Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004

Les om sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004.

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 og Sikkerhetsoppdatering 2012-004

Merk: OS X Mountain Lion v10.8.2 inkluderer innholdet i Safari 6.0.1. Hvis du vil vite mer, kan du se Om sikkerhetsinnholdet i Safari 6.0.1.

  • Apache

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Flere sårbarheter i Apache

    Beskrivelse: Apache oppdateres til versjon 2.2.22 for å korrigere flere svakhetspunkter. Det største problemet kan innebære nekting av tjeneste. Mer informasjon er tilgjengelig via Apache-nettstedet på adressen http://httpd.apache.org/. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: En ekstern angriper kan være i stand til å forårsake tjenestenekt i systemer som er konfigurert for å kjøre BIND som en DNS-navnetjener

    Beskrivelse: Det var et oppnåelig påstandsproblem i håndteringen av DNS-poster. Problemet ble løst ved oppdatering til BIND 9.7.6-P1. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-4313

  • BIND

    Tilgjengelig for: OS X Lion v10.7 to v10.7.4, OS X Lion Server v10.7 to v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Virkning: En ekstern angriper kan være i stand til å forårsake tjenestenekt, dataødeleggelse eller innhenting av sensitiv informasjon fra prosesshukommelse i systemer som er konfigurert for å kjøre BIND som en DNS-navnetjener

    Beskrivelse: Det var et problem med hukommelsesadministrasjon i håndteringen av DNS-poster. Dette problemet ble løst ved oppdatering til BIND 9.7.6-P1 i OS X Lion-systemer og BIND 9.8.3-P1 i OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Programmer som bruker CoteText, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var et grensekontrollproblem i håndteringen av tekstglyfer, som kunne føre til hukommelseslesing og -skriving utenfor grensene. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke Mac OS X v10.6- og OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-3716 : Jesse Ruderman i Mozilla Corporation

  • Datasikkerhet

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Virkning: En angriper i en priviligert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: TrustWave, en klarert rot-CA, har utstedt, og så inndratt, et del-CA-sertifikat fra et av dets klarerte ankere. Dette del-CA la til rette for oppfanging av kommunikasjon som var sikret med Transport Layer Security (TLS). Denne oppdateringen legger til det aktuelle del-CA-sertifikatet i OS X-listen over ikke-klarerte sertifikater.

  • DirectoryService

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Virkning: Hvis DirectoryService-proxyenbrukes, kan en ekstern angriper forårsake nekting av tjeneste eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i DirectoryService-proxyen. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Lion og Mountain Lion-systemer.

    CVE-ID

    CVE-2012-0650: aazubel som arbeider med HPs Zero Day Initiative

  • ImageIO

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av et skadelig PNG-bilde kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i libpng-håndteringen av PNG-bilder. Disse problemene ble løst ved forbedret kontroll av PNG-bilder. Problemene påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av et skadelig TIFF-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med heltallsoverflyt i libTIFFs håndtering av TIFF-bilder. Problemet ble løst ved forbedret kontroll av TIFF-bilder. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-1173 : Alexander Gavrun fra HPs Zero Day Initiative

  • Installeringsprogram

    Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Eksterne administratorer og personer med fysisk tilgang til systemet kan få kontoinformasjon

    Beskrivelse: Rettelsen for CVE-2012-0652 i OS X Lion 10.7.4 hindret at brukerpassord ble registrert i systemloggen, men slettet ikke de gamle loggoppføringene. Dette problemet ble løst ved å slette loggfiler som inneholdt passord. Dette problemet påvirker ikke Mac OS X v 10.6 eller OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-0652

  • Internasjonale komponenter for Unicode

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Programmer som bruker ICU, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av ICU lokasjons-IDer. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-4599

  • Kjerne

    Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Et skadelig program kunne omgå sandkasserestriksjonene

    Beskrivelse: Det var et logikkproblem i håndteringen av feilsøkingssystemkall. Dette kan tillate at et skadelig program kan kjøre kode i andre programmer med samme brukerrettigheter. Dette problemet ble løst ved å deaktivere håndtering av adresser i PT_STEP og PT_CONTINUE. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-0643: 2012 iOS Jailbreak Dream Team

  • Påloggingsvindu

    Tilgjengelig for: OS X Mountain Lion v10.8 og v10.8.1

    Virkning: En lokal bruker kan få tak i påloggingspassordet til andre brukere

    Beskrivelse: En brukerinstallert inndatametode kunne fange opp passordtastetrykk fra påloggingsvinduet eller opplåsingsvinduet for skjermsparer. Dette problemet ble løst ved å hindre bruk av brukerinstallerte inndatametoder mens systemet håndterer påloggingsinformasjon.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av en e-postmelding kan føre til kjøring av web-innpluggingsmoduler

    Beskrivelse: Det var en inndatakontrollfeil i Mails håndtering av innebygde web-innpluggingsmoduler. Dette problemet ble løst ved å deaktivere innpluggingsmoduler fra tredjepart i Mail. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-3719: Will Dormann hos CERT/CC

  • Mobile kontoer

    Tilgjengelig for: OS X Mountain Lion v10.8 og v10.8.1

    Virkning: En bruke med tilgang til innholdet på en mobil konto, kan få tak i kontopassordet

    Beskrivelse: Oppretting av en mobil konto lagret en hash av passordet på kontoen, som ble brukt til pålogging når den mobile kontoen ble brukt som en ekstern konto. Passord-hashen kunne brukes til å fastslå brukerens passord. Dette problemet ble løst ved å opprette passord-hashen bare hvis eksterne kontoer er aktivert i systemet der den mobile kontoen opprettes.

    CVE-ID

    CVE-2012-3720 : Harald Wagener i Google, Inc.

  • PHP

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4, OS X Mountain Lion v10.8 og v10.8.1

    Virkning: Flere svakheter i PHP

    Beskrivelse: > PHP oppdateres til versjon 5.3.15 for å rette flere svakheter, der den mest alvorlige kan føre til utføring av vilkårlig kode. Mer informasjon er tilgjengelig på PHP-nettstedet http://www.php.net/.

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: PHP-skript som bruker libpng, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av PNG-filer. Problemet ble løst ved å oppdatere PHPs kopi av libpng til version 1.5.10. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-3048

  • Profile Manager

    Tilgjengelig for: OS X Lion Server v10.7 til v10.7.4

    Virkning: En uautorisert bruker kunne telle opp administrerte enheter

    Beskrivelse: Det var et autentiseringsproblem i det private grensesnittet for enhetsadministrasjon. Dette problemet ble løst ved å fjerne grensesnittet.

    Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-3721 : Derick Cassidy i XEquals Corporation

  • QuickLook

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av en skadelig .pict-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av .pict-filer. Problemet ble løst ved forbedret validering av .pict-filer. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon) fra Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en heltallsoverflyt i QuickTimes håndtering av sean-atomer. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-0670 : Tom Gallagher (Microsoft) og Paul Bates (Microsoft) fra HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ikke initialisert hukommelsestilgang i håndteringen av Sorenson-kodede filmfiler. Dette problemet ble løst ved forbedret initialisering av hukommelse. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-3722: Will Dormann hos CERT/CC

  • QuickTime

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en bufferoverflyt i håndteringen av RLE-kodede filmfiler. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-0668: Luigi Auriemma som arbeider med HPs Zero Day Initiative

  • Ruby

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: En angriper kan være i stand til å dekryptere data som er beskyttet av SSL

    Beskrivelse: Det finnes kjente angrep på konfidensialiteten til SSL 3.0 og TLS 1.0 når en chiffersamling bruker blokkchiffrering i CBC-modus. Ruby OpenSSL-modulen deaktiverte "tomt fragment"-tiltaket som hindret disse angrepene. Problemet ble løst ved å aktivere tomme fragmenter. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2011-3389

  • USB

    Tilgjengelig for: OS X Lion v10.7 til v10.7.4, OS X Lion Server v10.7 til v10.7.4

    Virkning: Tilkobling av en USB-enhet kan føre til uventet avslutning av systemet eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av USB-hubdeskriptorer. Dette problemet ble løst gjennom forbedret håndtering av bNbrPorts-deskriptorfeltet. Dette problemet påvirker ikke OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2012-3723: Andy Davis i NGS Secure

 

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: