Om sikkerhetsinnholdet i OS X Lion v10.7.2 og sikkerhetsoppdatering 2011-006

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Lion v10.7.2 og sikkerhetsoppdatering 2011-006.

Dette dokumentet er en beskrivelse av sikkerhetsinnholdet i OS X Lion v10.7.2 og sikkerhetsoppdatering 2011-006, som kan lastes ned og installeres via Programvareoppdatering-valg eller Apple Support Nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
 

OS X Lion v10.7.2 og sikkerhetsoppdatering 2011-006

  • Apache

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Flere sårbarheter i Apache

    Beskrivelse: Apache er oppdatert til versjon 2.2.20 for å korrigere flere sårbarheter, der det største problemet kan innebære tjenestenekting. CVE-2011-0419 gjelder ikke OS X Lion-systemer. Mer informasjon er tilgjengelig på Apache-nettstedet http://httpd.apache.org/

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Programspesifikk brannmur

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Utføring av en binærfil med skadelig navn kan føre til at vilkårlig kode utføres med utvidede rettigheter

    Beskrivelse: Det var en sårbarhet knyttet til formatstrenger i programbrannmurens feilsøkingsloggføring.

    CVE-ID

    CVE-2011-0185: en anonym rapportør

  • ATS

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et «signedness»-problem i ATS' håndtering av Type 1-fonter. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3437

  • ATS

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med tilgang utenfor hukommelsesområdet i ATS' håndtering av Type 1-fonter. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0229: Will Dormann i CERT/CC

  • ATS

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Programmer som bruker ATSFontDeactivate API-en, kan være utsatt for uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i ATSFontDeactivate API-en.

    CVE-ID

    CVE-2011-0230: Steven Michaud i Mozilla

  • BIND

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Flere sårbarheter i BIND 9.7.3

    Beskrivelse: Det var flere problemer med tjenestenekting i BIND 9.7.3. Problemene er løst ved å oppdatere BIND til versjon 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Flere sårbarheter i BIND

    Beskrivelse: Det var flere problemer med tjenestenekting i BIND. Problemene er løst ved å oppdatere BIND til versjon 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1.

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Flere godkjente sertifikater ble lagt til i listen over systemrøtter. Flere eksisterende sertifikater ble oppdatert til nyeste versjon. Den komplette listen over gjenkjente systemrøtter kan vises via Nøkkelringtilgang-programmet.

  • CFNetwork

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Safari kan lagre informasjonskapsler som programmet ikke er konfigurert for å godta

    Beskrivelse: Det var et synkroniseringsproblem i CFNetworks håndtering av policyer for informasjonskapsler. Safaris innstillinger for informasjonskapsler ble ikke fulgt, slik at nettsteder kunne legge inn informasjonskapsler som ville blitt blokkert hvis innstillingene ble håndhevet. Denne oppdateringen løser problemet gjennom forbedret håndtering av informasjonskapsler.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Steve Riggins i Geeks R. Us, Justin C. Walker og Stephen Creswell

  • CFNetwork

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Besøk på et skadelig nettsted kan føre til avsløring av sensitiv informasjon

    Beskrivelse: Det var et problem i CFNetworks håndtering av HTTP-informasjonskapsler. Ved besøk på skadelige HTTP eller HTTPS URL-er kunne CFNetwork feilaktig sende informasjonskapslene til et domene til en tjener utenfor domenet. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen i Facebook

  • CoreFoundation

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av et skadelig nettsted eller en skadelig e-postmelding kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i CoreFoundations håndtering av strengtokenisering. Problemet gjelder ikke OS X Lion-systemer. Denne oppdateringen løser problemet gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Besøk på et skadelig nettsted kan føre til avsløring av videodata fra et annet nettsted

    Beskrivelse: Det var et problem med flere opphav i CoreMedias håndtering av omdirigeringer på tvers av nettsteder. Problemet er løst gjennom forbedret sporing av opprinnelsessteder.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai og Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i håndteringen av QuickTime-filmfiler. Problemene gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Det er mulig at en person med fysisk tilgang til et system delvis kan omgå skjermlåsen

    Beskrivelse: Et systemvindu, for eksempel et VPN-passordvindu, som ble vist mens skjermen var låst, kan ha godtatt tastetrykk mens skjermen var låst. Problemet er løst ved å hindre at systemvinduer ber om tastetrykk mens skjermen er låst. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-0260: Clint Tseng ved University of Washington, Michael Kobb og Adam Kemp

  • CoreStorage

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Konvertering til FileVault sletter ikke alle eksisterende data

    Beskrivelse: Etter aktivering av FileVault forble ca. 250 MB på begynnelsen av volumet ukryptert i et ubrukt område på disken. Bare data som fantes på volumet før FileVault ble aktivert, forble ukryptert. Problemet er løst ved å slette dette området ved aktivering av FileVault, og ved første bruk av et kryptert volum som er berørt av problemet. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3212: Judson Powers i ATC-NY

  • Filsystemer

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En angriper i en privilegert nettverksposisjon kan manipulere HTTPS-tjenersertifikater, slik at sensitiv informasjon blir avslørt

    Beskrivelse: Det var et problem med håndteringen av WebDAV-volumer på HTTPS-tjenere. Hvis tjeneren presenterte en sertifikatkjede som ikke kunne verifiseres automatisk, ble det vist en advarsel og forbindelsen ble avsluttet. Hvis brukeren klikket på «Fortsett»-knappen i advarselsvinduet, ble alle sertifikater godtatt for neste tilkobling av tjeneren. En angriper i en privilegert nettverksposisjon kan ha manipulert forbindelsen for å innhente sensitiv informasjon eller utføre handlinger på tjeneren på brukerens vegne. Denne oppdateringen løser problemet ved å kontrollere at sertifikatet som mottas på den andre forbindelsen, er det samme sertifikatet som opprinnelig ble presentert for brukeren.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Det er mulig at en person med fysisk tilgang delvis kan omgå skjermlåsen

    Beskrivelse: Det var et problem med skjermlåsen ved bruk av Apple Cinema-skjermer. Når det kreves passord for vekking fra dvale, kan en person med fysisk tilgang få tilgang til systemet uten å oppgi passordet hvis skjermen er i dvalemodus. Denne oppdateringen løser problemet ved å sikre at skjermlåsen er riktig aktivert når skjermen er i dvalemodus. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat Server

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En ekstern angriper kan sørge for at Jabber-tjeneren forbruker uforholdsmessig mye systemressurser

    Beskrivelse: Det var et problem med håndteringen av eksterne XML-enheter i jabberd2, en tjener for Extensible Messaging and Presence-protokollen (XMPP). jabberd2 utvider eksterne enheter i innkommende forespørsler. Dette gir en angriper mulighet til å forbruke systemressurser svært raskt, og nekte tjenester for lovlige brukere av tjeneren. Denne oppdateringen løser problemet ved å deaktivere utvidelse av enheter i innkommende forespørsler.

    CVE-ID

    CVE-2011-1755

  • Kjerne

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Det er mulig at en person med fysisk tilgang kan få tilgang til brukerens passord

    Beskrivelse: En logisk feil i kjernens DMA-beskyttelse tillot firewire-DMA i påloggingsvinduet og ved oppstart og avslutning, men ikke når skjermen var låst. Denne oppdateringen løser problemet ved å hindre firewire-DMA når brukeren ikke er logget på.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • Kjerne

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En bruker uten rettigheter kan slette en annen brukers filer i en delt mappe

    Beskrivelse: Det var et logisk problem i kjernens håndtering av filslettinger i mapper med «sticky bit».

    CVE-ID

    CVE-2011-3216: Gordon Davisson i Crywolf, Linc Davis, R. Dormer, og Allan Schmid og Oliver Jeckel i Brainworks Training

  • libsecurity

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av et skadelig nettsted eller en skadelig e-postmelding kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med feilhåndteringen ved tolkning av et ikke-standard tillegg for sertifikattilbakekalling.

    CVE-ID

    CVE-2011-3227: Richard Godbee i Virginia Tech

  • Mailman

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Flere sårbarheter i Mailman 2.1.14

    Beskrivelse: Det var flere problemer med skripting mellom nettsteder i Mailman 2.1.14. Problemene ble løst gjennom forbedret koding av tegn i HTML-utdata. Mer informasjon er tilgjengelig på Mailman-nettstedet http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Åpning av en skadelig diskfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse ved håndtering av diskfiler. Problemene gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Alle brukere kan lese en annen lokal brukers passorddata

    Beskrivelse: Det var et problem med tilgangskontroll i Open Directory. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3435: Arek Dreyer i Dreyer Network Consultants, Inc og Patrick Dunstan i defenseindepth.net

  • Open Directory

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En godkjent bruker kan endre en kontos passord uten å oppgi gjeldende passord

    Beskrivelse: Det var et problem med tilgangskontroll i Open Directory. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3436: Patrick Dunstan i defenceindepth.net

  • Open Directory

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En bruker kan logge seg på uten passord

    Beskrivelse: Når Open Directory er bundet til en LDAPv3-tjener med RFC2307 eller tilpassede tilordninger, slik at det ikke finnes noe AuthenticationAuthority-attributt for en bruker, kan en LDAP-bruker logge seg på uten passord. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3226: Jeffry Strunk ved The University of Texas i Austin, Steven Eppler ved Colorado Mesa University, Hugh Cole-Baker og Frederic Metoz ved Institut de Biologie Structurale

  • PHP

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det forelå et «signedness»-problem i FreeTypes håndtering av Type 1-fonter. Problemet er løst ved å oppdatere FreeType til versjon 2.4.6. Problemet gjelder ikke systemer som er eldre enn OS X Lion. Ytterligere informasjon er tilgjengelig på FreeType-nettstedet /http://www.freetype.org/

    CVE-ID

    CVE-2011-0226

  • PHP

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Flere sårbarheter i libpng 1.4.3

    Beskrivelse: libpng er oppdatert til versjon 1.5.4 for å rette flere sårbarheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Ytterligere informasjon er tilgjengelig på libpng-nettstedet http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Flere sårbarheter i PHP 5.3.4

    Beskrivelse: PHP er oppdatert til versjon 5.3.6 for å rette flere sårbarheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Problemene gjelder ikke OS X Lion-systemer. Mer informasjon er tilgjengelig via PHP-nettstedet http://www.php.net/.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Flere sårbarheter i Postfix

    Beskrivelse: Postfix er oppdatert til versjon 2.5.14 for å løse flere sårbarheter, der den mest alvorlige er muligheten en angriper i en privilegert nettverksstilling kan ha til å manipulere en postøkt for å få tak i sensitiv informasjon fra kryptert trafikk. Disse problemene skal ikke påvirke OS X Lion-systemer. Mer informasjon er tilgjengelig på Postfix-nettstedet http://www.postfix.org/announcements/postfix-2.7.3.html

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Flere sårbarheter i python

    Beskrivelse: Det er mange sårbarheter i python, og den alvorligste kan forårsake utføring av vilkårlig kode. Denne oppdateringen løser problemet ved å bruke rettelser fra python-prosjektet. Ytterligere informasjon kan fås på nettstedet for python på http://www.python.org/download/releases/

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i QuickTimes håndtering av filmfiler.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i håndteringen av STSC-atomer i QuickTime-filmfiler. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0249: Matt «j00ru» Jurczyk i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i håndteringen av STSS-atomer i QuickTime-filmfiler. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0250: Matt «j00ru» Jurczyk i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i håndteringen av STSZ-atomer i QuickTime-filmfiler. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0251: Matt «j00ru» Jurczyk i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i håndteringen av STTS-atomer i QuickTime-filmfiler. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-0252: Matt «j00ru» Jurczyk i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: En angriper i en privilegert nettverksposisjon kan injisere skript i det lokale domenet ved visning av mal-HTML

    Beskrivelse: Det var et problem med skripting mellom nettsteder i QuickTime Players «Save for Web»-eksport. HTML-malfilene som ble generert av denne funksjonen, viste til en skriptfil med ikke-kryptert opprinnelse. En angriper i en privilegert nettverksposisjon kan injisere skadelige skript i det lokale domenet hvis brukeren viser en malfil lokalt. Problemet er løst ved å fjerne henvisningen til et nettbasert skript. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-3218: Aaron Sigel i vtty.com

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i QuickTimes håndtering av H.264-kodede filmfiler.

    CVE-ID

    CVE-2011-3219: Damian Put i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig filmfil kan føre til avsløring av innhold i hukommelsen

    Beskrivelse: Det var et problem med ikke-initialisert hukommelsestilgang i QuickTimes håndtering av URL-datahåndterere i filmfiler.

    CVE-ID

    CVE-2011-3220: Luigi Auriemma som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et implementeringsproblem i QuickTimes håndtering av atomhierarkiet i en filmfil.

    CVE-ID

    CVE-2011-3221: En anonym forsker som arbeider med TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig FlashPix-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i QuickTimes håndtering av FlashPix-filer.

    CVE-ID

    CVE-2011-3222: Damian Put i TippingPoints Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i QuickTimes håndtering av FLIC-filer.

    CVE-ID

    CVE-2011-3223: Matt «j00ru» Jurczyk i TippingPoints Zero Day Initiative

  • SMB-filtjener

    Tilgjengelig for: OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: En gjestebruker kan få tilgang til delte mapper

    Beskrivelse: Det var et problem med tilgangskontroll i SMB-filtjener. Nekting av gjestetilgang til delingspunktoppføringen for en mappe hindret brukeren «_unknown» i å få tilgang til delingspunktet, men ikke gjester (brukeren «nobody»). Problemet er løst ved å bruke tilgangskontroll på gjestebrukeren. Problemet gjelder ikke systemer som er eldre enn OS X Lion.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: Flere sårbarheter i Tomcat 6.0.24

    Beskrivelse: Tomcat er oppdatert til versjon 6.0.32 for å korrigere flere sårbarheter, der det alvorligste problemet kan innebære skriptingangrep mellom nettsteder. Tomcat finnes bare i Mac OS X Server-systemer. Problemet gjelder ikke OS X Lion-systemer. Ytterligere informasjon er tilgjengelig på Tomcat-nettstedet http://tomcat.apache.org/.

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Brukerdokumentasjon

    Tilgjengelig for: Mac OS X v10.6.8 og Mac OS X Server v10.6.8

    Virkning: En angriper i en privilegert nettverksposisjon kan manipulere innhold i hjelpen for App Store og forårsake utføring av vilkårlig kode

    Beskrivelse: Innhold i hjelpen for App Store ble oppdatert via HTTP. Denne oppdateringen løser problemet ved å oppdatere innhold i hjelpen for App Store via HTTPS. Problemet gjelder ikke OS X Lion-systemer.

    CVE-ID

    CVE-2011-3224: Aaron Sigel i vtty.com og Brian Mastenbrook

  • Nettjener

    Tilgjengelig for: Mac OS X Server v10.6.8

    Virkning: Enkelte klienter får ikke tilgang til nettjenester som krever sammendragsgodkjenning

    Beskrivelse: Et problem med håndteringen av HTTP Digest-godkjenning ble løst. Brukere kan bli nektet tilgang til tjenerressursene når tjenerkonfigurasjonen skulle ha tillatt tilgang. Problemet utgjør ingen sikkerhetsrisiko, men ble håndtert for å åpne for bruk av sterkere godkjenningsmekanismer. Systemer som kjører OS X Lion Server, er ikke berørt av problemet.

  • X11

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 og v10.7.1, OS X Lion Server v10.7 og v10.7.1

    Virkning: Flere svakhetspunkter i libpng

    Beskrivelse: Flere sårbarheter i libpng, der den alvorligste kan forårsake utføring av vilkårlig kode. Problemene er løst ved å oppdatere libpng til versjon 1.5.4 i OS Lion-systemer og til 1.2.46 i Mac OS X v10.6-systemer. Ytterligere informasjon er tilgjengelig på libpng-nettstedet http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: