เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001 ซึ่งสามารถดาวน์โหลดผ่านการตั้งค่า ซอฟต์แวร์อัปเดต หรือจาก การดาวน์โหลด Apple
เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ
เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple
Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001
- 

- 

AirPort

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้

คำอธิบาย: มีปัญหาการหารด้วยศูนย์ในการจัดการกรอบ Wi-Fi เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2011-0172

 

- 

- 

Apache

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: มีช่องโหว่หลายแห่งใน Apache 2.2.15

คำอธิบาย: Apache ได้รับการอัปเดตเป็นเวอร์ชั่น 2.2.17 เพื่อแก้ปัญหาช่องโหว่จำนวนมาก ซึ่งปัญหาที่ร้ายแรงที่สุดอาจทำให้เกิดการปฏิเสธการบริการ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Apache ที่ http://httpd.apache.org/

CVE-ID

CVE-2010-1452

CVE-2010-2068

 

- 

- 

AppleScript

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การเรียกใช้งานแอปพลิเคชั่นที่ใช้ AppleScript Studio ที่อนุญาตให้ข้อมูลเข้าที่ไม่น่าเชื่อถือสามารถผ่านไปยังกล่องโต้ตอบที่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาสตริงรูปแบบในคำสั่งกล่องโต้ตอบทั่วไปของ AppleScript Studio ("แสดงกล่องโต้ตอบ" และ "แสดงการเตือน") การเรียกใช้งานแอปพลิเคชั่นที่ใช้ AppleScript Studio ที่อนุญาตให้ข้อมูลเข้าที่ไม่น่าเชื่อถือสามารถผ่านไปยังกล่องโต้ตอบที่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0173 : Alexander Strange

 

- 

- 

ATS

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร OpenType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0174

 

- 

- 

ATS

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร TrueType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0175 : Christoph Diehl แห่ง Mozilla, Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google, Marc Schoenefeld แห่งทีมตอบสนองด้านความปลอดภัยของ Red Hat, Tavis Ormandy และ Will Drewry แห่งทีมรักษาความปลอดภัยของ Google

 

- 

- 

ATS

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการแบบอักษร Type 1 การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0176 : Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญเรื่องเทคโนโลยีที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

 

- 

- 

ATS

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นจำนวนมากในการจัดการตาราง SFNT การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0177 : Marc Schoenefeld แห่งทีมตอบสนองด้านความปลอดภัยของ Red Hat

 

- 

- 

bzip2

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การใช้เครื่องมือบรรทัดคำสั่ง bzip2 หรือ bunzip2 เพื่อแยกไฟล์ bzip2 อาจส่งผลให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์บีบอัด bzip2 ของ bzip2 การใช้เครื่องมือบรรทัดคำสั่ง bzip2 หรือ bunzip2 เพื่อแยกไฟล์ bzip2 อาจส่งผลให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2010-0405

 

- 

- 

CarbonCore

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: แอปพลิเคชั่นที่ใช้ FSFindFolder() ที่มีธง kTemporaryFolderType อาจเป็นช่องโหว่ให้เกิดการเปิดเผยข้อมูลภายในเครื่อง

คำอธิบาย: FSFindFolder() API จะส่งกลับไดเร็กทอรีที่สามารถอ่านได้ทั่วโลก เมื่อใช้กับธง kTemporaryFolderType ปัญหานี้แก้ไขได้ด้วยการส่งคืนไดเร็กทอรีที่ให้ผู้ใช้ที่ดำเนินการเรียกใช้อ่านได้อย่างเดียว

CVE-ID

CVE-2011-0178

 

- 

- 

ClamAV

มีให้สำหรับ: Mac OS X Server v10.5.8, Mac OS X Server v10.6.6

ผลกระทบ: มีช่องโหว่หลายจุดใน ClamAV

คำอธิบาย: มีช่องโหว่หลายจุดใน ClamAV ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ การอัปเดตนี้แก้ไขปัญหาด้วยการอัปเดต ClamAV ให้เป็นเวอร์ชั่น 0.96.5 ซึ่ง ClamAV จะถูกแจกจ่ายให้กับระบบ Mac OS X Server เท่านั้น สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/

CVE-ID

CVE-2010-0405

CVE-2010-3434

CVE-2010-4260

CVE-2010-4261

CVE-2010-4479

 

- 

- 

CoreText

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการไฟล์แบบอักษรของ CoreText การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0179 : Christoph Diehl แห่ง Mozilla

 

- 

- 

การกักกันไฟล์

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: คำจำกัดความถูกเพิ่ม

คำอธิบาย: คำอธิบาย OSX.OpinionSpy ถูกเพิ่มในการตรวจสอบมัลแวร์ภายในการกักกันไฟล์

 

- 

- 

HFS

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: ผู้ใช้เครื่องอาจสามารถอ่านไฟล์ตามอำเภอใจได้จากระบบไฟล์ HFS, HFS+ หรือ HFS+J

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการ F_READBOOTSTRAP ioctl ผู้ใช้เครื่องอาจสามารถอ่านไฟล์ตามอำเภอใจได้จากระบบไฟล์ HFS, HFS+ หรือ HFS+J

CVE-ID

CVE-2011-0180 : Dan Rosenberg แห่ง Virtual Security Research

 

- 

- 

ImageIO

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนอยู่ในการจัดการภาพ JPEG ของ ImageIO การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0170 : Andrzej Dyjak ที่ทำงานร่วมกับ iDefense VCP

 

- 

- 

ImageIO

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูไฟล์ XBM ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการล้นของจำนวนเต็มในการจัดการภาพ XBM ของ ImageIO การดูภาพ XBM ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0181 : Harry Sintonen

 

- 

- 

ImageIO

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส JPEG ของ libTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0191 : Apple

 

- 

- 

ImageIO

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส CCITT Group 4 ของ ibTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0192 : Apple

 

- 

- 

ImageIO

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ TIFF ที่เข้ารหัส JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส JPEG ของ ImageIO การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2011-0194 : Dominic Chell แห่ง NGS Secure

 

- 

- 

ภาพ RAW

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ Canon RAW ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากอยู่ในการจัดการภาพ Canon RAW ของ Image RAW การดูภาพ Canon RAW ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0193 : Paul Harrington แห่ง NGS Secure

 

- 

- 

ตัวติดตั้ง

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการติดตั้งตัวแทนที่ติดต่อเซิร์ฟเวอร์โดยอำเภอใจเมื่อผู้ใช้เข้าสู่ระบบ และทำให้ผู้ใช้เข้าใจผิดคิดว่าเชื่อมต่ออยู่กับ Apple

คำอธิบาย: มีปัญหาการดำเนินการ URL ในตัวช่วยติดตั้งที่อาจนำไปสู่การติดตั้งตัวแทนที่ติดต่อเซิร์ฟเวอร์โดยอำเภอในเมื่อผู้ใช้เข้าสู่ระบบ กล่องโต้ตอบที่เป็นผลมาจากการเชื่อมต่อล้มเหลวอาจทำให้ผู้ใช้เชื่อว่าเป็นความพยายามเชื่อมต่อกับ Apple ปัญหานี้แก้ไขได้ด้วยการลบตัวช่วยติดตั้ง

CVE-ID

CVE-2011-0190 : Aaron Sigel แห่ง vtty.com

 

- 

- 

Kerberos

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: มีช่องโหว่หลายจุดใน MIT Kerberos 5

คำอธิบาย: มีปัญหาที่เกี่ยวกับการเข้ารหัสหลายจุใน MIT Kerberos 5 เฉพาะ CVE-2010-1323 ที่มีผลกับ Mac OS X v10.5 สามารถดูข้อมูลเพิ่มเติมเรื่องปัญหาและโปรแกรมปะแก้ที่ใช้ผ่านทางเว็บไซต์ของ MIT Kerberos ที่ http://web.mit.edu/Kerberos/

CVE-ID

CVE-2010-1323

CVE-2010-1324

CVE-2010-4020

CVE-2010-4021

 

- 

- 

เคอร์เนล

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: ผู้ใช้เครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาการตรวจสอบสิทธิ์ในการจัดการประตูการโทรของการโทรของระบบ i386_set_ldt ผลกระทบ: ผู้ใช้เครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ ปัญหานี้แก้ไขได้ด้วยการยกเลิกการอนุญาตการสร้างการเข้าประตูการโทรผ่าน via i386_set_ldt()

CVE-ID

CVE-2011-0182 : Jeff Mears

 

- 

- 

Libinfo

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: ภัยคุกคามระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการบนโฮสต์ที่ส่งออกระบบไฟล์ NFS

คำอธิบาย: มีปัญหาการตัดทอนค่าจำนวนเต็มในการจัดการแพ็คเก็ต NFS RPC ของ Libinfo ภัยคุกคามระยะไกลอาจสามารถทำให้บริการ NFS RPC อย่างเช่น lockd, statd, mountd และ portmap ไม่ตอบสนอง

CVE-ID

CVE-2011-0183 : Peter Schwenk แห่ง the University of Delaware

 

- 

- 

libxml

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการ XPath ของ libxml การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2010-4008 : Bui Quang Minh จาก Bkis (www.bkis.com)

 

- 

- 

libxml

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการเรียกฟรีสองครั้งในการจัดการนิพจน์ XPath ของ libxml การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2010-4494 : Yang Dingning แห่ง NCNIPC, Graduate University of Chinese Academy of Sciences

 

- 

- 

Mailman

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: มีช่องโหว่หลายจุดใน Mailman 2.1.13

คำอธิบาย: มีปัญหา Cross-site Scripting หลายจุดใน Mailman 2.1.13 ปัญหาเหล่านี้แก้ไขได้ด้วยการอัปเดต Mailman ให้เป็นเวอร์ชั่น 2.1.14 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Mailman ที่ http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

CVE-ID

CVE-2010-3089

 

- 

- 

PHP

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.3.3

คำอธิบาย: PHP ถูกอัปเดตเป็นเวอร์ชั่น 5.3.4 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสโดยอำเภอใจ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ PHP ที่ http://www.php.net/

CVE-ID

CVE-2006-7243

CVE-2010-2950

CVE-2010-3709

CVE-2010-3710

CVE-2010-3870

CVE-2010-4150

CVE-2010-4409

 

- 

- 

PHP

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.2.14

คำอธิบาย: PHP ถูกอัปเดตเป็นเวอร์ชั่น 5.2.15 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสโดยอำเภอใจ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ PHP ที่ http://www.php.net/

CVE-ID

CVE-2010-3436

CVE-2010-3709

CVE-2010-4150

 

- 

- 

QuickLook

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดาวน์โหลดไฟล์ Excel ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Excel ของ QuickLook การดาวน์โหลดไฟล์ Excel ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2011-0184 : Tobias Klein ที่ทำงานร่วมกับ Verisign iDefense Labs

 

- 

- 

QuickLook

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดาวน์โหลดไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-1417 : Charlie Miller และ Dion Blazakis ที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ JPEG2000 ที่ออกมาแบบมาเพื่อประสงค์ร้ายด้วย QuickTime อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการล่มของหน่วยความจำหลายจุดในการจัดการภาพ JPEG2000 ของ QuickTime การดูภาพ JPEG2000 ที่ออกมาแบบมาเพื่อประสงค์ร้ายด้วย QuickTime อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2011-0186 : Will Dormann แห่ง the CERT/CC

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ภาพยนตร์ของ QuickTime การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

CVE-ID

CVE-2010-4009 : Honggang Ren แห่ง Fortinet's FortiGuard Labs

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูภาพ FlashPix ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการภาพ FlashPix ของ QuickTime การดูภาพ FlashPix ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

CVE-ID

CVE-2010-3801 : Damian Put ที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative และ Rodrigo Rubira Branco จาก the Check Point Vulnerability Discovery Team

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยข้อมูลวิดีโอจากไซต์อื่น

คำอธิบาย: มีปัญหา Cross-origin ในการจัดการการเปลี่ยนเส้นทางแบบ Cross-Site ของปลั๊กอิน QuickTime การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยข้อมูลวิดีโอจากไซต์อื่น ปัญหานี้แก้ไขได้ด้วยการป้องกันไม่ใช้ QuickTime ตามการเปลี่ยนเส้นทางแบบข้ามไซต์

CVE-ID

CVE-2011-0187 : Nirankush Panchbhai และ Microsoft Vulnerability Research (MSVR)

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการอะตอมพาโนรามาในไฟล์ภาพยนตร์ QTVR (ความจริงเสมือน QuickTime) ของ QuickTime การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

CVE-ID

CVE-2010-3802 : นักวิจัยนิรนามที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

 

- 

- 

Ruby

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: การเรียกใช้สคริปต์ Ruby ที่ใช้ข้อมูลเข้าที่เชื่อถือไม่ได้เพื่อสร้างออบเจ็กต์ BigDecimal อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการตัดทอนค่าจำนวนเต็มในคลาส BigDecimal ของ Ruby การเรียกใช้สคริปต์ Ruby ที่ใช้ข้อมูลเข้าที่เชื่อถือไม่ได้เพื่อสร้างออบเจ็กต์ BigDecimal อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ ปัญหานี้ส่งผลเฉพาะกับกระบวนการ Ruby แบบ 64 บิตเท่านั้น

CVE-ID

CVE-2011-0188 : Apple

 

- 

- 

Samba

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นทับกันอยู่ในการจัดการ ID ความปลอดภัยของ Windows ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ

CVE-ID

CVE-2010-3069

 

- 

- 

เวอร์ชันย่อย

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

คำอธิบาย: เซิร์ฟเวอร์เวอร์ชั่นย่อยที่ใช้การตั้งค่าการปรับแต่ง mod_dav_svn "SVNPathAuthz short_circuit" ที่ไม่ใช่ค่าเริ่มต้น อาจทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าใช้งานคลังเก็บข้อมูลบางส่วนได้

คำอธิบาย: เซิร์ฟเวอร์เวอร์ชั่นย่อยที่ใช้การตั้งค่าการปรับแต่ง mod_dav_svn "SVNPathAuthz short_circuit" ที่ไม่ใช่ค่าเริ่มต้น อาจทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าใช้งานคลังเก็บข้อมูลบางส่วนได้ ปัญหานี้แก้ไขได้ด้วยการอัปเดตเวอร์ชั่นย่อยให้เป็นเวอร์ชั่น 1.6.13 ปัญหานี้ไม่ได้มีผลต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2010-3315

 

- 

- 

Terminal

มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

คำอธิบาย: เมื่อ ssh ถูกใช้ในกล่องโต้ตอบ "การเชื่อมต่อระยะไกลใหม่" ของ Terminal, SSH เวอร์ชั่น 1 จะถูกเลือกให้เป็นเวอร์ชั่นโปรโตคอลเริ่มต้น

คำอธิบาย: เมื่อ ssh ถูกใช้ในกล่องโต้ตอบ "การเชื่อมต่อระยะไกลใหม่" ของ Terminal, SSH เวอร์ชั่น 1 จะถูกเลือกให้เป็นเวอร์ชั่นโปรโตคอลเริ่มต้น ปัญหานี้แก้ไขด้วยการเปลี่ยนเวอร์ชั่นเริ่มต้นให้เป็น "อัตโนมัติ" แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

CVE-ID

CVE-2011-0189 : Matt Warren แห่ง HNW Inc.

 

- 

- 

X11

มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

ผลกระทบ: มีช่องโหว่หลายจุดใน FreeType

คำอธิบาย: มีช่องโหว่หลายจุดใน FreeType ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจเมื่อดำเนินการแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้แก้ไขได้ด้วยการอัปเดต FreeType ให้เป็นเวอร์ชั่น 2.4.4 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ FreeType ที่ http://www.freetype.org/

CVE-ID

CVE-2010-3814

CVE-2010-3855