เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002
OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002 สามารถดาวน์โหลดและติดตั้งได้ผ่านการตั้งค่า การอัปเดตซอฟต์แวร์ หรือจาก การดาวน์โหลดของ Apple
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"
OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002
หน้าต่างเข้าสู่ระบบ
มีให้สำหรับ: OS X Lion v10.7.3, OS X Lion Server v10.7.3
ผลกระทบ: ผู้ดูแลระบบระยะไกลและผู้ที่เข้าถึงระบบที่ตัวเครื่องอาจได้รับข้อมูลบัญชี
คำอธิบาย: มีปัญหาในการจัดการการเข้าสู่ระบบบัญชีเครือข่าย กระบวนการเข้าสู่ระบบได้บันทึกข้อมูลที่ละเอียดอ่อนไว้ในระบบ ซึ่งผู้ใช้รายอื่นของระบบอาจสามารถอ่านบันทึกนั้นได้ข้อมูลที่ละเอียดอ่อนอาจยังคงอยู่ในบันทึกที่บันทึกไว้หลังจากติดตั้งการอัปเดตนี้ ปัญหานี้จะส่งผลต่อ ระบบที่รัน OS X Lion v10.7.3 กับผู้ใช้ File Vault รุ่นเก่า และ/หรือ โฟลเดอร์เริ่มต้นที่ใช้เครือข่ายเท่านั้น
CVE-ID
CVE-2012-0652 : Terry Reeves และ Tim Winningham จาก Ohio State University, Markus 'Jaroneko' Räty จาก Finnish Academy of Fine Arts, Jaakko Pero จาก Aalto University, Mark Cohen จาก Oregon State University, Paul Nelson
บลูทูธ
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ผู้ใช้ภายในอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาสภาวะการแข่งขันของไฟล์ชั่วคราวในการเตรียมการเพื่อให้พร้อมใช้งานตามปกติของ Blued
CVE-ID
CVE-2012-0649 : Aaron Sigel จาก vtty.com
curl
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้
คำอธิบาย: มีการคุกคามที่รู้จักจู่โจมความเชื่อมั่นของ SSL 3.0 และ TLS 1.0 เมื่อ cipher suite ใช้ block cipher ในโหมด CBC curl ปิดใช้งานมาตรการตอบโต้ 'ส่วนย่อยเปล่า' ซึ่งป้องกันภัยคุกคามเหล่านี้ ปัญหานี้ได้รับการแก้ไขได้ด้วยการเปิดใช้งานส่วนย่อยเปล่า
CVE-ID
CVE-2011-3389 : Apple
curl
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การใช้ curl หรือ libcurl กับ URL ที่ประสงค์ร้าย อาจทำให้ถูกภัยคุกคามแทรกข้อมูลเฉพาะโปรโตคอล
คำอธิบาย: มีปัญหาการแทรกข้อมูลในการจัดการ URL ของ curl ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบ URL ที่ปรับปรุงให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion
CVE-ID
CVE-2012-0036
บริการสารบบ
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8
ผลกระทบ: ภัยคุกคามจากระยะไกลอาจได้รับข้อมูลที่ละเอียดอ่อน
คำอธิบาย: ปัญหาหลายอย่างในการจัดการข้อความจากเครือข่ายของเซิร์ฟเวอร์สารบบ ด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ภัยคุกคามจากระยะไกลอาจทำให้เซิร์ฟเวอร์สารบบเปิดเผยหน่วยความจำสำหรับพื้นที่สำหรับที่อยู่ ซึ่งอาจแสดงข้อมูลประจำตัวของบัญชีหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion เซิร์ฟเวอร์สารบบจะถูกปิดใช้งานตามค่าเริ่มต้นในการติดตั้งแบบไม่ใช้เซิร์ฟเวอร์ของ OS X
CVE-ID
CVE-2012-0651 : Agustin Azubel
HFS
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การต่อเชื่อมภาพดิสก์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาจำนวนเต็มน้อยเกินไปในการจัดการไฟล์แค็ตตาล็อก HFS
CVE-ID
CVE-2012-0642 : pod2g
ImageIO
มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8
ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการไฟล์ TIFF ที่เข้ารหัส CCITT Group 4 ของ ImageIO ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion
CVE-ID
CVE-2011-0241 : Cyril CATTIAUX จาก Tessi Technologies
ImageIO
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8
ผลกระทบ: มีช่องโหว่หลายจุดใน libpng
คำอธิบาย: libpng ได้รับการอัปเดตเป็นเวอร์ชั่น 1.5.5 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดอาจนำไปสู่การเปิดเผยข้อมูล สามารถดูข้อมูลเพิ่มเติมได้ผ่านเว็บไซต์ libpng ที่ http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2011-2692
CVE-2011-3328
ImageIO
มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8
ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส ThunderScan ของ libtiff ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดต libtiff ให้เป็นเวอร์ชั่น 3.9.5
CVE-ID
CVE-2011-1167
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: เมื่อมีการใช้ FileVault ดิสก์อาจมีข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส
คำอธิบาย: ปัญหาในการจัดการภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) ที่ใช้สำหรับการไฮเบอร์เนตจะทิ้งข้อมูลบางส่วนที่ไม่ได้เข้ารหัสไว้บนดิสก์ แม้ว่าจะเปิดใช้งาน FileVault อยู่ก็ตาม ปัญหานี้แก้ไขได้ผ่านการจัดการภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) ที่ปรับปรุงให้ดียิ่งขึ้น และด้วยการเขียนทับภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) เมื่ออัปเดตเป็น OS X v10.7.4 ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion
CVE-ID
CVE-2011-3212 : Felix Groebert จากทีมรักษาความปลอดภัยของ Google
libarchive
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์มากเกินไปหลายจุดในการจัดการไฟล์การเก็บถาวร tar และไฟล iso9660
CVE-ID
CVE-2011-1777
CVE-2011-1778
libsecurity
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การตรวจสอบใบรับรอง X.509 ที่ออกแบบมาเพื่อประสงค์ร้าย อย่างเช่น เวลาที่ไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าในการจัดการใบรับรอง X.509
CVE-ID
CVE-2012-0654 : Dirk-Willem van Gulik จาก WebWeaving.org, Guilherme Prado จาก Conselho da Justiça Federal, Ryan Sleevi จาก Google
libsecurity
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การรองรับสำหรับใบรับรอง X.509 ที่มีกุญแจ RSA ที่มีความยาวที่ไม่ปลอดภัยอาจมีการปลอมแปลงเป็นผู้ใช้และเปิดเผยข้อมูลได้
คำอธิบาย: libsecurity ยอมรับใบรับรองที่เซ็นชื่อโดยใช้กุญแจ RSA ที่มีความยาวกุญแจที่ไม่ปลอดภัย ปัญหานี้ได้แก้ไขได้ด้วยการปฏิเสธใบรับรองที่มีกุญแจ RSA ที่ยาวน้อยกว่า 1024 บิต
CVE-ID
CVE-2012-0655
libxml
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีช่องโหว่หลายจุดใน libxml ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ ปัญหาเหล่านี้แก้ไขได้ด้วยการปรับใช้แพตช์อัปสตรีมที่เกี่ยวข้อง
CVE-ID
CVE-2011-1944 : Chris Evans จากทีมรักษาความปลอดภัยของ Google Chrome
CVE-2011-2821 : Yang Dingning จาก NCNIPC, บัณฑิตวิทยาลัยจาก Chinese Academy of Sciences
CVE-2011-2834 : Yang Dingning จาก NCNIPC, บัณฑิตวิทยาลัยจาก Chinese Academy of Sciences
CVE-2011-3919 : Jüri Aedla
LoginUIFramework
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: หากเปิดใช้งานผู้ใช้ทั่วไป ผู้ใช้ที่สามารถเข้าใช้งานเครื่องคอมพิวเตอร์ได้อาจสามารถเข้าสู่ระบบในผู้ใช้อื่นที่ไม่ใช่ผู้ใช้ทั่วไปโดยไม่ต้องป้อนรหัสผ่าน
คำอธิบาย: มีสภาวะการแข่งขันในการจัดการการเข้าสู่ระบบของผู้ใช้ทั่วไป ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion
CVE-ID
CVE-2012-0656 : Francisco Gómez (espectalll123)
PHP
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ช่องโหว่หลายจุดใน PHP
คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.3.10 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสตามอำเภอใจได้ ข้อมูลเพิ่มเติมมีให้ผ่านทางเว็บไซต์ PHP ที่ http://www.php.net
CVE-ID
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
Quartz Composer
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานเครื่องคอมพิวเตอร์อาจสามารถทำให้ Safari เปิดใช้งานได้ หากหน้าจอถูกล็อกไว้และใช้โปรแกรมรักษาหน้าจอแบบ RSS Visualizer
คำอธิบาย: มีปัญหาการควบคุมการเข้าถึงในการจัดการโปรแกรมรักษาหน้าจอของ Quartz Composer ปัญหานี้แก้ไขได้ผ่านการตรวจดูว่าหน้าจอล็อกอยู่หรือไม่ให้ดียิ่งขึ้น
CVE-ID
CVE-2012-0657 : Aaron Sigel จาก vtty.com
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายในระหว่างดำเนินการดาวน์โหลด อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปในการจัดการตารางตัวอย่างเสียง
CVE-ID
CVE-2012-0658 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การดูไฟล์ MPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาจำนวนเต็มมากเกินไปในการจัดการไฟล์ MPEG
CVE-ID
CVE-2012-0659 : นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ HP
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การดูไฟล์ MPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์น้อยเกินไปในการจัดการไฟล์ MPEG
CVE-ID
CVE-2012-0660: Justin Kim จาก Microsoft และ Microsoft Vulnerability Research
QuickTime
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหา use-after-free ในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส JPEG2000 ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion
CVE-ID
CVE-2012-0661 : Damian Put ที่ทำงานกับ Zero Day Initiative ของ TippingPoint
Ruby
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ช่องโหว่หลายจุดใน Ruby
คำอธิบาย: Ruby ได้รับการอัปเดตเป็น 1.8.7-p357 เพื่อแก้ปัญหาช่องโหว่หลายจุด
CVE-ID
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
Samba
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8
ผลกระทบ: หากเปิดใช้งานการแชร์ไฟล์ SMB ภัยคุกคามจากระยะไกลที่ไม่ได้รับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีบัฟเฟอร์มากเกินไปหลายจุดในการจัดการ Remote Procedure Call (RPC) ของ Samba ด้วยการส่งแพ็คเก็ตที่ออกแบบมาเพื่อประสงค์ร้าย ภัยคุกคามจากระยะไกลที่ไม่ได้รับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ ปัญหาเหล่านี้ไม่มีผลต่อระบบ OS X Lion
CVE-ID
CVE-2012-0870 : Andy Davis จาก NGS Secure
CVE-2012-1182 : นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ HP
โครงประกอบความปลอดภัย
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีจำนวนเต็มมากเกินไปในโครงประกอบความปลอดภัย การประมวลผลข้อมูลป้อนเข้าที่ไม่น่าเชื่อถือด้วยโครงประกอบความปลอดภัยอาจส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ไม่มีผลกระทบกับกระบวนการแบบ 32 บิต
CVE-ID
CVE-2012-0662 : aazubel ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
Time Machine
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: ภัยคุกคามจากระยะไกลอาจเข้าถึงข้อมูลประจำตัวในข้อมูลสำรอง Time Machine ของผู้ใช้
คำอธิบาย: ผู้ใช้อาจกำหนด Time Capsule หรือดิสก์โวลุ่ม AFP ระยะไกลที่ต่ออยู่กับสถานีฐาน AirPort เพื่อใช้สำหรับข้อมูลสำรอง Time Machine การเริ่มต้นด้วยสถานีฐาน AirPort และการอัปเดตเฟิร์มแวร์ Time Capsule เวอร์ชั่น 7.6, Time Capsules และสถานีฐานจะรองรับกลไกการรับรองความถูกต้องโดยใช้ SRP ที่ปลอดภัยผ่านทาง AFP อย่างไรก็ตาม Time Machine ไม่ได้กำหนดว่าจะต้องใช้กลไกการรับรองความถูกต้องโดยใช้ SRP สำหรับการสำรองข้อมูลในครั้งต่อมา แม้ว่า Time Machine จะถูกกำหนดค่าในครั้งแรกแล้วหรือเคยติดต่อกับ Time Capsule หรือสถานีฐานที่รองรับแล้วก็ตาม ภัยคุกคามที่สามารถปลอมแปลงดิสก์โวลุ่มระยะไกลอาจสามารถเข้าถึงข้อมูลประจำตัว Time Capsule ของผู้ใช้ที่ถูกส่งโดยระบบของผู้ใช้ แม้จะไม่ใช่ข้อมูลที่สำรองก็ตาม ปัญหานี้แก้ไขได้ด้วยการบังคับใช้กลไกการรับรองความถูกต้องโดยใช้ SRP แม้ว่าปลายทางข้อมูลสำรองนั้นจะเคยรองรับมาแล้วก็ตาม
CVE-ID
CVE-2012-0675 : Renaud Deraison จาก Tenable Network Security, Inc.
X11
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3
ผลกระทบ: แอปพลิเคชั่นที่ใช้ libXfont เพื่อประมวลผลข้อมูล LZW ที่บีบอัด อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: บัฟเฟอร์มากเกินไปในการจัดการข้อมูล LZW ที่บีบอัดของ libXfont ปัญหานี้แก้ไขได้ด้วยการอัปเดต libXfont ให้เป็นเวอร์ชั่น 1.4.4
CVE-ID
CVE-2011-2895 : Tomas Hoger จาก Red Hat
หมายเหตุ: นอกจากนี้ การอัปเดตนี้จะกรองสภาพแวดล้อม Dynamic Linker ที่แตกต่างจากคุณสมบัติสภาพแวดล้อมที่กำหนดเองที่อยู่ในรายการสารบบหลักของผู้ใช้ ถ้ามี
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม