เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Lion v10.7.3 และการอัปเดตความปลอดภัย 2012-001

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Lion v10.7.3 และการอัปเดตความปลอดภัย 2012-001

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Lion v10.7.3 และการอัปเดตความปลอดภัย 2012-001 ซึ่งสามารถดาวน์โหลดและติดตั้งได้ผ่านการตั้งค่า การอัปเดตซอฟต์แวร์ หรือจาก การดาวน์โหลดของ Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"
 

OS X Lion v10.7.3 และการอัปเดตความปลอดภัย 2012-001

  • สมุดรายชื่อ

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ภัยคุกคามที่อยู่ในตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูล CardDAV

    คำอธิบาย: สมุดรายชื่อที่รองรับ Secure Sockets Layer (SSL) สำหรับการเข้าถึง CardDAV ปัญหาการดาวน์เกรดทำให้สมุดรายชื่อพยายามทำการเชื่อมต่อที่ไม่ได้เข้ารหัส หากการเชื่อมต่อที่เข้ารหัสล้มเหลว ภัยคุกคามที่อยู่ในตำแหน่งที่มีสิทธิพิเศษอาจฉวยโอกาสจากการทำงานนี้เพื่อดักจับข้อมูล CardDAV ปัญหานี้แก้ไขได้ด้วยการไม่ดาวน์เกรดการเชื่อมต่อที่ไม่เข้ารหัสโดยที่ผู้ใช้ไม่ได้อนุญาต

    CVE-ID

    CVE-2011-3444 : Bernard Desruisseaux แห่ง Oracle Corporation

  • Apache

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: มีช่องโหว่หลายแห่งใน Apache

    คำอธิบาย: Apache ถูกดาวน์เกรดเป็นเวอร์ชั่น 2.2.21 เพื่อแก้ปัญหาช่องโหว่จำนวนมาก ปัญหาที่ร้ายแรงที่สุดอาจนำไปสู่การปฏิเสธการบริการ สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ Apache ที่ http://httpd.apache.org/

    CVE-ID

    CVE-2011-3348

  • Apache

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการจู่โจมที่บนความเชื่อมั่นของ SSL 3.0 และ TLS 1.0 เมื่อ cipher suite ใช้ block cipher ในโหมด CBC Apache ปิดใช้งานมาตรการตอบโต้ 'ส่วนย่อยที่ว่างเปล่า' ซึ่งป้องกันภัยคุกคามเหล่านี้อยู่ ปัญหานี้แก้ไขได้ด้วยการให้พารามิเตอร์การกำหนดค่าเพื่อควบคุมมาตรการตอบโต้และเปิดใช้งานมาตรการนี้ตามค่าเริ่มต้น

    CVE-ID

    CVE-2011-3389

  • ATS

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การเปิดแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายในสมุดแบบอักษรอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการจัดการหน่วยความจำในการจัดการไฟล์ข้อมูล-แบบอักษรของ ATS เมื่อเปิดด้วยสมุดแบบอักษร

    CVE-ID

    CVE-2011-3446 : Will Dormann แห่ง CERT/CC

  • CFNetwork

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: มีปัญหาในการจัดการ URL ที่มีรูปแบบผิดปกติของ CFNetwork เมื่อเข้าถึง URL ที่ออกแบบมาเพื่อประสงค์ร้าย CFNetwork อาจส่งคำขอไปยังเซิร์ฟเวอร์ต้นทางผิด ปัญหานี้ไม่ส่งผลต่อระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3246 : Erling Ellingsen แห่ง Facebook

  • CFNetwork

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: มีปัญหาในการจัดการ URL ที่มีรูปแบบผิดปกติของ CFNetwork เมื่อเข้าถึง URL ที่ออกแบบมาเพื่อประสงค์ร้าย CFNetwork อาจส่งส่วนหัวคำขอที่ไม่คาดคิด ปัญหานี้ไม่ส่งผลต่อระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3447 : Erling Ellingsen แห่ง Facebook

  • ColorSync

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: การดูภาพที่ออกมาแบบมาเพื่อประสงค์ร้ายซึ่งมีโปรไฟล์ ColorSync ฝังตัวอยู่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีการล้นของจำนวนเต็มในการจัดการภาพที่มีโปรไฟล์ ColorSync ฝังตัวอยู่ ซึ่งอาจทำให้บัฟเฟอร์ล้นแบบพอกพูน ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion

    CVE-ID

    CVE-2011-0200: binaryproof ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • CoreAudio

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: การเล่นเนื้อหาเสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการการสตรีมเสียงที่เข้ารหัส AAC ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion

    CVE-ID

    CVE-2011-3252 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • CoreMedia

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส H.264 ของ CoreMedia

    CVE-ID

    CVE-2011-3448 : Scott Stender แห่ง iSEC Partners

  • CoreText

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูหรือดาวน์โหลดเอกสารที่มีแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายที่ฝังอยู่อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา use-after-free ในการจัดการไฟล์แบบอักษร

    CVE-ID

    CVE-2011-3449 : Will Dormann แห่ง CERT/CC

  • CoreUI

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาการจัดสรรสแต็คที่ไม่จำกัดซึ่งมีอยู่ในการจัดการ URL ที่ยาว ปัญหานี้ไม่ส่งผลต่อระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3450 : Ben Syverson

  • curl

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: เซิร์ฟเวอร์ระยะไกลอาจสามารถปลอมตัวเป็นลูกข่ายผ่านคำขอ GSSAPI

    คำอธิบาย: เมื่อทำการรับรองความถูกต้อง GSSAPI libcurl จะทำการมอบหมายข้อมูลประจำตัวโดยไม่มีเงื่อนไข ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานการมอบหมายข้อมูลประจำตัว GSSAPI

    CVE-ID

    CVE-2011-2192

  • ความปลอดภัยของข้อมูล

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษอาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

    คำอธิบาย: หน่วยงานรับรองสองแห่งในรายการใบรับรองรากที่น่าเชื่อถือมีการออกใบรับรองระยะกลางด้วยตนเองให้กับ DigiCert Malaysia DigiCert Malaysia ได้ออกใบรับรองที่มีกุญแจที่อ่อนแอซึ่งไม่สามารถเพิกถอนได้ ภัยคุกคามที่มีตำแหน่งเครือข่ายที่มีสิทธิพิเศษสามารถดักจับข้อมูลประจำตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ ซึ่งมีเจตนาสำหรับไซต์ที่มีใบรับออกซึ่งออกให้โดย DigiCert Malaysia ปัญหานี้แก้ไขได้วยการกำหนดการตั้งค่าการเชื่อถือระบบเริ่มต้นเพื่อให้ใบรับรองของ DigiCert Malaysia ไม่น่าเชื่อถือ ขอให้เครดิตแก่ John Campbell แห่ง Yabla, Inc. สำหรับการรายงานปัญหานี้

  • dovecot

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการจู่โจมที่บนความเชื่อมั่นของ SSL 3.0 และ TLS 1.0 เมื่อ Cipher Suite ใช้ Block Cipher ในโหมด CBC Dovecot ปิดใช้งานมาตรการตอบโต้ 'ส่วนย่อยที่ว่างเปล่า' ซึ่งป้องกันภัยคุกคามเหล่านี้อยู่ ปัญหานี้แก้ไขได้ด้วยการเปิดใช้งานมาตรการตอบโต้

    CVE-ID

    CVE-2011-3389 : Apple

  • filecmds

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในเครื่องมือบรรทัดคำสั่ง 'เลิกบีบอัด'

    CVE-ID

    CVE-2011-2895

  • ImageIO

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส ThunderScan ของ libtiff ปัญหานี้แก้ไขได้ด้วยการอัปเดต libtiff ให้เป็นเวอร์ชั่น 3.9.5

    CVE-ID

    CVE-2011-1167

  • ImageIO

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: มีช่องโหว่หลายจุดใน libpng 1.5.4

    คำอธิบาย: libpng ได้รับการอัปเดตเป็นเวอร์ชั่น 1.5.5 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสตามอำเภอใจ สามารถดูข้อมูลเพิ่มเติมได้ผ่านเว็บไซต์ libpng ที่ http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-3328

  • การแชร์อินเทอร์เน็ต

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: เครือข่าย Wi-Fi ที่สร้างโดยการแชร์อินเทอร์เน็ตอาจสูญเสียการตั้งค่าความปลอดภัยหลังจากอัปเดตระบบ

    คำอธิบาย: หลังการอัปเดตเป็น OS X Lion เวอร์ชั่นก่อนหน้า 10.7.3 การกำหนดค่า Wi-Fi ที่ใช้โดยการแชร์อินเทอร์เน็ตอาจแปลงเป็นค่าเริ่มต้นจากโรงงาน ซึ่งจะปิดใช้งานรหัสผ่าน WEP ปัญหานี้จะส่งผลต่อระบบที่เปิดใช้งานการแชร์อินเทอร์เน็ตและที่แชร์การเชื่อมต่อกับ Wi-Fi เท่านั้น ปัญหานี้แก้ไขได้ด้วยการป้องกันการกำหนดค่า Wi-Fi ในระหว่างการอัปเดตระบบ

    CVE-ID

    CVE-2011-3452 : นักวิจัยนิรนาม

  • Libinfo

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: มีปัญหาการจัดการคำขอค้นหาชื่อโฮสต์ของ Libinfo Libinfo อาจส่งผลลัพธ์ที่ผิดกลับมาเป็นชื่อโฮสต์ที่ออกแบบมาเพื่อประสงค์ร้าย ปัญหานี้ไม่ส่งผลต่อระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3441 : Erling Ellingsen แห่ง Facebook

  • libresolv

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: แอปพลิเคชั่นที่ใช้คลัง libresolv ของ OS X อาจเป็นช่องโหว่ที่ทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มมากเกินไปในการแสดงบันทึกต้นทาง DNS ซึ่งอาจนำไปสู่การล่มของหน่วยความจำแบบพอกพูน

    CVE-ID

    CVE-2011-3453 : Ilja van Sprundel แห่ง IOActive

  • libsecurity

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ใบรับรอง EV บางชนิดอาจได้รับการเชื่อถือแม้ว่ารากที่ตรงกันอาจถูกทำเครื่องหมายเป็นไม่เชื่อถือก็ตาม

    คำอธิบาย: รหัสใบรับรองที่เชื่อถือใบรับรองรากเพื่อเซ็นใบรับรอง EV หากอยู่ในรายการผู้ออก EV ที่รู้จัก แม้ว่าผู้ใช้จะทำเครื่องหมายเป็น 'ห้ามเชื่อถือ' ในพวงกุญแจก็ตาม รากจะไม่ได้รับการเชื่อถือให้เซ็นใบรับรองที่ไม่ใช่ EV

    CVE-ID

    CVE-2011-3422 : Alastair Houghton

  • OpenGL

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: แอปพลิเคชั่นที่ใช้ OpenGL ของ OS X อาจเป็นช่องโหว่ที่ทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาการล่มของหน่วยความจำหลายจุดในการจัดการภาพในดิสก์การรวบรวม GLSL

    CVE-ID

    CVE-2011-3457 : Chris Evans แห่งทีมรักษาความปลอดภัยของ Google Chrome และ Marc Schoenefeld แห่ง Red Hat Security Response Team

  • PHP

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: มีช่องโหว่หลายจุดใน PHP 5.3.6

    คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.3.8 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสตามอำเภอใจได้ ข้อมูลเพิ่มเติมมีให้ผ่านทางเว็บไซต์ PHP ที่ http://www.php.net

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา Signedness ในการจัดการแบบอักษรประเภทที่ 1 ของ FreeType ปัญหานี้แก้ไขได้ด้วยการอัปเดต FreeType ให้เป็นเวอร์ชั่น 2.4.2 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ FreeType ที่ http://www.freetype.org/

    CVE-ID

    CVE-2011-3256 : Apple

  • PHP

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: มีช่องโหว่หลายจุดใน libpng 1.5.4

    คำอธิบาย: libpng ได้รับการอัปเดตเป็นเวอร์ชั่น 1.5.5 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสตามอำเภอใจ สามารถดูข้อมูลเพิ่มเติมได้ผ่านเว็บไซต์ libpng ที่ http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-3328

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การเปิดไฟล์วิดีโอ MP4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้เริ่มในการจัดการไฟล์ที่เข้ารหัส MP4

    CVE-ID

    CVE-2011-3458 : Luigi Auriemma และ pa_kt ซึ่งทั้งคู่ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา Signedness ในการจัดการตารางแบบอักษรที่ฝังอยู่ในไฟล์ภาพยนตร์ QuickTime

    CVE-ID

    CVE-2011-3248 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีการล้นของบัฟเฟอร์แบบ off-by-one ในการจัดการอะตอม rdrf ในไฟล์ภาพยนตร์ QuickTime

    CVE-ID

    CVE-2011-3459 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูภาพ JPEG2000 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการไฟล์ JPEG2000

    CVE-ID

    CVE-2011-3250 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การประมวลผลภาพ PNG ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการไฟล์ PNG

    CVE-ID

    CVE-2011-3460 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • QuickTime

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส FLC

    CVE-ID

    CVE-2011-3249 : Matt 'j00ru' Jurczyk ที่ทำงานร่วมกับ Zero Day Initiative ของ TippingPoint

  • SquirrelMail

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: มีช่องโหว่หลายจุดใน SquirrelMail

    คำอธิบาย: SquirrelMail ถูกอัปเดตให้เป็นเวอร์ชั่น 1.4.22 เพื่อแก้ปัญหาช่องโหว่จำนวนมาก ปัญหาที่ร้ายแรงที่สุดคือปัญหาการแฝงสคริปต์ (cross-site scripting) ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ SquirrelMail ที่ http://www.SquirrelMail.org/

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • เวอร์ชั่นย่อย

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การเข้าถึงตำแหน่งเวอร์ชั่นย่อย อาจทำให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: เวอร์ชั่นย่อยได้รับการอัปเดตให้เป็น 1.6.17 เวอร์ชั่นเพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดอาจทำให้มีการเปิดเผยข้อมูลที่ละเอียดอ่อน สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ Subversion ที่ http://subversion.apache.org/

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ภัยคุกคามระยะไกลอาจเข้าถึงข้อมูลสำรองใหม่ที่สร้างโดยระบบของผู้ใช้

    คำอธิบาย: ผู้ใช้อาจมอบหมายดิสก์โวลุ่ม AFP ระยะไกลหรือ Time Capsule ให้ถูกใช้สำหรับข้อมูลสำรอง Time Machine แต่ Time Machine ไม่ได้ตรวจสอบว่าเป็นอุปกรณ์เดียวกันหรือไม่ที่กำลังใช้เพื่อการดำเนินการข้อมูลสำรองต่อมา ภัยคุกคามที่สามารถปลอมเป็นดิสก์โวลุ่มระยะไกลอาจได้รับสิทธิ์เข้าถึงข้อมูลสำรองใหม่ที่สร้างโดยระบบของผู้ใช้ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบตัวระบุที่ไม่ซ้ำกันซึ่งเชื่อมโยงกับดิสก์สำหรับดำเนินการข้อมูลสำรอง

    CVE-ID

    CVE-2011-3462 : Michael Roitzsch แห่ง Technische Universität Dresden

  • Tomcat

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: ช่องโหว่หลายจุดใน Tomcat 6.0.32

    คำอธิบาย: Tomcat ได้รับการอัปเดตเป็นเวอร์ชั่น 6.0.33 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดอาจนำไปสู่การเปิดเผยข้อมูลที่ละเอียดอ่อน Tomcat จะมีให้พร้อมกับระบบ Mac OS X Server เท่านั้น ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Tomcat ที่ http://tomcat.apache.org/

    CVE-ID

    CVE-2011-2204

  • WebDAV Sharing

    มีให้สำหรับ: OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: ผู้ใช้ภายในอาจได้รับสิทธิพิเศษในระบบ

    คำอธิบาย: มีปัญหาในการจัดการการรับรองความถูกต้องผู้ใช้ของการแชร์ WebDAV ผู้ใช้ที่มีบัญชีที่ถูกต้องบนเซิร์ฟเวอร์หรือหนึ่งในไดเร็กทอรี่ที่ผูกกันอาจทำให้มีการนำรหัสไปใช้โดยอำเภอใจด้วยสิทธิพิเศษในระบบ ปัญหานี้ไม่ส่งผลต่อระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3463 : Gordon Davisson แห่ง Crywolf

  • Webmail

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูข้อความอีเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยเนื้อหาข้อความ

    คำอธิบาย: มีปัญหาช่องโหว่แบบแฝงสคริปต์ (cross-site scripting) ในการจัดการข้อความเมล ปัญหานี้แก้ไขได้ด้วยการอัปเดต Roundcube Webmail ให้เป็นเวอร์ชั่น 0.6 ปัญหานี้ไม่ได้มีผลต่อระบบก่อนหน้า OS X Lion สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ Roundcube ที่ http://trac.roundcube.net/

    CVE-ID

    CVE-2011-2937

  • X11

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 ถึง v10.7.2, OS X Lion Server v10.7 ถึง v10.7.2

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำล่มในการจัดการแบบอักษรประเภทที่ 1 ของ FreeType ปัญหานี้แก้ไขได้ด้วยการอัปเดต FreeType ให้เป็นเวอร์ชั่น 2.4.7 สามารถดูข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ของ FreeType ที่ http://www.freetype.org/

    CVE-ID

    CVE-2011-3256 : Apple

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: