bare Mac OS X Server-systemer.

    CVE-ID

    CVE-2011-0203: team karlkani

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med heap-bufferoverflyt i ImageIOs håndtering av TIFF-bilder. Visning av et skadelig TIFF-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0204: Dominic Chell i NGS Secure

  • ImageIO

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med heap-bufferoverflyt i ImageIOs håndtering av JPEG2000-bilder. Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0205: Harry Sintonen

  • Internasjonale komponenter for Unicode

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Programmer som bruker ICU, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med bufferoverflyt i ICUs håndtering av strenger med store bokstaver. Programmer som bruker ICU, kan være sårbare for uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0206: David Bienvenu hos Mozilla

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: En lokal bruker kan forårsake en nullstilling av systemet

    Beskrivelse: Det var et problem med null-dereferanse i håndteringen av IPV6-socketvalg. En lokal bruker kan forårsake en nullstilling av systemet

    CVE-ID

    CVE-2011-1132: Thomas Clement hos Intego

  • LibSystem

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Programmer som bruker API-et glob(3), kan være sårbare for nekting av tjeneste

    Beskrivelse: Programmer som bruker API-et glob(3), kan være sårbare for nekting av tjeneste. Hvis glob-mønsteret kommer fra ikke-godkjente inndata, kan programmet henge eller bruke omfattende CPU-ressurser. Problemet er løst gjennom forbedret validering av glob-mønstre.

    CVE-ID

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Besøk på et skadelig nettsted kan føre til avsløring av adresser på heap

    Beskrivelse: libxslts implementering av XPath-funksjonen generate-id() avslørte adressen til en heap-buffer. Besøk på et skadelig nettsted kan føre til avsløring av heap-adresser. Dette problemet håndteres ved å generere en ID basert på forskjellen mellom adressene til to heap-buffere.

    CVE-ID

    CVE-2011-0195: Chris Evans i Google Chrome Security Team

  • MobileMe

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: En angriper i en privilegert nettverksposisjon kan lese e-postaliasene til en brukers MobileMe-konto

    Beskrivelse: Ved kommunikasjon med MobileMe for å fastslå en brukers e-postaliaser vil Mail sende forespørsler over HTTP. Resultatet er at en angriper i en privilegert nettverksposisjon kan lese e-postaliasene til en brukers MobileMe-konto. Problemet er løst ved å bruke SSL ved tilgang til brukerens e-postaliaser.

    CVE-ID

    CVE-2011-0207: Aaron Sigel i vtty.com

  • MySQL

    Tilgjengelig for: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7

    Virkning: Flere sårbarheter i MySQL 5.0.91

    Beskrivelse: MySQL er oppdatert til versjon 5.0.92 for å rette flere sårbarheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. MySQL leveres bare med Mac OS X Server-systemer.

    CVE-ID

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: Det var flere sårbarheter i OpenSSL, og den alvorligste kan føre til utføring av vilkårlig kode. Problemene er løst ved å oppdatere OpenSSL til versjon 0.9.8r.

    CVE-ID

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • patch

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Utføring av en rettelse på en skadelig oppdateringsfil kan føre til at vilkårlige filer blir opprettet eller overskrevet

    Beskrivelse: Det var et problem med katalogtraversering i en GNU-oppdatering. Utføring av en rettelse på en skadelig oppdateringsfil kan føre til at vilkårlige filer blir opprettet eller overskrevet. Problemet er løst gjennom forbedret validering av oppdateringsfiler.

    CVE-ID

    CVE-2010-4651

  • QuickLook

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Nedlasting av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av skadelige Microsoft Office-filer kan føre til at uventet avslutning av et program eller utføring av vilkårlig kode. Problemet gjelder ikke for systemer som er eldre enn Mac OS X v10.6.

    CVE-ID

    CVE-2011-0208: Tobias Klein som arbeider med iDefense VCP

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning av en skadelig WAV-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heltallsoverflyt i QuickTimes håndtering av RIFF WAV-filer. Visning av en skadelig WAV-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0209: Luigi Auriemma som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickTimes håndtering av eksempeltabeller i QuickTime-filmfiler. Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0210: Honggang Ren ved Fortinets FortiGuard Labs

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heltallsoverflyt i QuickTimes håndtering av filmfiler. Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0211: Luigi Auriemma som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Visning av et skadelig PICT-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i QuickTimes håndtering av PICT-bilder. Visning av et skadelig PICT-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2010-3790: Subreption LLC som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Åpning av en skadelig JPEG-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i QuickTimes håndtering av JPEG-filer. Visning av en skadelig JPEG-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0213: Luigi Auriemma som arbeider i iDefense

  • Samba

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Virkning: Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller utfløring av vilkårlig kode

    Beskrivelse: Det er stakkbufferoverflyt i Sambas håndtering av Windows sikkerhets-ID-er. Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller utføring av vilkårlig kode. Når det gjelder Mac OS X v10.6-systemer, er problemet løst i Mac OS X 10.6.7.

    CVE-ID

    CVE-2010-3069

  • Samba

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i Sambas håndtering av fildeskriptorer. Hvis SMB-fildeling er aktivert, kan en ekstern angriper forårsake nekting av tjeneste eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2011-0719: Volker Lendecke i SerNet

  • servermgrd

    Tilgjengelig for: Mac OS X Server v10.5.8, Mac OS X Server v10.6 til v10.6.7

    Virkning: En ekstern angriper kan lese vilkårlige filer fra systemet

    Beskrivelse: Det er et XML External Entity-problem i servermgrds håndtering av XML-RPC-forespørsler. Problemet er løst ved å fjerne servermgrds XML-RPC-grensesnitt. Problemet berører bare Mac OS X Server-systemer.

    CVE-ID

    CVE-2011-0212: Apple

  • subversion

    Tilgjengelig for: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 til og med v10.6.7, Mac OS X Server v10.6 til og med v10.6.7

    Virkning: Hvis det er konfigurert en HTTP-basert Subversion-tjener, kan en ekstern angriper forårsake nekting av tjeneste

    Det var et problem med en null-dereferanse i Subversions håndtering av låskjennetegn som sendes via HTTP. Hvis det er konfigurert en HTTP-basert Subversion-tjener, kan en ekstern angriper forårsake nekting av tjeneste. Når det gjelder Mac OS X v10.6-systemer, er Subversion oppdatert til versjon 1.6.6. Når det gjelder Mac OS X v10.5.8-systemer, er problemet løst gjennom ekstra validering av låskjennetegn. Ytterligere informasjon kan fås på Subversion-nettstedet http://subversion.apache.org/

    CVE-ID

    CVE-2011-0715

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: