เกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004
เอกสารนี้จะอธิบายเกี่ยวกับ Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004
สามารถดาวน์โหลดและติดตั้งการอัปเดตนี้ได้ผ่านทาง อัปเดตซอฟต์แวร์ การตั้งค่า หรือจาก การดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู "การอัพเดทความปลอดภัยของ Apple"
Mac OS X v10.6.8 และการอัพเดทความปลอดภัย 2011-004
AirPort
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้
คำอธิบาย: มีปัญหาการอ่านหน่วยความจำนอกขอบเขตในการจัดการกรอบ Wi-Fi เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้ แต่ปัญหานี้จะไม่ส่งผลกระทบต่อ Mac OS X v10.6
CVE-ID
CVE-2011-0196
App Store
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: รหัสผ่าน AppleID ของผู้ใช้อาจถูกใช้เข้าระบบไปยังไฟล์เฉพาะที่
คำอธิบาย: ในบางสถานการณ์ App Store อาจใช้รหัสผ่าน AppleID ของผู้ใช้เข้าสู่ระบบไปที่ไฟล์ซึ่งไม่สามารถอ่านได้โดยผู้ใช้รายอื่นบนระบบ ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการข้อมูลประจำตัวให้ดีขึ้น
CVE-ID
CVE-2011-0197 : Paul Nelson
ATS
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร TrueType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0198: Harry Sintonen, Marc Schoenefeld แห่ง Red Hat Security Response Team
นโยบายความน่าเชื่อถือของใบรับรอง
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับข้อมูลประจำตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ
คำอธิบาย: มีปัญหาการจัดการที่ผิดพลาดในนโยบายความน่าเชื่อถือของใบรับรอง หากใบรับรองการตรวจสอบความถูกต้องเพิ่มเติม (EV) ไม่ได้เปิดใช้งานการตรวจสอบ OCSP URL และ CRL CRL จะไม่ถูกตรวจสอบและ ปัญหานี้ถูกทำให้ดีขึ้นเป็นใบรับรอง EV ส่วนใหญ่ที่ระบุ OCSP URL
CVE-ID
CVE-2011-0199: Chris Hawk และ Wan-Teh Chang แห่ง Google
ColorSync
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังตัวอยู่อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบย: มีการล้นของจำนวนเต็มในการจัดการภาพที่มีโปรไฟล์ ColorSync ฝังตัวอยู่ ซึ่งอาจทำให้บัฟเฟอร์ล้นแบบพอกพูน การเปิดภาพที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังตัวอยู่อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0200: binaryproof ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint
CoreFoundation
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: แอพพลิเคชั่นที่ใช้เฟรมเวิร์ค CourFoundation อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจได้
คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบ Off-by-one ในการจัดการ CFStrings แอพพลิเคชั่นที่ใช้เฟรมเวิร์ค CourFoundation อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจได้
CVE-ID
CVE-2011-0201: Harry Sintonen
CoreGraphics
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการแบบอักษร Type 1 การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0202: Cristian Draghici แห่ง Modulo Consulting, Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google
FTP Server
มีให้สำหรับ: Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ผู้ที่สามารถเข้าใช้งาน FTP อาจจัดทำรายการไฟล์ต่างๆ บนระบบ
คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องของเส้นทางใน xftpd ผู้ที่สามารถเข้าใช้งาน FTP อาจจัดทำรายการไดเร็กทอรี่แบบเรียกซ้ำโดยเริ่มจากราก รวมถึงไดเร็กทอรี่ที่ไม่ได้แบ่งปันสำหรับ FTP การจัดทำรายการจะรวมไฟล์ที่อาจทำให้ผู้ใช้ FTP สามารถเข้าถึงได้ในที่สุด เนื้อหาของไฟล์จะไม่ถูกเปิดเผย ปัญหานี้แก้ไขได้โดยการปรับปรุงการตรวจสอบเส้นทางให้ดีขึ้น ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น
CVE-ID
CVE-2011-0203 : team karlkani
ImageIO
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการภาพ TIFF ของ ImageIO การดูภาพ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0204: Dominic Chell แห่ง NGS Secure
ImageIO
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนอยู่ในการจัดการภาพ JPEG2000 ของ ImageIO การไปยังเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0205: Harry Sintonen
องค์ประกอบสากลสำหรับ Unicode
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: แอพพลิเคชั่นที่ใช้ ICU อาจมีความเสี่ยงที่จะหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นในการจัดการสายตัวอักษรตัวพิมพ์ใหญ่ของ ICU แอพพลิเคชั่นที่ใช้ ICU อาจเปราะบางต่อการทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0206: David Bienvenu แห่ง Mozilla
เคอร์เนล
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้เกิดการรีเซ็ตระบบ
คำอธิบาย: มีปัญหา Null Dereference ในการจัดการตัวเลือกซ็อคเก็ต IPV6 ผู้ใช้เฉพาะที่อาจสามารถทำให้เกิดการรีเซ็ตระบบ
CVE-ID
CVE-2011-1132: Thomas Clement แห่ง Intego
Libsystem
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: แอพพลิเคชั่นที่ใช้ glob(3) API อาจเปราะบางต่อการปฏิเสธการบริการ
คำอธิบาย: แอพพลิเคชั่นที่ใช้ glob(3) API อาจเปราะบางต่อการปฏิเสธการบริการ หากรูปแบบ Glob มาจากข้อมูลเข้าที่ไว้ใจไม่ได้ แอพพลิเคชั่นนั้นอาจค้างหรือใช้ทรัพยากร CPU มากเกินไป ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการตรวจสอบรูปแบบ Glob ให้ดียิ่งขึ้น
CVE-ID
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยที่อยู่บนฮีพ
คำอธิบาย: การนำฟังก์ชั่น generate-id() XPath ของ libxslt มาใช้งานเปิดเผยที่อยู่ของบัฟเฟอร์ฮีพ การไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยที่อยู่บนฮีพ ปัญหานี้แก้ไขได้ด้วยการสร้าง ID ตามความแตกต่างระหว่างที่อยู่ของสองบัพเฟอร์ฮีพ
CVE-ID
CVE-2011-0195: Chris Evans แห่งทีมรักษาความปลอดภัยของ Google Chrome
MobileMe
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ภัยคุกคามที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจอ่านนามแฝงอีเมล MobileMe ของผู้ใช้
คำอธิบาย: เมื่อสื่อสารกับ MobileMe เพื่อกำหนดนามแฝงอีเมลของผู้ใช้เมลจะร้องขอผ่านทาง HTTP ผลคือ ภัยคุกคามที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจอ่านนามแฝงอีเมล MobileMe ของผู้ใช้ ปัญหานี้แก้ไขได้ด้วยการใช้ SSL เพื่อเข้าใช้นามแฝงอีเมลของผู้ใช้
CVE-ID
CVE-2011-0207 : Aaron Sigel แห่ง vtty.com
MySQL
มีให้สำหรับ: Mac OS X Server v10.5.8 ถึง v, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ช่องโหว่หลายจุดใน MySQL 5.0.91
คำอธิบาย: MySQL อัพเดทเป็นเวอร์ชั่น 5.0.92 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสผ่านตามอำเภอใจ MySQL จะมีให้พร้อมกับระบบ Mac OS X Server เท่านั้น
CVE-ID
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL
คำอธิบาย: มีช่องโหว่หลายจุดใน OpenSSL ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การการใช้รหัสโดยอำเภอใจ ปัญหาเหล่านี้แก้ไขได้ด้วยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8r
CVE-ID
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
การปะแก้
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การเรียกใช้โปรแกรมปะแก้บนไฟล์โปรแกรมปะแก้ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ไฟล์ Arbitrary ถูกสร้างหรือถูกเขียนทับ
คำอธิบาย: มีปัญหาการแวะผ่านไดเร็กทอรี่ในโปรแกรมปะแก้ GNU การเรียกใช้โปรแกรมปะแก้บนไฟล์โปรแกรมปะแก้ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ไฟล์ Arbitrary ถูกสร้างหรือถูกเขียนทับ ปัญหานี้แก้ไขได้โดยการปรับปรุงการตรวจสอบไฟล์โปรแกรมปะแก้ให้ดียิ่งขึ้น
CVE-ID
CVE-2010-4651
QuickLook
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดาวน์โหลดไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6
CVE-ID
CVE-2011-0208 : Tobias Klein ที่ทำงานร่วมกับ iDefense VCP
QuickTime
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูไฟล์ WAV ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล้อของจำนวนเต็มในการจัดการไฟล์ RIFF WAV ของ QuickTime ผลกระทบ: การดูไฟล์ WAV ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0209: Luigi Auriemma ที่ทำงานร่วมกับ ero Day Initiative ของ TippingPoint
QuickTime
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการตารางตัวอย่างของ QuickTime ในไฟล์ภาพยนตร์ QuickTime ของ การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0210 : Honggang Ren ของ Fortinet's FortiGuard Labs
QuickTime
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ภาพยนตร์ของ QuickTime การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0211: Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint
QuickTime
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูภาพ PICT ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ PICT ของ QuickTime การดูภาพ PICT ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2010-3790: Subreption LLC ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint
QuickTime
มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: การดูไฟล์ PJEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ JPEG ของ QuickTime การดูไฟล์ JPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0213 : Luigi Auriemma ที่ทำงานร่วมกับ iDefense
Samba
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8
ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นทับกันอยู่ในการจัดการ ID ความปลอดภัยของ Windows ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ สำหรับระบบ Mac OS X v10.6 ปัญหานี้ได้รับการแก้ไขแล้วใน Mac OS X 10.6.7
CVE-ID
CVE-2010-3069
Samba
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการตัวอธิบายไฟล์ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจ
CVE-ID
CVE-2011-0719 : Volker Lendecke แห่ง SerNet
servermgrd
มีให้สำหรับ: Mac OS X Server v10.5.8 ถึง v, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: ภัยคุกคามจากระยะไกลอาจสามารถอ่านไฟล์ Arbitrary จากระบบได้
คำอธิบาย: มีปัญหาเอนทิตีภายนอก XML ในการจัดการคำร้องขอ XML-RPC ของ servermgrd ปัญหานี้ได้รับการแก้ไขด้วยการลบส่วนติดต่อ XML-RPC ของ servermgrd ปัญหานี้จะส่งผลกระทบเฉพาะระบบ Mac OS X Server เท่านั้น
CVE-ID
CVE-2011-0212 : Apple
เวอร์ชั่นย่อย
มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.7, Mac OS X Server v10.6 ถึง v10.6.7
ผลกระทบ: หากเซิร์ฟเวอร์ Subversion ที่ใช้ http ถูกกำหนดค่าไว้ ภัยคุกคามจากระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการได้
คำอธิบาย: มีปัญหา Null Dereference ในการจัดการโทเค็นล็อกของ Subversion ที่ส่งผ่าน HTTP หากเซิร์ฟเวอร์ Subversion ที่ใช้ http ถูกกำหนดค่าไว้ ภัยคุกคามจากระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการได้ สำหรับระบบ Mac OS X v10.6 Subversion ได้รับการอัพเดทให้เป็นเวอร์ชั่น 1.6.6 ส่วนระบบ Mac OS X v10.5.8 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบโทเค็นล็อกเพิ่มเติม สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ Subversion ที่ http://subversion.apache.org/
CVE-ID
CVE-2011-0715
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม