เกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004

เอกสารนี้จะอธิบายเกี่ยวกับ Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004

สามารถดาวน์โหลดและติดตั้งการอัปเดตนี้ได้ผ่านทาง อัปเดตซอฟต์แวร์ การตั้งค่า หรือจาก การดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู "การอัพเดทความปลอดภัยของ Apple"

Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004

  • AirPort

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้

    คำอธิบาย: มีปัญหาการอ่านหน่วยความจำนอกขอบเขตในการจัดการกรอบ Wi-Fi เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้ แต่ปัญหานี้จะไม่ส่งผลกระทบต่อ Mac OS X v10.6

    CVE-ID

    CVE-2011-0196

  • App Store

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: รหัสผ่าน AppleID ของผู้ใช้อาจถูกใช้เข้าระบบไปยังไฟล์เฉพาะที่

    คำอธิบาย: ในบางสถานการณ์ App Store อาจใช้รหัสผ่าน AppleID ของผู้ใช้เข้าสู่ระบบไปที่ไฟล์ซึ่งไม่สามารถอ่านได้โดยผู้ใช้รายอื่นบนระบบ ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการข้อมูลประจำตัวให้ดีขึ้น

    CVE-ID

    CVE-2011-0197 : Paul Nelson

  • ATS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร TrueType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0198: Harry Sintonen, Marc Schoenefeld แห่ง Red Hat Security Response Team

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับข้อมูลประจำตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

    คำอธิบาย: มีปัญหาการจัดการที่ผิดพลาดในนโยบายความน่าเชื่อถือของใบรับรอง หากใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม (EV) ไม่ได้เปิดใช้งานการตรวจสอบ OCSP URL และ CRL CRL จะไม่ถูกตรวจสอบและ ปัญหานี้ถูกทำให้ดีขึ้นเป็นใบรับรอง EV ส่วนใหญ่ที่ระบุ OCSP URL

    CVE-ID

    CVE-2011-0199: Chris Hawk และ Wan-Teh Chang แห่ง Google

  • ColorSync

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังตัวอยู่อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบย: มีการล้นของจำนวนเต็มในการจัดการภาพที่มีโปรไฟล์ ColorSync ฝังตัวอยู่ ซึ่งอาจทำให้บัฟเฟอร์ล้นแบบพอกพูน การเปิดภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังตัวอยู่อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0200: binaryproof ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • CoreFoundation

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: แอพพลิเคชั่นที่ใช้เฟรมเวิร์ค CourFoundation อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจได้

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบ Off-by-one ในการจัดการ CFStrings แอพพลิเคชั่นที่ใช้เฟรมเวิร์ค CourFoundation อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจได้

    CVE-ID

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการแบบอักษร Type 1 การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0202: Cristian Draghici แห่ง Modulo Consulting, Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google

  • FTP Server

    มีให้สำหรับ: Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ผู้ที่สามารถเข้าใช้งาน FTP อาจจัดทำรายการไฟล์ต่างๆ บนระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องของเส้นทางใน xftpd ผู้ที่สามารถเข้าใช้งาน FTP อาจจัดทำรายการไดเร็กทอรี่แบบเรียกซ้ำโดยเริ่มจากราก รวมถึงไดเร็กทอรี่ที่ไม่ได้แบ่งปันสำหรับ FTP การจัดทำรายการจะรวมไฟล์ที่อาจทำให้ผู้ใช้ FTP สามารถเข้าถึงได้ในที่สุด เนื้อหาของไฟล์จะไม่ถูกเปิดเผย ปัญหานี้แก้ไขได้โดยการปรับปรุงการตรวจสอบเส้นทางให้ดีขึ้น ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น

    CVE-ID

    CVE-2011-0203 : team karlkani

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการภาพ TIFF ของ ImageIO การดูภาพ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0204: Dominic Chell แห่ง NGS Secure

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนอยู่ในการจัดการภาพ JPEG2000 ของ ImageIO การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0205: Harry Sintonen

  • องค์ประกอบสากลสำหรับ Unicode

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: แอพพลิเคชั่นที่ใช้ ICU อาจมีความเสี่ยงที่จะหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นในการจัดการสายตัวอักษรตัวพิมพ์ใหญ่ของ ICU แอพพลิเคชั่นที่ใช้ ICU อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0206: David Bienvenu แห่ง Mozilla

  • เคอร์เนล

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้เกิดการรีเซ็ตระบบ

    คำอธิบาย: มีปัญหา Null Dereference ในการจัดการตัวเลือกซ็อคเก็ต IPV6 ผู้ใช้เฉพาะที่อาจสามารถทำให้เกิดการรีเซ็ตระบบ

    CVE-ID

    CVE-2011-1132: Thomas Clement แห่ง Intego

  • Libsystem

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: แอพพลิเคชั่นที่ใช้ glob(3) API อาจเปราะบางต่อการปฏิเสธการบริการ

    คำอธิบาย: แอพพลิเคชั่นที่ใช้ glob(3) API อาจเปราะบางต่อการปฏิเสธการบริการ หากรูปแบบ Glob มาจากข้อมูลเข้าที่ไว้ใจไม่ได้ แอพพลิเคชั่นนั้นอาจค้างหรือใช้ทรัพยากร CPU มากเกินไป ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการตรวจสอบรูปแบบ Glob ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยที่อยู่บนฮีพ

    คำอธิบาย: การนำฟังก์ชั่น generate-id() XPath ของ libxslt มาใช้งานเปิดเผยที่อยู่ของบัฟเฟอร์ฮีพ การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยที่อยู่บนฮีพ ปัญหานี้แก้ไขได้ด้วยการสร้าง ID ตามความแตกต่างระหว่างที่อยู่ของสองบัพเฟอร์ฮีพ

    CVE-ID

    CVE-2011-0195: Chris Evans แห่งทีมรักษาความปลอดภัยของ Google Chrome

  • MobileMe

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจอ่านนามแฝงอีเมล MobileMe ของผู้ใช้

    คำอธิบาย: เมื่อสื่อสารกับ MobileMe เพื่อกำหนดนามแฝงอีเมลของผู้ใช้เมลจะร้องขอผ่านทาง HTTP ผลคือ ภัยคุกคามที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจอ่านนามแฝงอีเมล MobileMe ของผู้ใช้ ปัญหานี้แก้ไขได้ด้วยการใช้ SSL เพื่อเข้าใช้นามแฝงอีเมลของผู้ใช้

    CVE-ID

    CVE-2011-0207 : Aaron Sigel แห่ง vtty.com

  • MySQL

    มีให้สำหรับ: Mac OS X Server v10.5.8 ถึง v, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ช่องโหว่หลายจุดใน MySQL 5.0.91

    คำอธิบาย: MySQL อัพเดทเป็นเวอร์ชั่น 5.0.92 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสผ่านตามอำเภอใจ MySQL จะมีให้พร้อมกับระบบ Mac OS X Server เท่านั้น

    CVE-ID

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: มีช่องโหว่หลายจุดใน OpenSSL ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การการใช้รหัสโดยอำเภอใจ ปัญหาเหล่านี้แก้ไขได้ด้วยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8r

    CVE-ID

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • การปะแก้

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การเรียกใช้โปรแกรมปะแก้บนไฟล์โปรแกรมปะแก้ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ไฟล์ Arbitrary ถูกสร้างหรือถูกเขียนทับ

    คำอธิบาย: มีปัญหาการแวะผ่านไดเร็กทอรี่ในโปรแกรมปะแก้ GNU การเรียกใช้โปรแกรมปะแก้บนไฟล์โปรแกรมปะแก้ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ไฟล์ Arbitrary ถูกสร้างหรือถูกเขียนทับ ปัญหานี้แก้ไขได้โดยการปรับปรุงการตรวจสอบไฟล์โปรแกรมปะแก้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2010-4651

  • QuickLook

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดาวน์โหลดไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2011-0208 : Tobias Klein ที่ทำงานร่วมกับ iDefense VCP

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูไฟล์ WAV ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้อของจำนวนเต็มในการจัดการไฟล์ RIFF WAV ของ QuickTime ผลกระทบ: การดูไฟล์ WAV ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0209: Luigi Auriemma ที่ทำงานร่วมกับ ero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการตารางตัวอย่างของ QuickTime ในไฟล์ภาพยนตร์ QuickTime ของ การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0210 : Honggang Ren ของ Fortinet's FortiGuard Labs

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ภาพยนตร์ของ QuickTime การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0211: Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูภาพ PICT ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ PICT ของ QuickTime การดูภาพ PICT ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2010-3790: Subreption LLC ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: การดูไฟล์ PJEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ JPEG ของ QuickTime การดูไฟล์ JPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0213 : Luigi Auriemma ที่ทำงานร่วมกับ iDefense

  • Samba

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นทับกันอยู่ในการจัดการ ID ความปลอดภัยของ Windows ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วใน Mac OS X 10.6.7

    CVE-ID

    CVE-2010-3069

  • Samba

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการตัวอธิบายไฟล์ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0719 : Volker Lendecke แห่ง SerNet

  • servermgrd

    มีให้สำหรับ: Mac OS X Server v10.5.8 ถึง v, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: ภัยคุกคามจากระยะไกลอาจสามารถอ่านไฟล์ Arbitrary จากระบบได้

    คำอธิบาย: มีปัญหาเอนทิตีภายนอก XML ในการจัดการคำร้องขอ XML-RPC ของ servermgrd ปัญหานี้ได้รับการแก้ไขด้วยการลบส่วนติดต่อ XML-RPC ของ servermgrd ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น

    CVE-ID

    CVE-2011-0212 : Apple

  • เวอร์ชั่นย่อย

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7

    ผลกระทบ: หากเซิร์ฟเวอร์ Subversion ที่ใช้ http ถูกกำหนดค่าไว้ ภัยคุกคามจากระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการได้

    คำอธิบาย: มีปัญหา Null Dereference ในการจัดการโทเค็นล็อกของ Subversion ที่ส่งผ่าน HTTP หากเซิร์ฟเวอร์ Subversion ที่ใช้ http ถูกกำหนดค่าไว้ ภัยคุกคามจากระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการได้ สำหรับระบบ Mac OS X v10.6 Subversion ได้รับการอัพเดทให้เป็นเวอร์ชั่น 1.6.6 ส่วนระบบ Mac OS X v10.5.8 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบโทเค็นล็อกเพิ่มเติม สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ Subversion ที่ http://subversion.apache.org/

    CVE-ID

    CVE-2011-0715

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: