เกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001 ซึ่งสามารถดาวน์โหลดผ่านการตั้งค่า ซอฟต์แวร์อัปเดต หรือจาก การดาวน์โหลด Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

Mac OS X v10.6.7 และการอัปเดตความปลอดภัย 2011-001

  • AirPort

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้

    คำอธิบาย: มีปัญหาการหารด้วยศูนย์ในการจัดการกรอบ Wi-Fi เมื่อเชื่อมต่อกับ Wi-Fi ภัยคุกคามบนเครือข่ายเดียวกันอาจสามารถทำให้เกิดการรีเซ็ตระบบได้ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2011-0172

  • Apache

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: มีช่องโหว่หลายแห่งใน Apache 2.2.15

    คำอธิบาย: Apache ได้รับการอัปเดตเป็นเวอร์ชั่น 2.2.17 เพื่อแก้ปัญหาช่องโหว่จำนวนมาก ซึ่งปัญหาที่ร้ายแรงที่สุดอาจทำให้เกิดการปฏิเสธการบริการ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Apache ที่ http://httpd.apache.org/

    CVE-ID

    CVE-2010-1452

    CVE-2010-2068

  • AppleScript

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การเรียกใช้งานแอปพลิเคชั่นที่ใช้ AppleScript Studio ที่อนุญาตให้ข้อมูลเข้าที่ไม่น่าเชื่อถือสามารถผ่านไปยังกล่องโต้ตอบที่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาสตริงรูปแบบในคำสั่งกล่องโต้ตอบทั่วไปของ AppleScript Studio ("แสดงกล่องโต้ตอบ" และ "แสดงการเตือน") การเรียกใช้งานแอปพลิเคชั่นที่ใช้ AppleScript Studio ที่อนุญาตให้ข้อมูลเข้าที่ไม่น่าเชื่อถือสามารถผ่านไปยังกล่องโต้ตอบที่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0173 : Alexander Strange

  • ATS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร OpenType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0174

  • ATS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการแบบอักษร TrueType การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0175 : Christoph Diehl แห่ง Mozilla, Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google, Marc Schoenefeld แห่งทีมตอบสนองด้านความปลอดภัยของ Red Hat, Tavis Ormandy และ Will Drewry แห่งทีมรักษาความปลอดภัยของ Google

  • ATS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการแบบอักษร Type 1 การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0176 : Felix Grobert แห่งทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญเรื่องเทคโนโลยีที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

  • ATS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นจำนวนมากในการจัดการตาราง SFNT การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0177 : Marc Schoenefeld แห่งทีมตอบสนองด้านความปลอดภัยของ Red Hat

  • bzip2

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การใช้เครื่องมือบรรทัดคำสั่ง bzip2 หรือ bunzip2 เพื่อแยกไฟล์ bzip2 อาจส่งผลให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์บีบอัด bzip2 ของ bzip2 การใช้เครื่องมือบรรทัดคำสั่ง bzip2 หรือ bunzip2 เพื่อแยกไฟล์ bzip2 อาจส่งผลให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2010-0405

  • CarbonCore

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: แอปพลิเคชั่นที่ใช้ FSFindFolder() ที่มีธง kTemporaryFolderType อาจเป็นช่องโหว่ให้เกิดการเปิดเผยข้อมูลภายในเครื่อง

    คำอธิบาย: FSFindFolder() API จะส่งกลับไดเร็กทอรีที่สามารถอ่านได้ทั่วโลก เมื่อใช้กับธง kTemporaryFolderType ปัญหานี้แก้ไขได้ด้วยการส่งคืนไดเร็กทอรีที่ให้ผู้ใช้ที่ดำเนินการเรียกใช้อ่านได้อย่างเดียว

    CVE-ID

    CVE-2011-0178

  • ClamAV

    มีให้สำหรับ: Mac OS X Server v10.5.8, Mac OS X Server v10.6.6

    ผลกระทบ: มีช่องโหว่หลายจุดใน ClamAV

    คำอธิบาย: มีช่องโหว่หลายจุดใน ClamAV ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ การอัปเดตนี้แก้ไขปัญหาด้วยการอัปเดต ClamAV ให้เป็นเวอร์ชั่น 0.96.5 ซึ่ง ClamAV จะถูกแจกจ่ายให้กับระบบ Mac OS X Server เท่านั้น สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ ClamAV ที่ http://www.clamav.net/

    CVE-ID

    CVE-2010-0405

    CVE-2010-3434

    CVE-2010-4260

    CVE-2010-4261

    CVE-2010-4479

  • CoreText

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการไฟล์แบบอักษรของ CoreText การดูหรือการดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0179 : Christoph Diehl แห่ง Mozilla

  • การกักกันไฟล์

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: คำจำกัดความถูกเพิ่ม

    คำอธิบาย: คำอธิบาย OSX.OpinionSpy ถูกเพิ่มในการตรวจสอบมัลแวร์ภายในการกักกันไฟล์

  • HFS

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: ผู้ใช้เครื่องอาจสามารถอ่านไฟล์ตามอำเภอใจได้จากระบบไฟล์ HFS, HFS+ หรือ HFS+J

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการ F_READBOOTSTRAP ioctl ผู้ใช้เครื่องอาจสามารถอ่านไฟล์ตามอำเภอใจได้จากระบบไฟล์ HFS, HFS+ หรือ HFS+J

    CVE-ID

    CVE-2011-0180 : Dan Rosenberg แห่ง Virtual Security Research

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนอยู่ในการจัดการภาพ JPEG ของ ImageIO การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

     

    CVE-ID

    CVE-2011-0170 : Andrzej Dyjak ที่ทำงานร่วมกับ iDefense VCP

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูไฟล์ XBM ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาการล้นของจำนวนเต็มในการจัดการภาพ XBM ของ ImageIO การดูภาพ XBM ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0181 : Harry Sintonen

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส JPEG ของ libTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0191 : Apple

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส CCITT Group 4 ของ ibTIFF การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0192 : Apple

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ TIFF ที่เข้ารหัส JPEG ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส JPEG ของ ImageIO การดูภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2011-0194 : Dominic Chell แห่ง NGS Secure

  • ภาพ RAW

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ Canon RAW ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากอยู่ในการจัดการภาพ Canon RAW ของ Image RAW การดูภาพ Canon RAW ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0193 : Paul Harrington แห่ง NGS Secure

  • ตัวติดตั้ง

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการติดตั้งตัวแทนที่ติดต่อเซิร์ฟเวอร์โดยอำเภอใจเมื่อผู้ใช้เข้าสู่ระบบ และทำให้ผู้ใช้เข้าใจผิดคิดว่าเชื่อมต่ออยู่กับ Apple

    คำอธิบาย: มีปัญหาการดำเนินการ URL ในตัวช่วยติดตั้งที่อาจนำไปสู่การติดตั้งตัวแทนที่ติดต่อเซิร์ฟเวอร์โดยอำเภอในเมื่อผู้ใช้เข้าสู่ระบบ กล่องโต้ตอบที่เป็นผลมาจากการเชื่อมต่อล้มเหลวอาจทำให้ผู้ใช้เชื่อว่าเป็นความพยายามเชื่อมต่อกับ Apple ปัญหานี้แก้ไขได้ด้วยการลบตัวช่วยติดตั้ง

    CVE-ID

    CVE-2011-0190 : Aaron Sigel แห่ง vtty.com

  • Kerberos

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: มีช่องโหว่หลายจุดใน MIT Kerberos 5

    คำอธิบาย: มีปัญหาที่เกี่ยวกับการเข้ารหัสหลายจุใน MIT Kerberos 5 เฉพาะ CVE-2010-1323 ที่มีผลกับ Mac OS X v10.5 สามารถดูข้อมูลเพิ่มเติมเรื่องปัญหาและโปรแกรมปะแก้ที่ใช้ผ่านทางเว็บไซต์ของ MIT Kerberos ที่ http://web.mit.edu/Kerberos/

    CVE-ID

    CVE-2010-1323

    CVE-2010-1324

    CVE-2010-4020

    CVE-2010-4021

  • เคอร์เนล

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: ผู้ใช้เครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบสิทธิ์ในการจัดการประตูการโทรของการโทรของระบบ i386_set_ldt ผลกระทบ: ผู้ใช้เครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ ปัญหานี้แก้ไขได้ด้วยการยกเลิกการอนุญาตการสร้างการเข้าประตูการโทรผ่าน via i386_set_ldt()

    CVE-ID

    CVE-2011-0182 : Jeff Mears

  • Libinfo

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: ภัยคุกคามระยะไกลอาจสามารถทำให้เกิดการปฏิเสธการบริการบนโฮสต์ที่ส่งออกระบบไฟล์ NFS

    คำอธิบาย: มีปัญหาการตัดทอนค่าจำนวนเต็มในการจัดการแพ็คเก็ต NFS RPC ของ Libinfo ภัยคุกคามระยะไกลอาจสามารถทำให้บริการ NFS RPC อย่างเช่น lockd, statd, mountd และ portmap ไม่ตอบสนอง

    CVE-ID

    CVE-2011-0183 : Peter Schwenk แห่ง the University of Delaware

  • libxml

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการ XPath ของ libxml การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2010-4008 : Bui Quang Minh จาก Bkis (www.bkis.com)

  • libxml

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเรียกฟรีสองครั้งในการจัดการนิพจน์ XPath ของ libxml การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2010-4494 : Yang Dingning แห่ง NCNIPC, Graduate University of Chinese Academy of Sciences

  • Mailman

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: มีช่องโหว่หลายจุดใน Mailman 2.1.13

    คำอธิบาย: มีปัญหา Cross-site Scripting หลายจุดใน Mailman 2.1.13 ปัญหาเหล่านี้แก้ไขได้ด้วยการอัปเดต Mailman ให้เป็นเวอร์ชั่น 2.1.14 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Mailman ที่ http://mail.python.org/pipermail/mailman-announce/2010-September/000154.html

    CVE-ID

    CVE-2010-3089

  • PHP

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.3.3

    คำอธิบาย: PHP ถูกอัปเดตเป็นเวอร์ชั่น 5.3.4 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสโดยอำเภอใจ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ PHP ที่ http://www.php.net/

    CVE-ID

    CVE-2006-7243

    CVE-2010-2950

    CVE-2010-3709

    CVE-2010-3710

    CVE-2010-3870

    CVE-2010-4150

    CVE-2010-4409

  • PHP

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.2.14

    คำอธิบาย: PHP ถูกอัปเดตเป็นเวอร์ชั่น 5.2.15 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสโดยอำเภอใจ สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ PHP ที่ http://www.php.net/

    CVE-ID

    CVE-2010-3436

    CVE-2010-3709

    CVE-2010-4150

  • QuickLook

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดาวน์โหลดไฟล์ Excel ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Excel ของ QuickLook การดาวน์โหลดไฟล์ Excel ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2011-0184 : Tobias Klein ที่ทำงานร่วมกับ Verisign iDefense Labs

  • QuickLook

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดาวน์โหลดไฟล์ Microsoft Office ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหากหน่วยความจำล่มในการจัดการไฟล์ Microsoft Office ของ QuickLook การดาวน์โหลดไฟล์ Microsoft Office ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-1417 : Charlie Miller และ Dion Blazakis ที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ JPEG2000 ที่ออกมาแบบมาเพื่อประสงค์ร้ายด้วย QuickTime อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาการล่มของหน่วยความจำหลายจุดในการจัดการภาพ JPEG2000 ของ QuickTime การดูภาพ JPEG2000 ที่ออกมาแบบมาเพื่อประสงค์ร้ายด้วย QuickTime อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2011-0186 : Will Dormann แห่ง the CERT/CC

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการไฟล์ภาพยนตร์ของ QuickTime การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

    CVE-ID

    CVE-2010-4009 : Honggang Ren แห่ง Fortinet's FortiGuard Labs

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูภาพ FlashPix ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการภาพ FlashPix ของ QuickTime การดูภาพ FlashPix ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

    CVE-ID

    CVE-2010-3801 : Damian Put ที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative และ Rodrigo Rubira Branco จาก the Check Point Vulnerability Discovery Team

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยข้อมูลวิดีโอจากไซต์อื่น

    คำอธิบาย: มีปัญหา Cross-origin ในการจัดการการเปลี่ยนเส้นทางแบบ Cross-Site ของปลั๊กอิน QuickTime การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เปิดเผยข้อมูลวิดีโอจากไซต์อื่น ปัญหานี้แก้ไขได้ด้วยการป้องกันไม่ใช้ QuickTime ตามการเปลี่ยนเส้นทางแบบข้ามไซต์

    CVE-ID

    CVE-2011-0187 : Nirankush Panchbhai และ Microsoft Vulnerability Research (MSVR)

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการอะตอมพาโนรามาในไฟล์ภาพยนตร์ QTVR (ความจริงเสมือน QuickTime) ของ QuickTime การดูไฟล์ภาพยนตร์ QTVR ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ สำหรับ Mac OS X v10.5 ปัญหานี้ได้รับการแก้ไขแล้วใน QuickTime 7.6.9

    CVE-ID

    CVE-2010-3802 : นักวิจัยนิรนามที่ทำงานร่วมกับ TippingPoint's Zero Day Initiative

  • Ruby

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: การเรียกใช้สคริปต์ Ruby ที่ใช้ข้อมูลเข้าที่เชื่อถือไม่ได้เพื่อสร้างออบเจ็กต์ BigDecimal อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตัดทอนค่าจำนวนเต็มในคลาส BigDecimal ของ Ruby การเรียกใช้สคริปต์ Ruby ที่ใช้ข้อมูลเข้าที่เชื่อถือไม่ได้เพื่อสร้างออบเจ็กต์ BigDecimal อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ ปัญหานี้ส่งผลเฉพาะกับกระบวนการ Ruby แบบ 64 บิตเท่านั้น

    CVE-ID

    CVE-2011-0188 : Apple

  • Samba

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นทับกันอยู่ในการจัดการ ID ความปลอดภัยของ Windows ของ Samba หากเปิดใช้งานการแบ่งปันไฟล์ SMB ภัยคุกคามจากระยะไกลอาจทำให้เกิดการปฏิเสธการบริการหรือการใช้รหัสโดยอำเภอใจ

    CVE-ID

    CVE-2010-3069

  • เวอร์ชันย่อย

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    คำอธิบาย: เซิร์ฟเวอร์เวอร์ชั่นย่อยที่ใช้การตั้งค่าการปรับแต่ง mod_dav_svn "SVNPathAuthz short_circuit" ที่ไม่ใช่ค่าเริ่มต้น อาจทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าใช้งานคลังเก็บข้อมูลบางส่วนได้

    คำอธิบาย: เซิร์ฟเวอร์เวอร์ชั่นย่อยที่ใช้การตั้งค่าการปรับแต่ง mod_dav_svn "SVNPathAuthz short_circuit" ที่ไม่ใช่ค่าเริ่มต้น อาจทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าใช้งานคลังเก็บข้อมูลบางส่วนได้ ปัญหานี้แก้ไขได้ด้วยการอัปเดตเวอร์ชั่นย่อยให้เป็นเวอร์ชั่น 1.6.13 ปัญหานี้ไม่ได้มีผลต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2010-3315

  • Terminal

    มีให้สำหรับ: Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    คำอธิบาย: เมื่อ ssh ถูกใช้ในกล่องโต้ตอบ "การเชื่อมต่อระยะไกลใหม่" ของ Terminal, SSH เวอร์ชั่น 1 จะถูกเลือกให้เป็นเวอร์ชั่นโปรโตคอลเริ่มต้น

    คำอธิบาย: เมื่อ ssh ถูกใช้ในกล่องโต้ตอบ "การเชื่อมต่อระยะไกลใหม่" ของ Terminal, SSH เวอร์ชั่น 1 จะถูกเลือกให้เป็นเวอร์ชั่นโปรโตคอลเริ่มต้น ปัญหานี้แก้ไขด้วยการเปลี่ยนเวอร์ชั่นเริ่มต้นให้เป็น "อัตโนมัติ" แต่จะไม่ส่งผลกระทบต่อระบบก่อนหน้า Mac OS X v10.6

    CVE-ID

    CVE-2011-0189 : Matt Warren แห่ง HNW Inc.

  • X11

    มีให้สำหรับ: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 ถึง v10.6.6, Mac OS X Server v10.6 ถึง v10.6.6

    ผลกระทบ: มีช่องโหว่หลายจุดใน FreeType

    คำอธิบาย: มีช่องโหว่หลายจุดใน FreeType ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจเมื่อดำเนินการแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้แก้ไขได้ด้วยการอัปเดต FreeType ให้เป็นเวอร์ชั่น 2.4.4 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ FreeType ที่ http://www.freetype.org/

    CVE-ID

    CVE-2010-3814

    CVE-2010-3855

 

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: