Om säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004

Läs om säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004.

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

OS X Mountain Lion 10.8.2, OS X Lion 10.7.5 och Säkerhetsuppdatering 2012-004

Obs! OS X Mountain Lion v10.8.2 inkluderar Safari 6.0.1. Se Om säkerhetsinnehållet i Safari 6.0.1.

  • Apache

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Problem: Flera sårbarheter i Apache

    Beskrivning: Apache uppdateras till version 2.2.22 för att åtgärda flera sårbarheter, varav de allvarligaste kan leda till DoS. Ytterligare information finns tillgänglig via Apaches webbplats på http://httpd.apache.org/. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Det kan hända att hackare kan orsaka DoS-attacker i system som konfigurerats för att köra BIND som en DNS-namnserver

    Beskrivning: En nåbar assertion fanns i hanteringen av DNS-poster. Detta problem löstes genom att uppdatera till BIND 9.7.6-P1. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-4313

  • BIND

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1

    Effekt: Det kan hända att en hackare orsakar DoS-attacker, skadade data eller inhämtar känslig information från processminne i system som konfigurerats för att köra BIND som en DNS-namnserver

    Beskrivning: Ett minneshanteringsproblem fanns i hanteringen av DNS-poster. Problemet löstes genom att uppdatera till BIND 9.7.6-P1 på OS X Lion-system och till BIND 9.8.3-P1 på OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Program som använder CoreText kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Ett gränskontrollproblem fanns i hantering av textglyfer, vilket kunde leda till minnesläsning och -skrivning utanför gränsen. Problemet åtgärdades genom förbättrad gränskontroll. Problemet påverkar inte system med Mac OS X 10.6 eller OS X Mountain Lion.

    CVE-ID

    CVE-2012-3716: Jesse Ruderman på Mozilla Corporation

  • Datasäkerhet

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: TrustWave, en betrodd rotcertifikatutfärdare, har utfärdat och senare återkallat ett undercertifikatsutfärdarcertifikat från ett av sina betrodda ankare. Detta undercertifikatsutfärdarcertifikat gjorde det möjligt att fånga upp kommunikation säkrad av TLS (Transport Layer Security). Denna uppdatering lägger till undercertifikatsutfärdarcertifikatet i fråga till OS X lista över opålitliga certifikat.

  • Katalogtjänst

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Om katalogtjänstproxy används är det möjligt för en hackare att orsaka DoS-attacker eller exekvera opålitlig kod

    Beskrivning: Ett buffertspill existerade i katalogtjänstproxyn. Problemet åtgärdades genom förbättrad gränskontroll. Detta problem påverkar inte system med OS X Lion och Mountain Lion.

    CVE-ID

    CVE-2012-0650: aazubel i samarbete med HP:s Zero Day Initiative

  • ImageIO

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Visning av en uppsåtligt skapad PNG-bild kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera problem med minneskorruptionsfel förekom i libpng:s hanteringen av PNG-bilder. Dessa problem åtgärdades genom förbättrad validering av PNG-bilder. Dessa problem påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett heltalsspill förekom i libTIFF:s hantering av TIFF-bilder. Det här problemet åtgärdades genom förbättrad validering av TIFF-bilder. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-1173: Alexander Gavrun i samarbete med HP:s Zero Day Initiative

  • Installeraren

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Fjärradministratörer och personer med fysisk åtkomst till systemet kan skaffa kontoinformation

    Beskrivning: Korrektionen för CVE-2012-0652 i OS X Lion 10.7.4 förhindrade att användarlösenord lagrades i system.log, men tog inte bort gamla loggposter. Detta problem åtgärdades genom att ta bort loggfiler som innehöll lösenord. Detta problem påverkar inte system med Mac OS X 10.6 eller OS X Mountain Lion.

    CVE-ID

    CVE-2012-0652

  • Internationella komponenter för unicode

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Program som använder ICU kan vara sårbara för oväntad programavslutning och körning av godtycklig kod

    Beskrivning: Ett stackbuffertspill förekom i hanteringen av ICU:s språk-ID:n. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-4599

  • Kärna

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Ett skadligt program kan kringgå sandlåde-begränsningar

    Beskrivning: Det fanns ett logiskt problem i hantering av systemanrop för felsökning. Det kan göra det möjligt för ett skadligt program att uppnå kodkörning i andra program med samma användarprivilegier. Detta problem löstes genom att avaktivera hantering av adresser i PT_STEP och PT_CONTINUE. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-0643: 2012 iOS Jailbreak Dream Team

  • Inloggningsfönster

    Tillgänglig för: OS X Mountain Lion 10.8 och 10.8.1

    Effekt: Det kan hända att en lokal användare får tillgång till andra användares inloggningslösenord

    Beskrivning: Det kan hända att en användarinstallerad inmatningsmetod fångar upp tangenttryckningar från inloggningsfönster eller upplåsning av skärmsläckare. Detta problem löstes genom att förhindra att användarinstallerade metoder används när systemet hanterar inloggningsinformation.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Visning av ett e-postmeddelande kan leda till exekvering av webbinsticksprogram

    Beskrivning: Ett indataverifieringsfel fanns i Mails hantering av inbäddade webbinsticksprogram. Detta problem löstes genom att avaktivera insticksprogram från tredje part i Mail. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-3719: Will Dormann på CERT/CC

  • Mobila konton

    Tillgänglig för: OS X Mountain Lion 10.8 och 10.8.1

    Effekt: Det kan hända att en användare med åtkomst till innehållet på ett mobilt konto får tillgång till kontots lösenord

    Beskrivning: När det mobila kontot skapades sparades en hash med lösenordet i kontot, vilket användes till att logga in när det mobila kontot användes som ett externt konto. Det gick att använda lösenordets hash till att bestämma användarens lösenord. Detta problem löstes genom att endast skapa lösenords-hash om externa konton är aktiverade på systemet där det mobila kontot skapas.

    CVE-ID

    CVE-2012-3720: Harald Wagener på Google, Inc.

  • PHP

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4, OS X Mountain Lion 10.8 och 10.8.1

    Effekt: Flera sårbarheter i PHP

    Beskrivning: > PHP har uppdaterats till version 5.3.15 för att åtgärda flera sårbarheter, av vilka den allvarligaste kan leda till att opålitlig kod körs. Mer information finns på PHP-webbplatsen http://www.php.net

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: PHP-skript som använder libpng kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i hantering av PNG-filer. Detta problem åtgärdades genom att uppdatera PHP:s kopia av libpng till version 1.5.10. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-3048

  • Profilhanteraren

    Tillgänglig för: OS X Lion Server 10.7 till 10.7.4

    Effekt: En obehörig användare kunde räkna hanterade enheter

    Beskrivning: Ett autentiseringsproblem fanns i enhetshanterarens privata gränssnitt. Detta problem åtgärdades genom att ta bort gränssnittet.

    Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-3721: Derick Cassidy på XEquals Corporation

  • Överblick

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Visning av en uppsåtligt skapad pict-fil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i hantering av pict-filer. Det här problemet åtgärdades med förbättrad validering av pict-filer. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon) på Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett heltalsspill förekom i QuickTimes hantering av sean-atomer. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-0670: Tom Gallagher (Microsoft) och Paul Bates (Microsoft) på HP:s Zero Day Initiative

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett icke-initialiserat minnesåtkomstproblem förekom i hanteringen av Sorenson-kodade filmfiler. Det här problemet åtgärdades genom förbättrad minnesinitiering. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-3722: Will Dormann på CERT/CC

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Buffertspill förekom vid i hanteringen av RLE-kodade filmfiler. Problemet åtgärdades genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-0668: Luigi Auriemma i samarbete med HP:s Zero Day Initiative

  • Ruby

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: En angripare kan avkryptera data som skyddas av SSL

    Beskrivning: Kända attacker mot sekretessen i SSL 3.0 och TLS 1.0 när en chiffersvit använder blockchiffer i CBC-läge. Modulen Ruby OpenSSL avaktiverade motåtgärden ”empty fragment” som förhindrade dessa angrepp. Problemet åtgärdades genom att aktivera ”empty fragment”. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2011-3389

  • USB

    Tillgänglig för: OS X Lion 10.7 till 10.7.4, OS X Lion Server 10.7 till 10.7.4

    Effekt: Anslutning av en USB-enhet kan leda till oväntad avstängning av systemet eller exekvering av skadlig kod

    Beskrivning: Ett minnesfel förekom i hantering av USB-hubb-identifierare. Detta fel åtgärdades genom förbättrad hantering av identifierarfältet bNbrPorts. Det här problemet påverkar inte OS X Mountain Lion-system.

    CVE-ID

    CVE-2012-3723: Andy Davis på NGS Secure

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: