เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002

OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002 สามารถดาวน์โหลดและติดตั้งได้ผ่านการตั้งค่า การอัปเดตซอฟต์แวร์ หรือจาก การดาวน์โหลดของ Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"
 

OS X Lion v10.7.4 และการอัปเดตความปลอดภัย 2012-002

  • หน้าต่างเข้าสู่ระบบ

    มีให้สำหรับ: OS X Lion v10.7.3, OS X Lion Server v10.7.3

    ผลกระทบ: ผู้ดูแลระบบระยะไกลและผู้ที่เข้าถึงระบบที่ตัวเครื่องอาจได้รับข้อมูลบัญชี

    คำอธิบาย: มีปัญหาในการจัดการการเข้าสู่ระบบบัญชีเครือข่าย กระบวนการเข้าสู่ระบบได้บันทึกข้อมูลที่ละเอียดอ่อนไว้ในระบบ ซึ่งผู้ใช้รายอื่นของระบบอาจสามารถอ่านบันทึกนั้นได้ข้อมูลที่ละเอียดอ่อนอาจยังคงอยู่ในบันทึกที่บันทึกไว้หลังจากติดตั้งการอัปเดตนี้ ปัญหานี้จะส่งผลต่อ ระบบที่รัน OS X Lion v10.7.3 กับผู้ใช้ File Vault รุ่นเก่า และ/หรือ โฟลเดอร์เริ่มต้นที่ใช้เครือข่ายเท่านั้น โปรดดู http://support.apple.com/kb/TS4272?viewlocale=th_TH สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีลบบันทึกที่ยังเหลืออยู่อย่างปลอดภัย

    CVE-ID

    CVE-2012-0652 : Terry Reeves และ Tim Winningham จาก Ohio State University, Markus 'Jaroneko' Räty จาก Finnish Academy of Fine Arts, Jaakko Pero จาก Aalto University, Mark Cohen จาก Oregon State University, Paul Nelson

  • บลูทูธ

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ผู้ใช้ภายในอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาสภาวะการแข่งขันของไฟล์ชั่วคราวในการเตรียมการเพื่อให้พร้อมใช้งานตามปกติของ Blued

    CVE-ID

    CVE-2012-0649 : Aaron Sigel จาก vtty.com

  • curl

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการคุกคามที่รู้จักจู่โจมความเชื่อมั่นของ SSL 3.0 และ TLS 1.0 เมื่อ cipher suite ใช้ block cipher ในโหมด CBC curl ปิดใช้งานมาตรการตอบโต้ 'ส่วนย่อยเปล่า' ซึ่งป้องกันภัยคุกคามเหล่านี้ ปัญหานี้ได้รับการแก้ไขได้ด้วยการเปิดใช้งานส่วนย่อยเปล่า

    CVE-ID

    CVE-2011-3389 : Apple

  • curl

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การใช้ curl หรือ libcurl กับ URL ที่ประสงค์ร้าย อาจทำให้ถูกภัยคุกคามแทรกข้อมูลเฉพาะโปรโตคอล

    คำอธิบาย: มีปัญหาการแทรกข้อมูลในการจัดการ URL ของ curl ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบ URL ที่ปรับปรุงให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2012-0036

  • บริการสารบบ

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: ภัยคุกคามจากระยะไกลอาจได้รับข้อมูลที่ละเอียดอ่อน

    คำอธิบาย: ปัญหาหลายอย่างในการจัดการข้อความจากเครือข่ายของเซิร์ฟเวอร์สารบบ ด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ภัยคุกคามจากระยะไกลอาจทำให้เซิร์ฟเวอร์สารบบเปิดเผยหน่วยความจำสำหรับพื้นที่สำหรับที่อยู่ ซึ่งอาจแสดงข้อมูลประจำตัวของบัญชีหรือข้อมูลที่ละเอียดอ่อนอื่นๆ ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion เซิร์ฟเวอร์สารบบจะถูกปิดใช้งานตามค่าเริ่มต้นในการติดตั้งแบบไม่ใช้เซิร์ฟเวอร์ของ OS X

    CVE-ID

    CVE-2012-0651 : Agustin Azubel

  • HFS

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การต่อเชื่อมภาพดิสก์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปิดการทำงานหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มน้อยเกินไปในการจัดการไฟล์แค็ตตาล็อก HFS

    CVE-ID

    CVE-2012-0642 : pod2g

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปในการจัดการไฟล์ TIFF ที่เข้ารหัส CCITT Group 4 ของ ImageIO ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Lion

    CVE-ID

    CVE-2011-0241 : Cyril CATTIAUX จาก Tessi Technologies

  • ImageIO

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: มีช่องโหว่หลายจุดใน libpng

    คำอธิบาย: libpng ได้รับการอัปเดตเป็นเวอร์ชั่น 1.5.5 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดอาจนำไปสู่การเปิดเผยข้อมูล สามารถดูข้อมูลเพิ่มเติมได้ผ่านเว็บไซต์ libpng ที่ http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปอยู่ในการจัดการภาพ TIFF ที่เข้ารหัส ThunderScan ของ libtiff ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดต libtiff ให้เป็นเวอร์ชั่น 3.9.5

    CVE-ID

    CVE-2011-1167

  • เคอร์เนล

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: เมื่อมีการใช้ FileVault ดิสก์อาจมีข้อมูลผู้ใช้ที่ไม่ได้เข้ารหัส

    คำอธิบาย: ปัญหาในการจัดการภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) ที่ใช้สำหรับการไฮเบอร์เนตจะทิ้งข้อมูลบางส่วนที่ไม่ได้เข้ารหัสไว้บนดิสก์ แม้ว่าจะเปิดใช้งาน FileVault อยู่ก็ตาม ปัญหานี้แก้ไขได้ผ่านการจัดการภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) ที่ปรับปรุงให้ดียิ่งขึ้น และด้วยการเขียนทับภาพที่เก็บไว้ในขณะพักเครื่อง (sleep image) เมื่ออัปเดตเป็น OS X v10.7.4 ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2011-3212 : Felix Groebert จากทีมรักษาความปลอดภัยของ Google

  • libarchive

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปหลายจุดในการจัดการไฟล์การเก็บถาวร tar และไฟล iso9660

    CVE-ID

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การตรวจสอบใบรับรอง X.509 ที่ออกแบบมาเพื่อประสงค์ร้าย อย่างเช่น เวลาที่ไปเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าในการจัดการใบรับรอง X.509

    CVE-ID

    CVE-2012-0654 : Dirk-Willem van Gulik จาก WebWeaving.org, Guilherme Prado จาก Conselho da Justiça Federal, Ryan Sleevi จาก Google

  • libsecurity

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การรองรับสำหรับใบรับรอง X.509 ที่มีกุญแจ RSA ที่มีความยาวที่ไม่ปลอดภัยอาจมีการปลอมแปลงเป็นผู้ใช้และเปิดเผยข้อมูลได้

    คำอธิบาย: libsecurity ยอมรับใบรับรองที่เซ็นชื่อโดยใช้กุญแจ RSA ที่มีความยาวกุญแจที่ไม่ปลอดภัย ปัญหานี้ได้แก้ไขได้ด้วยการปฏิเสธใบรับรองที่มีกุญแจ RSA ที่ยาวน้อยกว่า 1024 บิต

    CVE-ID

    CVE-2012-0655

  • libxml

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การดูหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายจุดใน libxml ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ ปัญหาเหล่านี้แก้ไขได้ด้วยการปรับใช้แพตช์อัปสตรีมที่เกี่ยวข้อง

    CVE-ID

    CVE-2011-1944 : Chris Evans จากทีมรักษาความปลอดภัยของ Google Chrome

    CVE-2011-2821 : Yang Dingning จาก NCNIPC, บัณฑิตวิทยาลัยจาก Chinese Academy of Sciences

    CVE-2011-2834 : Yang Dingning จาก NCNIPC, บัณฑิตวิทยาลัยจาก Chinese Academy of Sciences

    CVE-2011-3919 : Jüri Aedla

  • LoginUIFramework

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: หากเปิดใช้งานผู้ใช้ทั่วไป ผู้ใช้ที่สามารถเข้าใช้งานเครื่องคอมพิวเตอร์ได้อาจสามารถเข้าสู่ระบบในผู้ใช้อื่นที่ไม่ใช่ผู้ใช้ทั่วไปโดยไม่ต้องป้อนรหัสผ่าน

    คำอธิบาย: มีสภาวะการแข่งขันในการจัดการการเข้าสู่ระบบของผู้ใช้ทั่วไป ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2012-0656 : Francisco Gómez (espectalll123)

  • PHP

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: PHP ได้รับการอัปเดตเป็นเวอร์ชั่น 5.3.10 เพื่อแก้ปัญหาช่องโหว่หลายจุด ปัญหาที่ร้ายแรงที่สุดซึ่งอาจนำไปสู่การใช้รหัสตามอำเภอใจได้ ข้อมูลเพิ่มเติมมีให้ผ่านทางเว็บไซต์ PHP ที่ http://www.php.net

    CVE-ID

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ผู้ใช้ที่สามารถเข้าใช้งานเครื่องคอมพิวเตอร์อาจสามารถทำให้ Safari เปิดใช้งานได้ หากหน้าจอถูกล็อกไว้และใช้โปรแกรมรักษาหน้าจอแบบ RSS Visualizer

    คำอธิบาย: มีปัญหาการควบคุมการเข้าถึงในการจัดการโปรแกรมรักษาหน้าจอของ Quartz Composer ปัญหานี้แก้ไขได้ผ่านการตรวจดูว่าหน้าจอล็อกอยู่หรือไม่ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2012-0657 : Aaron Sigel จาก vtty.com

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้ายในระหว่างดำเนินการดาวน์โหลด อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปในการจัดการตารางตัวอย่างเสียง

    CVE-ID

    CVE-2012-0658 : Luigi Auriemma ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การดูไฟล์ MPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มมากเกินไปในการจัดการไฟล์ MPEG

    CVE-ID

    CVE-2012-0659 : นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การดูไฟล์ MPEG ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์น้อยเกินไปในการจัดการไฟล์ MPEG

    CVE-ID

    CVE-2012-0660: Justin Kim จาก Microsoft และ Microsoft Vulnerability Research

  • QuickTime

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหา use-after-free ในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส JPEG2000 ปัญหานี้ไม่มีผลกระทบกับระบบก่อนหน้า OS X Lion

    CVE-ID

    CVE-2012-0661 : Damian Put ที่ทำงานกับ Zero Day Initiative ของ TippingPoint

  • Ruby

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ช่องโหว่หลายจุดใน Ruby

    คำอธิบาย: Ruby ได้รับการอัปเดตเป็น 1.8.7-p357 เพื่อแก้ปัญหาช่องโหว่หลายจุด

    CVE-ID

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: หากเปิดใช้งานการแชร์ไฟล์ SMB ภัยคุกคามจากระยะไกลที่ไม่ได้รับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีบัฟเฟอร์มากเกินไปหลายจุดในการจัดการ Remote Procedure Call (RPC) ของ Samba ด้วยการส่งแพ็คเก็ตที่ออกแบบมาเพื่อประสงค์ร้าย ภัยคุกคามจากระยะไกลที่ไม่ได้รับรองความถูกต้องอาจทำให้เกิดการปฏิเสธการบริการหรือใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ ปัญหาเหล่านี้ไม่มีผลต่อระบบ OS X Lion

    CVE-ID

    CVE-2012-0870 : Andy Davis จาก NGS Secure

    CVE-2012-1182 : นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • โครงประกอบความปลอดภัย

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีจำนวนเต็มมากเกินไปในโครงประกอบความปลอดภัย การประมวลผลข้อมูลป้อนเข้าที่ไม่น่าเชื่อถือด้วยโครงประกอบความปลอดภัยอาจส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ไม่มีผลกระทบกับกระบวนการแบบ 32 บิต

    CVE-ID

    CVE-2012-0662 : aazubel ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Time Machine

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: ภัยคุกคามจากระยะไกลอาจเข้าถึงข้อมูลประจำตัวในข้อมูลสำรอง Time Machine ของผู้ใช้

    คำอธิบาย: ผู้ใช้อาจกำหนด Time Capsule หรือดิสก์โวลุ่ม AFP ระยะไกลที่ต่ออยู่กับสถานีฐาน AirPort เพื่อใช้สำหรับข้อมูลสำรอง Time Machine การเริ่มต้นด้วยสถานีฐาน AirPort และการอัปเดตเฟิร์มแวร์ Time Capsule เวอร์ชั่น 7.6, Time Capsules และสถานีฐานจะรองรับกลไกการรับรองความถูกต้องโดยใช้ SRP ที่ปลอดภัยผ่านทาง AFP อย่างไรก็ตาม Time Machine ไม่ได้กำหนดว่าจะต้องใช้กลไกการรับรองความถูกต้องโดยใช้ SRP สำหรับการสำรองข้อมูลในครั้งต่อมา แม้ว่า Time Machine จะถูกกำหนดค่าในครั้งแรกแล้วหรือเคยติดต่อกับ Time Capsule หรือสถานีฐานที่รองรับแล้วก็ตาม ภัยคุกคามที่สามารถปลอมแปลงดิสก์โวลุ่มระยะไกลอาจสามารถเข้าถึงข้อมูลประจำตัว Time Capsule ของผู้ใช้ที่ถูกส่งโดยระบบของผู้ใช้ แม้จะไม่ใช่ข้อมูลที่สำรองก็ตาม ปัญหานี้แก้ไขได้ด้วยการบังคับใช้กลไกการรับรองความถูกต้องโดยใช้ SRP แม้ว่าปลายทางข้อมูลสำรองนั้นจะเคยรองรับมาแล้วก็ตาม

    CVE-ID

    CVE-2012-0675 : Renaud Deraison จาก Tenable Network Security, Inc.

  • X11

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.3, OS X Lion Server v10.7 ถึง v10.7.3

    ผลกระทบ: แอปพลิเคชั่นที่ใช้ libXfont เพื่อประมวลผลข้อมูล LZW ที่บีบอัด อาจทำให้หยุดแอปพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์มากเกินไปในการจัดการข้อมูล LZW ที่บีบอัดของ libXfont ปัญหานี้แก้ไขได้ด้วยการอัปเดต libXfont ให้เป็นเวอร์ชั่น 1.4.4

    CVE-ID

    CVE-2011-2895 : Tomas Hoger จาก Red Hat
     

หมายเหตุ: นอกจากนี้ การอัปเดตนี้จะกรองสภาพแวดล้อม Dynamic Linker ที่แตกต่างจากคุณสมบัติสภาพแวดล้อมที่กำหนดเองที่อยู่ในรายการสารบบหลักของผู้ใช้ ถ้ามี

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: