Om säkerhetsinnehållet i Mac OS X 10.6.7 och säkerhetsuppdatering 2011-001

Detta dokument beskriver säkerhetsinnehållet i Mac OS X 10.6.7 och säkerhetsuppdatering 2011-001.

Detta dokument beskriver säkerhetsinnehållet i Mac OS X 10.6.7 och säkerhetsuppdatering 2011-001, som kan hämtas hem och installeras via Programuppdatering eller Hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i ”Så här använder du en PGP-nyckel från Apple Product Security”.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Mac OS X 10.6.7 och Säkerhetsuppdatering 2011-001

  • AirPort

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Vid anslutning till Wi-Fi kan det hända att en angripare på samma nätverk kan orsaka en nollställning av systemet

    Beskrivning: Ett division med noll-problem förekommer i hanteringen av Wi-Fi-ramar. Vid anslutning till Wi-Fi kan det hända att en angripare på samma nätverk kan orsaka en systemåterställning. Problemet berör inte system före Mac OS X 10.6.

    CVE-ID

    CVE-2011-0172

  • Apache

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Flera sårbarheter i Apache 2.2.15

    Beskrivning: Apache uppdateras till version 2.2.17 för att åtgärda flera sårbarheter, varav de allvarligaste kan leda till att begärda tjänster nekas. Mer information finns på Apaches webbplats på adressen http://httpd.apache.org/.

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: När AppleScript Studio-baserade program som tillåter att opålitliga indata överförs till en dialog körs kan det leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: En formatsträng förekom i AppleScript Studios generiska dialogkommandon (”display dialog” och ”display alert”). När AppleScript Studio-baserade program som tillåter att opålitliga indata överförs till en dialog körs kan det leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0173: Alexander Strange

  • ATS

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Ett heapbuffertspill förekom i hanteringen av OpenType-typsnitt. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att godtycklig kod körs.

    CVE-ID

    CVE-2011-0174

  • ATS

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Flera problem med buffertspill förekom i hanteringen av TrueType-typsnitt. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att godtycklig kod körs.

    CVE-ID

    CVE-2011-0175: Christoph Diehl of Mozilla, Felix Grobert i Googles säkerhetsteam, Marc Schoenefeld på Red Hat Security Response Team, Tavis Ormandy och Will Drewry i Googles säkerhetsteam

  • ATS

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Flera problem med buffertspill förekom i hanteringen av Type 1-typsnitt. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att godtycklig kod körs.

    CVE-ID

    CVE-2011-0176: Felix Grobert i Googles säkerhetsteam, geekable i samarbete med TippingPoints Zero Day Initiative

  • ATS

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Flera problem med buffertspill förekom i hanteringen av SFNT-tabeller. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att godtycklig kod körs.

    CVE-ID

    CVE-2011-0177: Marc Schoenefeld på Red Hat Security Response Team

  • bzip2

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Användning av något av kommandoradsverktygen bzip2 eller bunzip2 för att dekomprimera en bzip2-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett problem med heltalsspill förekom i bzip2:s hantering av bzip2-komprimerade filer. Användning av något av kommandoradsverktygen bzip2 eller bunzip2 för att dekomprimera en bzip2-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Program som använder FSFindFolder() med kTemporaryFolderType-flaggan kan vara sårbara för spridning av lokal information

    Beskrivning: När det används med kTemporaryFolderType-flaggan returnerar FSFindFolder() API:t en katalog som alla lokala användare har tillgång till. Detta problem åtgärdas genom att returnera en katalog som är tillgänglig endast för den användaren som processen körs som.

    CVE-ID

    CVE-2011-0178

  • ClamAV

    Tillgänglig för: Mac OS X Server 10.5.8, Mac OS X Server 10.6.6

    Effekt: Flera sårbarheter i ClamAV

    Beskrivning: Flera sårbarheter förekommer i ClamAV, av vilka den allvarligaste kan leda till exekvering av opålitlig kod. Denna uppdatering åtgärdar problemen genom att uppdatera ClamAV till version 0.96.5. ClamAV distribueras endast med Mac OS X Server-system. Ytterligare information finns tillgänglig på ClamAV-webbplatsen på http://www.clamav.net/

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i CoreTexts hantering av typsnittsfiler. Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att godtycklig kod körs.

    CVE-ID

    CVE-2011-0179: Christoph Diehl på Mozilla

  • Filkarantän

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Definition tillagd

    Beskrivning: Definitionen OSX.OpinionSpy har lagts till i spionprogramskontrollen i Filkarantän.

  • HFS

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Det kan hända att en lokal användare kan läsa godtyckliga filer från ett HFS-, HFS+- eller HFS+J-filsystem

    Beskrivning: Ett heltalsspill förekom i hanteringen av F_READBOOTSTRAP ioctl. Det kan hända att en lokal användare kan läsa godtyckliga filer från ett HFS-, HFS+- eller HFS+J-filsystem.

    CVE-ID

    CVE-2011-0180: Dan Rosenberg på Virtual Security Research

  • ImageIO

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett heap-buffertspill förekommer i ImageIO:s hantering av JPEG-bilder. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.

     

    CVE-ID

    CVE-2011-0170: Andrzej Dyjak i samarbete med iDefense VCP

  • ImageIO

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en uppsåtligt skapad XBM-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heltalsspill förekom i ImageIOs hantering av XBM-bilder. Visning av en uppsåtligt skapad XBM-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0181: Harry Sintonen

  • ImageIO

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av JPEG-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0191: Apple

  • ImageIO

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett buffertspill förekom i libTIFF:s hantering av CCITT Group 4-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0192: Apple

  • ImageIO

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en uppsåtligt skapad JPEG-kodad TIFF-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heltalsspill förekom i ImageIOs hantering av JPEG-kodade TIFF-bilder. Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Problemet berör inte system före Mac OS X 10.6.

    CVE-ID

    CVE-2011-0194: Dominic Chell på NGS Secure

  • Image RAW

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en uppsåtligt skapad Canon RAW-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera problem med buffertspill förekom i Image RAW:s hantering av Canon RAW-bilder. Visning av en uppsåtligt skapad Canon RAW-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0193: Paul Harrington på NGS Secure

  • Installeraren

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till installation av en agent som kontaktar en uppsåtlig server när användaren loggar in och får användaren att tro att anslutning är upprättad med Apple

    Beskrivning: Ett problem med URL-hantering i Installationshjälpen kan leda till installation av en agent som kontaktar en uppsåtligt skapad webbplats när användaren loggar in. Dialogrutan som visas efter misslyckad anslutning kan leda till att användaren tror att anslutningsförsöket skedde med Apple. Problemet åtgärdas genom att ta bort Installationshjälpen.

    CVE-ID

    CVE-2011-0190: Aaron Sigel på vtty.com

  • Kerberos

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Flera sårbarheter i MIT Kerberos 5

    Beskrivning: Flera kryptografiska problem förekom i MIT Kerberos 5. Endast CVE-2010-1323 påverkar Mac OS X 10.5. Ytterligare information om problemen och tillägg som tillämpas finns på MIT Kerberos webbplats på http://web.mit.edu/Kerberos/

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • Kärna

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systemprivilegier

    Beskrivning: Ett problem med att kontrollera privilegier förekom i i386_set_ldt system call-systemanropets hantering av anropsportar. En lokal användare kan exekvera opålitlig kod med systembehörighet. Detta problem åtgärdas genom att inte godkänna att anropsportposter skapas via i386_set_ldt().

    CVE-ID

    CVE-2011-0182: Jeff Mears

  • Libinfo

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Det kan hända att en fjärrangripare kan orsaka att tjänster nekas på värdar som exporterar NFS-filsystem

    Beskrivning: Ett problem med heltalstrunkering förekom i Libinfos hantering av NFS RPC-paket. Det kan hända att en fjärrangripare kan orsaka att NFS RPC-tjänster, såsom lockd, statd, mountd och portmap inte svarar.

    CVE-ID

    CVE-2011-0183: Peter Schwenk på University of Delaware

  • libxml

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett minnesfel förekom i libxml:s hantering av XPath. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod.

    CVE-ID

    CVE-2010-4008: Bui Quang Minh från Bkis (www.bkis.com)

  • libxml

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Om du besöker en webbplats med skadligt innehåll kan program avslutas oväntat eller godtycklig kod köras

    Beskrivning: Ett dubbelt fritt fel förekom i libxml:s hantering av XPath-uttryck. Om du besöker en webbplats med skadligt innehåll kan det leda till att program avslutas oväntat eller exekvering av godtycklig kod. Problemet berör inte system före Mac OS X 10.6.

    CVE-ID

    CVE-2010-4494: Yang Dingning på NCNIPC, Graduate University of Chinese Academy of Sciences

  • Mailman

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Flera svagheter i Mailman 2.1.13

    Beskrivning: Flera cross-site-skriptproblem förekom i Mailman 2.1.13. Dessa problem åtgärdas genom att uppdatera Mailman till version 2.1.14. Ytterligare information finns tillgänglig via Mailmans webbplats på http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

    CVE-ID

    CVE-2010-3089

  • PHP

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Flera sårbarheter i PHP 5.3.3

    Beskrivning: PHP har uppdaterats till version 5.3.4 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen http://www.php.net

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Effekt: Flera sårbarheter i PHP 5.2.14

    Beskrivning: PHP har uppdaterats till version 5.2.15 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen http://www.php.net

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • Överblick

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Hämtning av en uppsåtligt skapad Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i QuickLooks hantering av Excel-filer. Hämtning av en uppsåtligt skapad Excel-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Problemet berör inte system före Mac OS X 10.6.

    CVE-ID

    CVE-2011-0184: Tobias Klein i samarbete med Verisign iDefense Labs

  • Överblick

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i QuickLooks hantering av Microsoft Office-filer. Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs.

    CVE-ID

    CVE-2011-1417: Charlie Miller och Dion Blazakis i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en uppsåtligt skapad JPEG2000-bild med QuickTime kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera minnesproblem förekom i QuickTimes hantering av JPEG2000-bilder. Visning av en uppsåtligt skapad JPEG2000-bild med QuickTime kan leda till oväntad programavslutning eller exekvering av opålitlig kod.

    CVE-ID

    CVE-2011-0186: Will Dormann på CERT/CC

  • QuickTime

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heltalsspill förekom i QuickTimes hantering av filmfiler. Visning av en uppsåtligt skapad filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. För Mac OS X 10.5 åtgärdades detta problem i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-4009: Honggang Ren på Fortinets FortiGuard Labs

  • QuickTime

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Visning av en uppsåtligt skapad FlashPix-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i QuickTimes hantering av FlashPix-bilder. Visning av en uppsåtligt skapad FlashPix-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod. För Mac OS X 10.5 åtgärdades detta problem i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3801: Damian Put i samarbete med TippingPoints Zero Day Initiative och Rodrigo Rubira Branco på Check Point Vulnerability Discovery Team

  • QuickTime

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Besök på en uppsåtligt skapad webbplats kan leda till spridning av videodata från en annan webbplats

    Beskrivning: Ett problem med olika källor förekom i QuickTimes plugin-programs hantering av omdirigeringar mellan olika webbplatser. Besök på en uppsåtligt skapad webbplats kan leda till spridning av videodata från en annan webbplats. Detta problem åtgärdas genom att förhindra QuickTime från att följa omdirigeringar mellan olika webbplatser.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai och Microsoft Vulnerability Research (MSVR)

  • QuickTime

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Uppspelning av en uppsåtligt skapad skadlig QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i QuickTimes hantering av panoramaatomer i QTVR (QuickTimes Virtual Reality)-filmfiler. Uppspelning av en uppsåtligt skapad QTVR-filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod. För Mac OS X 10.5 åtgärdades detta problem i QuickTime 7.6.9.

    CVE-ID

    CVE-2010-3802: En anonym forskare i samarbete med TippingPoints Zero Day Initiative

  • Ruby

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Körning av ett Ruby-skript som använder opålitliga indata för att skapa ett BigDecimal-objekt kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett problem med heltalstrunkering förekom i Rubys BigDecimal-klass. Körning av ett Ruby-skript som använder opålitliga indata för att skapa ett BigDecimal-objekt kan leda till oväntad programavslutning eller exekvering av opålitlig kod. Detta problem påverkar endast 64-bitars Ruby-processer.

    CVE-ID

    CVE-2011-0188: Apple

  • Samba

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Om delning av SMB-filer är aktiverad kan det hända att en fjärrangripare kan orsaka denial of service eller exekvering av godtycklig kod

    Beskrivning: Ett heapbuffertspill förekom i Sambas hantering av Windows säkerhets-ID:n. Om delning av SMB-filer är aktiverad kan det hända att en fjärrangripare kan orsaka att tjänster nekas eller exekvering av godtycklig kod.

    CVE-ID

    CVE-2010-3069

  • Subversion

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Subversion-servrar som använder icke-standard ”SVNPathAuthz short_circuit” mod_dav_svn-konfigurationsinställningar kan ge icke-auktoriserade användare tillgång till delar av lagringsplatsen

    Beskrivning: Subversion-servrar som använder icke-standard ”SVNPathAuthz short_circuit” mod_dav_svn-konfigurationsinställningar kan ge icke-auktoriserade användare tillgång till delar av lagringsplatsen. Detta problem åtgärdas genom att uppdatera Subversion till version 1.6.13. Detta problem påverkar inte tidigare systemversioner än Mac OS X 10.6.

    CVE-ID

    CVE-2010-3315

  • Terminal

    Tillgängligt för: Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: När ssh används i Terminals dialogruta Ny fjärranslutning väljs SSH version 1 som standardprotokollversion

    Beskrivning: När ssh används i Terminals dialogruta Ny fjärranslutning väljs SSH version 1 som standardprotokollversion. Detta problem åtgärdas genom att ändra standardprotokollversionen till Automatisk. Problemet berör inte system före Mac OS X 10.6.

    CVE-ID

    CVE-2011-0189: Matt Warren på HNW Inc.

  • X11

    Tillgänglig för: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6–10.6.6, Mac OS X Server 10.6–10.6.6

    Effekt: Flera sårbarheter i FreeType

    Beskrivning: Det fanns flera sårbarheter i FreeType. Den allvarligaste kan leda till att opålitlig kod körs när skadliga typsnitt bearbetas. Dessa problem åtgärdas genom uppdatering av FreeType till version 2.4.4. Mer information finns på FreeType-webbplatsen http://www.freetype.org/

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: