OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002'nin güvenlik içeriği hakkında
Bu belgede OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002'nin güvenlik içeriği açıklanır.
OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002, Yazılım Güncelleme tercihleri kullanılarak veya Apple İndirmeleri'nden indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002
Oturum Açma Penceresi
İlgili işletim sistemleri: OS X Lion 10.7.3, OS X Lion Server 10.7.3
Etki: Sisteme fiziksel erişimi olan uzak yöneticiler ve kişiler hesap bilgilerini edinebilir
Açıklama: Ağ hesaplarının oturum açma işlemlerinin işlenmesinde bir sorun vardı. Oturum açma işlemi hassas bilgileri diğer sistem kullanıcıları tarafından kullanılan sistem günlüğüne kaydediyordu. Bu hassas bilgiler bu güncellemenin yüklenmesinden sonra kaydedilen günlüklerde kalabilir. Bu sorun sadece OS X Lion 10.7.3 kullanan sistemlerde Eski File Vault ve/veya ağa bağlı ana dizinlere sahip kullanıcıları etkiler.
CVE kimliği
CVE-2012-0652: Ohio State University'den Terry Reeves ve Tim Winningham, Finnish Academy of Fine Arts'tan Markus 'Jaroneko' Räty, Aalto University'den Jaakko Pero, Oregon State University'den Mark Cohen, Paul Nelson
Bluetooth
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Blued'ın başlatma rutininde geçici dosya yarış koşulu sorunu vardı.
CVE kimliği
CVE-2012-0649: vtty.com'dan Aaron Sigel
curl
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir
Açıklama: Bir şifre paketi CBC modunda blok şifre kullandığında SSL 3.0'ın ve TLS 1.0'ın gizliliğini hedef alan bazı saldırılar olduğu biliniyordu. curl, bu saldırıları önleyen 'boş parça' karşı önlemini etkisizleştirdi. Bu sorun, boş parçalar etkinleştirilerek giderilmiştir.
CVE kimliği
CVE-2011-3389: Apple
curl
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: curl veya libcurl'ü kötü amaçlarla oluşturulmuş bir URL ile kullanmak, protokole özgü veri ekleme saldırılarına yol açabilir
Açıklama: curl'ün URL'leri işlemesinde veri ekleme sorunu vardı. Bu sorun, URL doğrulamasının iyileştirilmesiyle giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.
CVE kimliği
CVE-2012-0036
Dizin Servisi
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: Uzak erişimli bir saldırgan hassas bilgilere ulaşabilir
Açıklama: Dizin sunucusunun ağdan alınan mesajları işlemesinde birden fazla sorun vardı. Kötü amaçlarla oluşturulmuş bir mesaj gönderen uzak saldırgan, dizin sunucusunun adres alanında bellek bilgilerinin paylaşılmasına ve hesap kimlik bilgiler veya diğer hassas bilgilerin ortaya çıkmasına neden olabilir. OS X Lion sistemleri bu sorundan etkilenmez. Dizin Sunucusu, OS X'in sunucusuz yüklemelerinde saptanmış olarak etkisizleştirildi.
CVE kimliği
CVE-2012-0651: Agustin Azubel
HFS
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir disk görüntüsü bağlamak sistemin kapanmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: HFS katalog dosyalarının işlenmesinde tam sayı alt aşması sorunu vardı.
CVE kimliği
CVE-2012-0642: pod2g
ImageIO
Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun CCITT Grup 4 kodlu TIFF dosyalarını işlemesinde bir arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2011-0241: Tessi Technologies'den Cyril CATTIAUX
ImageIO
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: libpng'de birden çok güvenlik açığı
Açıklama: libpng, aralarında en ciddi olanı bilgilerin yayınlanmasına yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 1.5.5 sürümüne güncellendi. Daha fazla bilgi için http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesine bakın
CVE kimliği
CVE-2011-2692
CVE-2011-3328
ImageIO
Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Libtiff'in ThunderScan kodlu TIFF görüntülerini işlemesinde bir arabellek taşması sorunu vardı. Bu sorun, libtiff'in 3.9.5 sürümüne yükseltilmesiyle giderildi.
CVE kimliği
CVE-2011-1167
Çekirdek
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: FileVault kullanıldığında, diskte şifrelenmemiş kullanıcı verileri bulunabilir
Açıklama: Çekirdeğin hazırda bekleme için kullanılan uyku görüntüsünü işlemesindeki sorun, FileVault'un etkin olduğu durumlarda bile diskte şifrelenmemiş veri bırakmasına neden olur. Bu sorun uyku görüntüsünün iyileştirilmesi ve OS X 10.7.4 yükseltmesinde mevcut uyku görüntüsünün geçersiz kılınmasıyla giderilmiştir. Bu sorun OS X Lion öncesi sistemleri etkilemez.
CVE kimliği
CVE-2011-3212: Google Güvenlik Ekibi'nden Felix Groebert
libarchive
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir arşivi çıkartmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Tar arşivleri ve iso9660 dosyalarının işlenmesinde birden çok arabellek taşması sorunu vardı.
CVE kimliği
CVE-2011-1777
CVE-2011-1778
libsecurity
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret ederken kötü amaçlarla oluşturulmuş X.509 sertifikasını doğrulamak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: X.509 sertifikalarının işlenmesinde sıfırlanmış bellek erişimi sorunu vardı.
CVE kimliği
CVE-2012-0654: WebWeaving.org'dan Dirk-Willem van Gulik, Conselho da Justiça Federal'den Guilherme Prado, Google'dan Ryan Sleevi
libsecurity
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Güvenilir olmayan uzunlukta RSA anahtarlarına sahip X.509 sertifikalarına yönelik destek, kullanıcıları yanıltabilir ve kullanıcı bilgilerinin yayınlanmasına neden olabilir
Açıklama: Güvenilir olmayan anahtar uzunluklarına sahip RSA anahtarlarını kullanan imzalı sertifikalar libsecurity tarafından kabul edilir. Bu sorun, 1024 bit'ten daha az uzunluğa sahip RSA anahtarlarını içeren sertifikalar reddedilerek giderildi.
CVE kimliği
CVE-2012-0655
libxml
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Libxml'de, aralarında en ciddisi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilen birden çok güvenlik açığı vardı. Bu sorunlar, ilgili sunucuya giden yamaların uygulanmasıyla giderildi.
CVE kimliği
CVE-2011-1944: Chris Evans of Google Chrome Security Team
CVE-2011-2821: NCNIPC'den Yang Dingning, Graduate University of Chinese Academy of Sciences
CVE-2011-2834: NCNIPC'den Yang Dingning, Graduate University of Chinese Academy of Sciences
CVE-2011-3919: Jüri Aedla
LoginUIFramework
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Konuk kullanıcı etkinleştirildiğinde, bilgisayara fiziksel erişimi bulunan kullanıcı, Konuk kullanıcı dışındaki kullanıcı hesaplarında parola girmeden oturum açabilir
Açıklama: Konuk kullanıcıların oturum açma verilerinin işlenmesinde yarış koşulu sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.
CVE kimliği
CVE-2012-0656: Francisco Gómez (espectalll123)
PHP
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: PHP'de birden çok güvenlik açığı
Açıklama: PHP, aralarında rastgele kod yürütülmesine neden olabilecek birçok güvenlik açığını gidermek için sürüm 5.3.10'a güncellendi. Daha fazla bilgi http://www.php.net adresindeki PHP web sitesinde bulunabilir
CVE kimliği
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
Quartz Composer
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Bilgisayara fiziksel erişim sağlayabilen bir kullanıcı ekran kilitliyken ve RSS Visualizer ekran koruyucu kullanılırken Safari'nin başlatılmasına neden olabilir
Açıklama: Quartz Composer'ın ekran koruyucuları işlemesinde bir erişim kontrolü sorunu vardı. Bu sorun, ekranın kilitlenip kilitlenmediği daha ileri düzey bir şekilde kontrol edilerek giderildi.
CVE kimliği
CVE-2012-0657: vtty.com'dan Aaron Sigel
QuickTime
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Aşamalı indirme sırasında kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Ses örneği tablolarının işlenmesinde arabellek taşması sorunu vardı.
CVE kimliği
CVE-2012-0658: HP Zero Day Initiative ile çalışan Luigi Auriemma
QuickTime
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir MPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: MPEG dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı.
CVE kimliği
CVE-2012-0659: HP Zero Day Initiative ile çalışan anonim bir araştırmacı
QuickTime
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir MPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: MPEG dosyalarının işlenmesinde yetersiz arabellek sorunu vardı.
CVE kimliği
CVE-2012-0660: Microsoft'tan ve Microsoft Vulnerability Research'ten Justin Kim
QuickTime
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: JPEG2000 kodlu film dosyalarının işlenmesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.
CVE kimliği
CVE-2012-0661: HP Zero Day Initiative ile çalışan Damian Put
Ruby
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Ruby'de birden çok güvenlik açığı
Açıklama: Birden çok güvenlik açığının giderilmesi için Ruby, 1.8.7-p357'ye güncellenmiştir.
CVE kimliği
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
Samba
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: SMB dosya paylaşımı etkinleştirildiğinde, kimlik doğrulama uygulanmayan uzak erişimli bir saldırgan sistem öncelikleriyle servis reddine ya da rastgele kod yürütülmesine neden olabilir
Açıklama: Samba'nın uzak prosedür çağrılarını işlemesinde birden çok arabellek taşması sorunu vardı. Kimlik doğrulama uygulanmayan uzak erişimli saldırgan kötü amaçlarla oluşturulmuş bir paket göndererek sistem öncelikleriyle servisin reddedilmesine veya rastgele kod yürütülmesine neden olabilir. OS X Lion sistemleri bu sorunlardan etkilenmez.
CVE kimliği
CVE-2012-0870: NGS Secure'den Andy Davis
CVE-2012-1182: HP Zero Day Initiative ile çalışan anonim bir araştırmacı
Güvenlik Çerçevesi
İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütmesine neden olabilir
Açıklama: Güvenlik çerçevesinde tam sayı taşması sorunu vardı. Güvenilir olmayan girişin Güvenlik çerçevesiyle işlenmesi bellek bozulmasına neden olabilir. Bu sorun 32 bit işlemleri etkilemez.
CVE kimliği
CVE-2012-0662: HP Zero Day Initiative ile çalışan aazubel
Time Machine
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: Uzak erişimli bir saldırgan kullanıcının Time Machine yedekleme kimlik bilgilerine erişebilir
Açıklama: Kullanıcı, AirPort Baz İstasyonu'na bağlı bir Time Capsule veya uzak AFP birimini Time Machine yedeklemeleri için kullanabilir. AirPort Baz İstasyonu ve Time Capsule Firmware Güncellemesi 7.6 ile başlayarak, Time Capsule'ler ve Baz İstasyonları AFP üzerinde SRP tabanlı kimlik doğrulama mekanizmasını destekler. Bununla birlikte, Time Machine ardışık yedekleme operasyonları için SRP tabanlı kimlik doğrulama mekanizmasına gerek duymaz. Bu durum, Time Machine'in başlangıçta yapılandırıldığı veya kendisini destekleyen Time Capsule veya Baz İstasyonu ile daha önce iletişim kurduğu süreçler için de geçerlidir. Uzak birimi yanıltma olanağına sahip olan saldırgan, sistem tarafından gönderilen Time Capsule kimlik bilgilerine erişim sağlayabilir ancak yedekleme verilerine ulaşamaz. Bu sorun, yedekleme hedef noktasının desteklendiği durumlarda bile SRP tabanlı kimlik doğrulama mekanizması zorunlu hale getirilerek giderildi.
CVE kimliği
CVE-2012-0675: Tenable Network Security, Inc.'ten Renaud Deraison
X11
İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3
Etki: LZW ile sıkıştırılmış verileri işlemek için libXfont kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir
Açıklama: libXfont'un LZW ile sıkıştırılmış verileri işlemesinde arabellek taşması sorunu vardı. Bu sorun, libXfont'un 1.4.4 sürümüne yükseltilmesiyle giderildi.
CVE kimliği
CVE-2011-2895: Red Hat'ten Tomas Hoger
Not: Ayrıca bu güncelleme, varsa kullanıcının ana dizininde özelleştirilmiş ortam özellik listesinden gelen dinamik bağlantı ortamı değişkenlerini filtreler.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.