Om säkerhetsinnehållet i OS X Lion 10.7.2 och säkerhetsuppdatering 2011-006

Det här dokumentet beskriver säkerhetsinnehållet i OS X Lion 10.7.2 och säkerhetsuppdatering 2011-006.

Detta dokument beskriver säkerhetsinnehållet i OS X Lion 10.7.2 och säkerhetsuppdatering 2011-006 som kan hämtas och installeras via Programuppdatering eller Hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
 

OS X Lion 10.7.2 och säkerhetsuppdatering 2011-006

  • Apache

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Problem: Flera sårbarheter i Apache

    Beskrivning: Apache uppdateras till version 2.2.20 för att åtgärda flera sårbarheter, varav de allvarligaste kan leda till att begärda tjänster nekas. CVE-2011-0419 påverkar inte OS X Lion system. Mer information finns på Apaches webbplats på adressen http://httpd.apache.org/.

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Brandvägg för program

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Körning av en binär kod med ett namn som skapats med skadlig kod kan leda till körning av opålitlig kod med förhöjd behörighet

    Beskrivning: En formatsträngssårbarhet förekom i programbrandväggens felsökningsloggning.

    CVE-ID

    CVE-2011-0185: En anonym person

  • ATS

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Ett signeringsproblem (variablers tecken/teckenfrihet) förekom i ATS hantering av Type 1-typsnitt. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3437

  • ATS

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i ATS hantering av Type 1-typsnitt. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0229: Will Dormann på CERT/CC

  • ATS

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Program där ATSFontDeactivate API används kan vara sårbara för oväntad programavslutning och körning av opålitlig kod.

    Beskrivning: Ett buffertspill förekom i ATSFontDeactivate API.

    CVE-ID

    CVE-2011-0230: Steven Michaud på Mozilla

  • BIND

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Flera sårbarheter i BIND 9.7.3

    Beskrivning: Flera problem där tjänster nekades förekom i BIND 9.7.3. Dessa problem åtgärdas genom att uppdatera BIND till 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flera sårbarheter i BIND

    Beskrivning: Flera problem där tjänster nekades förekom i Bind. Dessa problem åtgärdas genom att uppdatera BIND till version 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Certifierad förtroendepolicy

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1.

    Effekt: Rotcertifikat har uppdaterats

    Beskrivning: Flera betrodda certifikat lades till i listan med systemrötter. Flera befintliga certifikat uppdaterades till den senaste versionen. Den fullständiga listan med godkända systemrötter kan visas via programmet Nyckelhanterare.

  • CFNetwork

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Safari kan lagra cookies som det inte är konfigurerat att acceptera

    Beskrivning: Ett synkroniseringsproblem förekom i CFNetworks hantering av cookiepolicyn. Safaris cookieinställningar kanske åsidosätts, vilket tillåter webbplatser att placera cookies som skulle blockeras om inställningarna fungerade. Uppdateringen åtgärdar problemet genom förbättrad hantering av cookielagring.

    CVE-ID

    CVE-2011-0231: Martin Tessarek, Steve Riggins på Geeks R Us, Justin C. Walker och Stephen Creswell

  • CFNetwork

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: körning på en webbplats med skadligt innehåll kan leda till spridning av känslig information

    Beskrivning: Ett problem förekom i CFNetworks hantering av HTTP-cookies. Vid åtkomst av en HTTP- eller HTTPS-URL-länk som skapats med skadlig kod kunde CFNetwork felaktigt skicka cookies för en domän till en server utanför den domänen. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3246: Erling Ellingsen på Facebook

  • CoreFoundation

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Visning av en webbplats som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i CoreFoundations hantering av strängtokenisering. Det här problemet påverkar inte OS X Lion-system. Uppdateringen åtgärdar problemet genom förbättrad gränskontroll.

    CVE-ID

    CVE-2011-0259: Apple

  • CoreMedia

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: körning på en webbplats som skapats med skadlig kod kan leda till spridning av videodata från en annan webbplats

    Beskrivning: Ett problem med olika källor förekom i CoreMedias hantering av omdirigeringar mellan olika webbplatser. Det här problemet åtgärdas genom förbättrad källspårning.

    CVE-ID

    CVE-2011-0187: Nirankush Panchbhai och Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Flera minnesfel förekom i hanteringen av QuickTime-filmfiler. Dessa problem påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0224: Apple

  • CoreProcesses

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En person med fysisk tillgång till ett system kan delvis åsidosätta skärmlåset

    Beskrivning: Ett systemfönster, såsom en VPN-lösenordsprompt, som visades medan skärmen var låst kan ha accepterat tangentslag medan skärmen var låst. Detta problem åtgärdas genom att förhindra systemfönster från att begära tangentslag medan skärmen är låst. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-0260: Clint Tseng på University of Washington, Michael Kobb och Adam Kemp

  • CoreStorage

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Konvertering till FileVault raderar inte alla befintliga data

    Beskrivning: Efter aktivering av FileVault lämnades cirka 250 MB data okrypterade i ett oanvänt område i början av volymen på disken. Endast data som redan fanns på volymen innan FileVault aktiverades lämnades okrypterade. Det här problemet åtgärdas genom att radera det här området vid aktivering av FileVault och vid första användningen av en krypterad volym som påverkas av det här problemet. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3212: Judson Powers på ATC-NY

  • Filsystem

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En angripare i en privilegierad nätverksposition kan komma åt att manipulera HTTPS-servercertifikat, som kan leda till spridning av känslig information

    Beskrivning: Ett problem förekom i hanteringen av WebDaV-volymer på HTTPS-servrar. Om servern visade en certifikatskedja som inte kunde verifieras automatiskt, visades ett varningsmeddelande och anslutningen bröts. Om användaren klickade på knappen Fortsätt i varningsdialogrutan, accepterades vilket certifikat som helst på den efterföljande anslutningen till den servern. En angripare i en privilegierad nätverksposition kan ha manipulerat anslutningen för att komma åt känslig information eller vidta åtgärder på servern i användarens ställe. Den här uppdateringen åtgärdar problemet genom att validera att certifikatet som tas emot på den andra anslutningen är samma certifikat som ursprungligen visades för användaren.

    CVE-ID

    CVE-2011-3213: Apple

  • IOGraphics

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: En person med fysisk tillgång kan eventuellt åsidosätta skärmlåset

    Beskrivning: Ett problem förekom med skärmlåset när det användes med Apple Cinema Display. När ett lösenord krävs för att väcka datorn från viloläge, kunde en person med fysisk åtkomst komma åt systemet utan att behöva ange ett lösenord om systemet befinner sig i viloläge för skärmen. Den här uppdateringen åtgärdar problemet genom att kontrollera att skärmlåset aktiveras på rätt sätt i viloläge för skärmen. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-3214: Apple

  • iChat-server

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En fjärrangripare kan eventuellt orsaka att Jabber-servern använder systemresurserna på ett oproportionerligt sätt

    Beskrivning: Ett problem förekom i hanteringen av externa XML-enheter i jabberd2, som är en server för Extensible Messaging och Presence Protocol (XMPP). jabberd2 expanderar externa enheter i inkommande förfrågningar. Detta ger en angripare möjlighet att förbruka systemresurser mycket snabbt, vilket kan leda till att legitima serveranvändare nekas tillgång till tjänsten. Den här uppdateringen åtgärdar problemet genom att avaktivera enhetsexpansionen i inkommande förfrågningar.

    CVE-ID

    CVE-2011-1755

  • Kärna

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En person med fysisk åtkomst kan få tillgång till användarens lösenord

    Beskrivning: Ett logikfel i DMA-skyddet i kärnan tillät firewire-DMA i inloggningsfönstret, vid start och vid avstängning, men dock inte i skärmlåset. Denna uppdatering åtgärdar problemet genom att förhindra firewire-DMA i samtliga lägen där användaren inte är inloggad.

    CVE-ID

    CVE-2011-3215: Passware, Inc.

  • Kärna

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En icke-privilegierad användare kan tillåtas radera en annan användares filer i en delad katalog

    Beskrivning: Ett logikfel förekom i kärnans hantering av filraderingar i kataloger med ”sticky bits”.

    CVE-ID

    CVE-2011-3216: Gordon Davisson på Crywolf, Linc Davis, R. Dormer och Allan Schmid och Oliver Jeckel på brainworks Training

  • libsecurity

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Visning av en webbplats som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett felhanteringsproblem förekom vid tolkning av återkallelse av listtillägg för icke-standardiserade certifikat.

    CVE-ID

    CVE-2011-3227: Richard Godbee på Virginia Tech

  • Mailman

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flera sårbarheter i Mailman 2.1.14

    Beskrivning: Flera skriptfel mellan olika webbplatser förekom i Mailman 2.1.14. Dessa problem åtgärdas genom förbättrad kodning av tecken i HTML-utmatning. Ytterligare information finns på Mailmans webbplats på adressen http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Detta problem påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Öppning av en skivbild som skapats med skadlig kod kan orsaka oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera problem med minneskorruptionsfel förekom i hanteringen av skivbilder. Dessa problem påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-3217: Apple

  • Open Directory

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Vilken användare som helst kan läsa en annan lokal användares lösenordsdata

    Beskrivning: Ett problem med åtkomstkontroll förekom i Open Directory. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3435: Arek Dreyer på Dreyer Network Consultants, Inc och Patrick Dunstan på defenseindepth.net

  • Open Directory

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En autentiserad användare kan eventuellt ändra kontots lösenord utan att behöva ange det aktuella lösenordet

    Beskrivning: Ett problem med åtkomstkontroll förekom i Open Directory. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3436: Patrick Dunstan på defenceindepth.net

  • Open Directory

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En användare kan eventuellt logga in utan att ange ett lösenord

    Beskrivning: När Open Directory är bunden till en LDAPv3-server med RFC2307 eller anpassade mappläggningar, så att det inte finns något AuthenticationAuthority-attribut för en användare, kan det hända att en LDAP-användare tillåts logga in utan att behöva ange ett lösenord. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3226: Jeffry Strunk på University of Texas i Austin, Steven Eppler på Colorado Mesa University, Hugh Cole-Baker och Frederic Metoz på Institut de Biologie Structurale

  • PHP

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Visning av en PDF-fil som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett signeringsproblem (variablers tecken/teckenfrihet) förekom i FreeTypes hantering av Type 1-typsnitt. Detta problem åtgärdas genom att uppdatera FreeType till version 2.4.6. Detta problem påverkar inte tidigare systemversioner än OS X Lion. Mer information finns på FreeType-webbplatsen /http://www.freetype.org/

    CVE-ID

    CVE-2011-0226

  • PHP

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Flera sårbarheter i libpng 1.4.3

    Beskrivning: libpng uppdateras till version 1.5.4 för att åtgärda flera sårbarheter, varav de allvarligaste leda till att opålitlig kod körs. Mer information finns på libpng-webbplatsen http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flera sårbarheter i PHP 5.3.4

    Beskrivning: PHP har uppdaterats till version 5.3.6 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Detta problem påverkar inte OS X Lion-system. Mer information finns på PHP-webbplatsen http://www.php.net.

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flera sårbarheter i Postfix

    Beskrivning: Postfix har uppdaterats till 2.5.14 för att åtgärda ett flertal sårbarheter av vilka den allvarligaste kunde göra att en angripare i en privilegierad nätverksposition kunde manipulera e-postsessionen för att få känslig information från den krypterade trafiken. De här problemen ska inte påverka OS X Lion-system. Mer information finns tillgänglig via Postfix-webbplatsen på http://www.postfix.org/announcements/postfix-2.7.3.html

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Flera sårbarheter i python

    Beskrivning: Flera sårbarheter förekom i python, av vilka den allvarligaste kan leda till att opålitlig kod körs. Denna uppdatering åtgärdar problemen genom att tillämpa korrigeringar från python-projektet. Ytterligare information finns tillgänglig via python-webbplatsen på http://www.python.org/download/releases/

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Flera minnesproblem förekom i QuickTimes hantering av filmfiler.

    CVE-ID

    CVE-2011-3228: Apple

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heapbuffertspill förekom vid hantering av STSC-atomer i QuickTime-filmfiler. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0249: Matt ”j00ru” Jurczyk i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heapbuffertspill förekom vid hantering av STSS-atomer i QuickTime-filmfiler. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0250: Matt ”j00ru” Jurczyk i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heapbuffertspill förekom vid hantering av STSZ-atomer i QuickTime-filmfiler. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0251: Matt ”j00ru” Jurczyk i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heapbuffertspill förekom vid hantering av STTS-atomer i QuickTime-filmfiler. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-0252: Matt ”j00ru” Jurczyk i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: En angripare i en privilegierad nätverksposition kan eventuellt mata in skript i den lokala domänen vid visning av mall-HTML

    Beskrivning: Ett skriptfel på flera olika webbplatser förekom i Save for Web-exporten från QuickTime. HTML-filmallarna som genererades av den här funktionen refererade till en skriptfil från en icke-krypterad källa. En angripare i en privilegierad nätverksposition kan eventuellt mata in skadliga skript i den lokala domänen om användaren visar en filmall lokalt. Detta problem åtgärdas genom att ta bort referensen till ett onlineskript. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-3218: Aaron Sigel på vtty.com

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Buffertspill förekom vid QuickTimes hantering av H.264-kodade filmfiler.

    CVE-ID

    CVE-2011-3219: Damian Put i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Visning av en filmfil skapad med skadligt innehåll kan leda till spridning av minnesinnehåll

    Beskrivning: Ett icke-initialiserat minnesåtkomstproblem förekom i QuickTimes hantering av URL-datahanterare i filmfiler.

    CVE-ID

    CVE-2011-3220: Luigi Auriemma i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett implementeringsfel förekom i QuickTimes hantering av atomhierarkin i en filmfil.

    CVE-ID

    CVE-2011-3221: En anonym forskare i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Uppspelning av skadliga FlashPix-filer kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Buffertspill förekom i QuickTimes hantering av FlashPix-filer.

    CVE-ID

    CVE-2011-3222: Damian Put i samarbete med TippingPoints Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Buffertspill förekom i QuickTimes hantering av FLIC-filer.

    CVE-ID

    CVE-2011-3223: Matt ”j00ru” Jurczyk i samarbete med TippingPoints Zero Day Initiative

  • SMB File Server

    Tillgänglig för: OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: En gästanvändare kan komma åt att bläddra bland delade mappar

    Beskrivning: Ett åtkomstkontrollproblem förekom på SMB-filservern. Genom att avaktivera gäståtkomst till delningspunktsposten för en mapp förhindrades ”_unknown”-användare från att bläddra runt på delningspunkten, men inte gästanvändare (användare ”nobody”). Detta problem åtgärdas genom att tillämpa åtkomstkontroll för gästanvändare. Detta problem påverkar inte system före OS X Lion.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Följd: Flera svagheter i Tomcat 6.0.24

    Beskrivning: Tomcat uppdateras till version 6.0.32 för att åtgärda flera sårbarheter, varav de allvarligaste kan leda till ett skriptningsangrepp på flera webbplatser. Tomcat återfinns endast i Mac OS X Server-system. Det här problemet påverkar inte OS X Lion-system. Ytterligare information finns tillgänglig via Tomcat-webbplatsen, på http://tomcat.apache.org/

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Användardokumentation

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: En angripare i en privilegierad nätverksposition kan eventuellt manipulera hjälpinnehåll i App Store, vilket kan leda till körning av opålitlig kod

    Beskrivning: Hjälpinnehåll i App Store uppdaterades via HTTP. Denna uppdatering åtgärdar problemet genom att uppdatera hjälpinnehåll i App Store via HTTPS. Det här problemet påverkar inte OS X Lion-system.

    CVE-ID

    CVE-2011-3224: Aaron Sigel på vtty.com och Brian Mastenbrook

  • Webbserver

    Tillgänglig för: Mac OS X Server 10.6.8

    Effekt: Det kan hända att klienter inte har åtkomst till webbtjänster som kräver Digest-autentisering

    Beskrivning: Ett problem med hanteringen av HTTP Digest-autentisering åtgärdades. Användare kan nekas åtkomst till serverresurserna vid tillfällen då serverkonfigurationen borde ha tillåtit åtkomsten. Detta problem utgör inte någon säkerhetsrisk och åtgärdades för att underlätta användningen av starkare autentiseringsmekanismer. System med OS X Lion Server påverkas inte av detta problem.

  • X11

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 och 10.7.1, OS X Lion Server 10.7 och 10.7.1

    Effekt: Flera sårbarheter i libpng

    Beskrivning: Flera sårbarheter förekom i libpng av vilka den allvarligaste kan leda till körning av opålitlig kod. Dessa problem åtgärdas genom uppdatering av libpng till version 1.5.4 på OS Lion-system och till 1.2.46 på Mac OS X 10.6-system. Mer information finns på libpng-webbplatsen http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: