OS X Lion 10.7.4 och Säkerhetsuppdatering 2012-002 kan hämtas och installeras via inställningar i Programuppdatering eller från Hämtningsbara filer.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.


OS X Lion 10.7.4 och Säkerhetsuppdatering 2012-002
- 

- 

Inloggningsfönstret

Tillgänglig för: OS X Lion 10.7.3, OS X Lion Server 10.7.3

Effekt: Fjärradministratörer och personer med fysisk åtkomst till systemet kan skaffa kontoinformation

Beskrivning: Ett problem existerade i hanteringen av inloggningar på nätverkskonton. Inloggningsprocessen sparade känslig information i systemloggen så att andra användare i systemet kunde läsa den. Den känsliga informationen kan finnas kvar i sparade loggar efter installation av uppdateringen. Problemet påverkar endast 		system med OS X Lion 10.7.3 med användare med äldre FileVault och/eller hemkataloger i nätverket. Läs http://support.apple.com/kb/TS4272?viewlocale=sv_SE för mer information om hur du säkert tar bort eventuella kvarvarande poster.

CVE-ID

CVE-2012-0652: Terry Reeves och Tim Winningham på Ohio State University, Markus ”Jaroneko” Räty på Finnish Academy of Fine Arts, Jaakko Pero på Aalto University, Mark Cohen på Oregon State University, Paul Nelson

 

- 

- 

Bluetooth

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systemprivilegier

Beskrivning: Problem med en tillfällig fils rusningstillstånd i blueds initieringsrutin.

CVE-ID

CVE-2012-0649: Aaron Sigel på vtty.com

 

- 

- 

curl

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: En angripare kan avkryptera data som skyddas av SSL

Beskrivning: Kända attacker mot sekretessen i SSL 3.0 och TLS 1.0 när en chiffersvit använder ett blockchiffer i CBC-läge. curl avaktiverade motåtgärden ”empty fragment” som förhindrade dessa attacker. Problemet är åtgärdat genom aktivering av ”empty fragments”.

CVE-ID

CVE-2011-3389: Apple

 

- 

- 

curl

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Användning av curl eller libcurl med en skadlig URL kan leda till protokollspecifika datainjektionsattacker

Beskrivning: Ett problem med datainjektion existerade i curls hantering av URL. Det här problemet har åtgärdats genom förbättrad URL-validering. Detta problem påverkar inte system före OS X Lion.

CVE-ID

CVE-2012-0036

 

- 

- 

Directory Service

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Effekt: En fjärrangripare kan komma åt känslig information

Beskrivning: Flera problem existerade i katalogserverns hantering av meddelanden från nätverket. Genom att skicka ett skadligt meddelande kunde en fjärrangripare göra att katalogservern avslöjade minne från sitt adressutrymme och eventuellt avslöjade kontobehörigheter och annan känslig information. Det här problemet påverkar inte OS X Lion-system. Directory Server avaktiveras som standard vid icke-serverinstallationer av OS X.

CVE-ID

CVE-2012-0651: Agustin Azubel

 

- 

- 

HFS

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Om en uppsåtligt skapad skivavbild läggs på skrivbordet kan ett system stängas av eller opålitlig kod köras

Beskrivning: Ett heltalsunderskott fanns vid hantering av HFS-katalogfiler.

CVE-ID

CVE-2012-0642: pod2g

 

- 

- 

ImageIO

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i ImageIO:s hantering av CCITT Group 4-kodade TIFF-filer. Det här problemet påverkar inte OS X Lion-system.

CVE-ID

CVE-2011-0241: Cyril CATTIAUX på Tessi Technologies

 

- 

- 

ImageIO

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Effekt: Flera sårbarheter i libpng

Beskrivning: libpng uppdateras till version 1.5.5 för att åtgärda flera sårbarheter, varav de allvarligaste kan orsaka att information avslöjas. Mer information finns på libpng-webbplatsen http://www.libpng.org/pub/png/libpng.html

CVE-ID

CVE-2011-2692

CVE-2011-3328

 

- 

- 

ImageIO

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i libtiff:s hantering av ThunderScan-kodade TIFF-bilder. Det här problemet är åtgärdat genom att uppdatera libtiff till version 3.9.5.

CVE-ID

CVE-2011-1167

 

- 

- 

Kärna

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: När FileVault används kan hårddisken innehålla icke krypterad användardata

Beskrivning: Ett problem med kärnans hantering av bilden som används i viloläge lämnade vissa data okrypterade på hårddisken även om FileVault var aktiverat. Problemet är åtgärdat genom bättre hantering av vilobilden och genom att skriva över den aktuella vilobilden vid uppdatering till OS X 10.7.4. Problemet påverkar inte versioner före OS X Lion.

CVE-ID

CVE-2011-3212: Felix Groebert på Google Security Team

 

- 

- 

libarchive

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Extrahering av ett uppsåtligt skapat arkiv kan orsaka oväntad programavslutning eller exekvering av opålitlig kod

Beskrivning: Flera buffertspill existerade i hanteringen av tar-arkiv och iso9660-filer.

CVE-ID

CVE-2011-1777

CVE-2011-1778

 

- 

- 

libsecurity

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Verifiering av ett skadligt X.509-certifikat som vid besök på en uppsåtligt skapad webbplats kan leda till oväntad programavslutning eller exekvering av opålitlig kod

Beskrivning: Ett icke-initialiserat minnesåtkomstproblem förekom i hanteringen av X.509-certifikat.

CVE-ID

CVE-2012-0654: Dirk-Willem van Gulik på WebWeaving.org, Guilherme Prado på Conselho da Justiça Federal, Ryan Sleevi på Google

 

- 

- 

libsecurity

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Stöd för X.509-certifikat med osäkert långa RSA-nycklar kan exponera användare för omdirigering och avslöjande av information

Beskrivning: Certifikat som signerades med RSA-nycklar av osäker längd accepterades av libsecurity. Problemet är åtgärdat genom att avvisa certifikat som har RSA-nycklar kortare än 1 024 bitar.

CVE-ID

CVE-2012-0655

 

- 

- 

libxml

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Visning av en webbsida med skadligt innehåll kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Flera sårbarheter förekom i libxml. Den allvarligaste av dessa kan leda till oväntad programavslutning eller körning av opålitlig kod. Problemen har åtgärdats genom användning av relevanta patcher uppströms.

CVE-ID

CVE-2011-1944: Chris Evans på Google Chrome Security Team

CVE-2011-2821: Yang Dingning på NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-2834: Yang Dingning på NCNIPC, Graduate University of Chinese Academy of Sciences

CVE-2011-3919: Jüri Aedla

 

- 

- 

LoginUIFramework

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Om Gäst-användaren är aktiverad kan en användare med fysisk åtkomst till datorn logga in som användare annan än Gäst utan att ange något lösenord

Beskrivning: Ett rusningstillstånd förelåg i hanteringen av Gäst-användarinloggningar. Detta problem påverkar inte system före OS X Lion.

CVE-ID

CVE-2012-0656: Francisco Gómez (espectalll123)

 

- 

- 

PHP

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Flera sårbarheter i PHP

Beskrivning: PHP har uppdaterats till version 5.3.10 för att åtgärda ett flertal sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen http://www.php.net

CVE-ID

CVE-2011-4566

CVE-2011-4885

CVE-2012-0830

 

- 

- 

Quartz Composer

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: En användare med fysisk åtkomst till datorn kan göra att Safari öppnas om skärmen är låst och skärmsläckaren RSS Visualizer används

Beskrivning: Ett problem med åtkomstkontroll existerade i Quartz Composers hantering av skärmsläckare. Problemet är åtgärdat genom bättre kontroll av huruvida skärmen är låst eller inte.

CVE-ID

CVE-2012-0657: Aaron Sigel på vtty.com

 

- 

- 

QuickTime

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil under progressiv hämtning kan leda till oväntad programavslutning eller exekvering av opålitlig kod

Beskrivning: Ett buffertspill förekom i hanteringen av ljudexempeltabeller.

CVE-ID

CVE-2012-0658: Luigi Auriemma i samarbete med HP:s Zero Day Initiative

 

- 

- 

QuickTime

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Uppspelning av en skadlig MPEG-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett heltalsspill förekom i hanteringen av MPEG-filer.

CVE-ID

CVE-2012-0659: En anonym forskare i samarbete med HP:s Zero Day Initiative

 

- 

- 

QuickTime

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Uppspelning av en skadlig MPEG-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i hanteringen av MPEG-filer.

CVE-ID

CVE-2012-0660: Justin Kim på Microsoft och Microsoft Vulnerability Research

 

- 

- 

QuickTime

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne förekom i hanteringen av JPEG2000-kodade filmfiler. Detta problem påverkar inte system före OS X Lion.

CVE-ID

CVE-2012-0661: Damian Put i samarbete med HP:s Zero Day Initiative

 

- 

- 

Ruby

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Flera sårbarheter i Ruby

Beskrivning: Ruby har uppdaterats till 1.8.7-p357 för att åtgärda flera sårbarheter.

CVE-ID

CVE-2011-1004

CVE-2011-1005

CVE-2011-4815

 

- 

- 

Samba

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Effekt: Om delning av SMB-filer är aktiverad kan det hända att en icke auktoriserad fjärrangripare kan orsaka att tjänster nekas eller exekvering av opålitlig kod med systembehörigheter

Beskrivning: Ett flertal buffertspill existerade i Sambas hantering av fjärrprocedursamtal. Genom att skicka ett skadligt paket kunde en icke autentiserad fjärrangripare orsaka avvisning av tjänst eller körning av opålitlig kod med systembehörigheter. Dessa problem påverkar inte OS X Lion-system.

CVE-ID

CVE-2012-0870: Andy Davis på NGS Secure

CVE-2012-1182: En anonym forskare i samarbete med HP:s Zero Day Initiative

 

- 

- 

Security Framework

Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

Beskrivning: Ett heltalsspill förekom i Security Framework. Bearbetning av opålitlig inmatning med Security Framework kunde leda till minnesfel. Problemet påverkar inte 32-bitarsprocesser.

CVE-ID

CVE-2012-0662: aazubel i samarbete med HP:s Zero Day Initiative

 

- 

- 

Time Machine

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: En fjärrangripare kan få åtkomst till en användares säkerhetskopieringsbehörigheter för Time Machine

Beskrivning: Användaren kan tilldela en Time Capsule eller fjärr-AFP-volym ansluten till en AirPort-basstation för användning till säkerhetskopieringar med Time Machine. Från och med AirPort-basstation och Time Capsule Firmware-uppdatering 7.6 stödjer Time Capsule- och basstationsenheter en säker SRP-baserad autentiseringsmekanism över AFP. Time Machine krävde dock inte att den SRP-baserade autentiseringsmekanismen användes för efterföljande säkerhetskopieringar även om Time Machine ursprungligen konfigurerats eller någon gång hade kontaktat en Time Capsule eller basstation med stöd för den. En angripare som kan imitera fjärrvolymen kan få åtkomst till användarens Time Capsule-behörigheter, men inte säkerhetskopieringsdata, som skickas av användarens system. Problemet är åtgärdat genom att den SRP-baserade autentiseringsmekanismen krävs om säkerhetskopieringsdestinationen någon gång har haft stöd för det.

CVE-ID

CVE-2012-0675: Renaud Deraison på Tenable Network Security, Inc.

 

- 

- 

X11

Tillgänglig för: OS X Lion 10.7 till 10.7.3, OS X Lion Server 10.7 till 10.7.3

Effekt: Program som använder libXfont för att bearbeta LZW-komprimerad data kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i libXfonts hantering av LZW-komprimerade data. Det här problemet åtgärdas genom att uppdatera libXfont till version 1.4.4.

CVE-ID

CVE-2011-2895: Tomas Hoger på Red Hat



 

Obs! Dessutom filtrerar denna uppdatering dynamiska länkade omgivningsvariabler från en anpassad omgivningsegenskapslista i användarens hemkatalog om sådan finns.