OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002'nin güvenlik içeriği hakkında

Bu belgede OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002'nin güvenlik içeriği açıklanır.

OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002, Yazılım Güncelleme tercihleri kullanılarak veya Apple İndirmeleri'nden indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

OS X Lion 10.7.4 ve Güvenlik Güncellemesi 2012-002

  • Oturum Açma Penceresi

    İlgili işletim sistemleri: OS X Lion 10.7.3, OS X Lion Server 10.7.3

    Etki: Sisteme fiziksel erişimi olan uzak yöneticiler ve kişiler hesap bilgilerini edinebilir

    Açıklama: Ağ hesaplarının oturum açma işlemlerinin işlenmesinde bir sorun vardı. Oturum açma işlemi hassas bilgileri diğer sistem kullanıcıları tarafından kullanılan sistem günlüğüne kaydediyordu. Bu hassas bilgiler bu güncellemenin yüklenmesinden sonra kaydedilen günlüklerde kalabilir. Bu sorun sadece OS X Lion 10.7.3 kullanan sistemlerde Eski File Vault ve/veya ağa bağlı ana dizinlere sahip kullanıcıları etkiler.

    CVE kimliği

    CVE-2012-0652: Ohio State University'den Terry Reeves ve Tim Winningham, Finnish Academy of Fine Arts'tan Markus 'Jaroneko' Räty, Aalto University'den Jaakko Pero, Oregon State University'den Mark Cohen, Paul Nelson

  • Bluetooth

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Blued'ın başlatma rutininde geçici dosya yarış koşulu sorunu vardı.

    CVE kimliği

    CVE-2012-0649: vtty.com'dan Aaron Sigel

  • curl

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: Bir şifre paketi CBC modunda blok şifre kullandığında SSL 3.0'ın ve TLS 1.0'ın gizliliğini hedef alan bazı saldırılar olduğu biliniyordu. curl, bu saldırıları önleyen 'boş parça' karşı önlemini etkisizleştirdi. Bu sorun, boş parçalar etkinleştirilerek giderilmiştir.

    CVE kimliği

    CVE-2011-3389: Apple

  • curl

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: curl veya libcurl'ü kötü amaçlarla oluşturulmuş bir URL ile kullanmak, protokole özgü veri ekleme saldırılarına yol açabilir

    Açıklama: curl'ün URL'leri işlemesinde veri ekleme sorunu vardı. Bu sorun, URL doğrulamasının iyileştirilmesiyle giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2012-0036

  • Dizin Servisi

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Uzak erişimli bir saldırgan hassas bilgilere ulaşabilir

    Açıklama: Dizin sunucusunun ağdan alınan mesajları işlemesinde birden fazla sorun vardı. Kötü amaçlarla oluşturulmuş bir mesaj gönderen uzak saldırgan, dizin sunucusunun adres alanında bellek bilgilerinin paylaşılmasına ve hesap kimlik bilgiler veya diğer hassas bilgilerin ortaya çıkmasına neden olabilir. OS X Lion sistemleri bu sorundan etkilenmez. Dizin Sunucusu, OS X'in sunucusuz yüklemelerinde saptanmış olarak etkisizleştirildi.

    CVE kimliği

    CVE-2012-0651: Agustin Azubel

  • HFS

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir disk görüntüsü bağlamak sistemin kapanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: HFS katalog dosyalarının işlenmesinde tam sayı alt aşması sorunu vardı.

    CVE kimliği

    CVE-2012-0642: pod2g

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun CCITT Grup 4 kodlu TIFF dosyalarını işlemesinde bir arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0241: Tessi Technologies'den Cyril CATTIAUX

  • ImageIO

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: libpng'de birden çok güvenlik açığı

    Açıklama: libpng, aralarında en ciddi olanı bilgilerin yayınlanmasına yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 1.5.5 sürümüne güncellendi. Daha fazla bilgi için http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesine bakın

    CVE kimliği

    CVE-2011-2692

    CVE-2011-3328

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Libtiff'in ThunderScan kodlu TIFF görüntülerini işlemesinde bir arabellek taşması sorunu vardı. Bu sorun, libtiff'in 3.9.5 sürümüne yükseltilmesiyle giderildi.

    CVE kimliği

    CVE-2011-1167

  • Çekirdek

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: FileVault kullanıldığında, diskte şifrelenmemiş kullanıcı verileri bulunabilir

    Açıklama: Çekirdeğin hazırda bekleme için kullanılan uyku görüntüsünü işlemesindeki sorun, FileVault'un etkin olduğu durumlarda bile diskte şifrelenmemiş veri bırakmasına neden olur. Bu sorun uyku görüntüsünün iyileştirilmesi ve OS X 10.7.4 yükseltmesinde mevcut uyku görüntüsünün geçersiz kılınmasıyla giderilmiştir. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3212: Google Güvenlik Ekibi'nden Felix Groebert

  • libarchive

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir arşivi çıkartmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Tar arşivleri ve iso9660 dosyalarının işlenmesinde birden çok arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-1777

    CVE-2011-1778

  • libsecurity

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret ederken kötü amaçlarla oluşturulmuş X.509 sertifikasını doğrulamak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: X.509 sertifikalarının işlenmesinde sıfırlanmış bellek erişimi sorunu vardı.

    CVE kimliği

    CVE-2012-0654: WebWeaving.org'dan Dirk-Willem van Gulik, Conselho da Justiça Federal'den Guilherme Prado, Google'dan Ryan Sleevi

  • libsecurity

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Güvenilir olmayan uzunlukta RSA anahtarlarına sahip X.509 sertifikalarına yönelik destek, kullanıcıları yanıltabilir ve kullanıcı bilgilerinin yayınlanmasına neden olabilir

    Açıklama: Güvenilir olmayan anahtar uzunluklarına sahip RSA anahtarlarını kullanan imzalı sertifikalar libsecurity tarafından kabul edilir. Bu sorun, 1024 bit'ten daha az uzunluğa sahip RSA anahtarlarını içeren sertifikalar reddedilerek giderildi.

    CVE kimliği

    CVE-2012-0655

  • libxml

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir web sayfasını görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Libxml'de, aralarında en ciddisi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilen birden çok güvenlik açığı vardı. Bu sorunlar, ilgili sunucuya giden yamaların uygulanmasıyla giderildi.

    CVE kimliği

    CVE-2011-1944: Chris Evans of Google Chrome Security Team

    CVE-2011-2821: NCNIPC'den Yang Dingning, Graduate University of Chinese Academy of Sciences

    CVE-2011-2834: NCNIPC'den Yang Dingning, Graduate University of Chinese Academy of Sciences

    CVE-2011-3919: Jüri Aedla

  • LoginUIFramework

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Konuk kullanıcı etkinleştirildiğinde, bilgisayara fiziksel erişimi bulunan kullanıcı, Konuk kullanıcı dışındaki kullanıcı hesaplarında parola girmeden oturum açabilir

    Açıklama: Konuk kullanıcıların oturum açma verilerinin işlenmesinde yarış koşulu sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2012-0656: Francisco Gómez (espectalll123)

  • PHP

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: PHP'de birden çok güvenlik açığı

    Açıklama: PHP, aralarında rastgele kod yürütülmesine neden olabilecek birçok güvenlik açığını gidermek için sürüm 5.3.10'a güncellendi. Daha fazla bilgi http://www.php.net adresindeki PHP web sitesinde bulunabilir

    CVE kimliği

    CVE-2011-4566

    CVE-2011-4885

    CVE-2012-0830

  • Quartz Composer

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Bilgisayara fiziksel erişim sağlayabilen bir kullanıcı ekran kilitliyken ve RSS Visualizer ekran koruyucu kullanılırken Safari'nin başlatılmasına neden olabilir

    Açıklama: Quartz Composer'ın ekran koruyucuları işlemesinde bir erişim kontrolü sorunu vardı. Bu sorun, ekranın kilitlenip kilitlenmediği daha ileri düzey bir şekilde kontrol edilerek giderildi.

    CVE kimliği

    CVE-2012-0657: vtty.com'dan Aaron Sigel

  • QuickTime

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Aşamalı indirme sırasında kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Ses örneği tablolarının işlenmesinde arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2012-0658: HP Zero Day Initiative ile çalışan Luigi Auriemma

  • QuickTime

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir MPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: MPEG dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı.

    CVE kimliği

    CVE-2012-0659: HP Zero Day Initiative ile çalışan anonim bir araştırmacı

  • QuickTime

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir MPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: MPEG dosyalarının işlenmesinde yetersiz arabellek sorunu vardı.

    CVE kimliği

    CVE-2012-0660: Microsoft'tan ve Microsoft Vulnerability Research'ten Justin Kim

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: JPEG2000 kodlu film dosyalarının işlenmesinde boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2012-0661: HP Zero Day Initiative ile çalışan Damian Put

  • Ruby

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Ruby'de birden çok güvenlik açığı

    Açıklama: Birden çok güvenlik açığının giderilmesi için Ruby, 1.8.7-p357'ye güncellenmiştir.

    CVE kimliği

    CVE-2011-1004

    CVE-2011-1005

    CVE-2011-4815

  • Samba

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: SMB dosya paylaşımı etkinleştirildiğinde, kimlik doğrulama uygulanmayan uzak erişimli bir saldırgan sistem öncelikleriyle servis reddine ya da rastgele kod yürütülmesine neden olabilir

    Açıklama: Samba'nın uzak prosedür çağrılarını işlemesinde birden çok arabellek taşması sorunu vardı. Kimlik doğrulama uygulanmayan uzak erişimli saldırgan kötü amaçlarla oluşturulmuş bir paket göndererek sistem öncelikleriyle servisin reddedilmesine veya rastgele kod yürütülmesine neden olabilir. OS X Lion sistemleri bu sorunlardan etkilenmez.

    CVE kimliği

    CVE-2012-0870: NGS Secure'den Andy Davis

    CVE-2012-1182: HP Zero Day Initiative ile çalışan anonim bir araştırmacı

  • Güvenlik Çerçevesi

    İlgili işletim sistemleri: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütmesine neden olabilir

    Açıklama: Güvenlik çerçevesinde tam sayı taşması sorunu vardı. Güvenilir olmayan girişin Güvenlik çerçevesiyle işlenmesi bellek bozulmasına neden olabilir. Bu sorun 32 bit işlemleri etkilemez.

    CVE kimliği

    CVE-2012-0662: HP Zero Day Initiative ile çalışan aazubel

  • Time Machine

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: Uzak erişimli bir saldırgan kullanıcının Time Machine yedekleme kimlik bilgilerine erişebilir

    Açıklama: Kullanıcı, AirPort Baz İstasyonu'na bağlı bir Time Capsule veya uzak AFP birimini Time Machine yedeklemeleri için kullanabilir. AirPort Baz İstasyonu ve Time Capsule Firmware Güncellemesi 7.6 ile başlayarak, Time Capsule'ler ve Baz İstasyonları AFP üzerinde SRP tabanlı kimlik doğrulama mekanizmasını destekler. Bununla birlikte, Time Machine ardışık yedekleme operasyonları için SRP tabanlı kimlik doğrulama mekanizmasına gerek duymaz. Bu durum, Time Machine'in başlangıçta yapılandırıldığı veya kendisini destekleyen Time Capsule veya Baz İstasyonu ile daha önce iletişim kurduğu süreçler için de geçerlidir. Uzak birimi yanıltma olanağına sahip olan saldırgan, sistem tarafından gönderilen Time Capsule kimlik bilgilerine erişim sağlayabilir ancak yedekleme verilerine ulaşamaz. Bu sorun, yedekleme hedef noktasının desteklendiği durumlarda bile SRP tabanlı kimlik doğrulama mekanizması zorunlu hale getirilerek giderildi.

    CVE kimliği

    CVE-2012-0675: Tenable Network Security, Inc.'ten Renaud Deraison

  • X11

    İlgili işletim sistemleri: OS X Lion 10.7 - 10.7.3, OS X Lion Server 10.7 - 10.7.3

    Etki: LZW ile sıkıştırılmış verileri işlemek için libXfont kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açıklama: libXfont'un LZW ile sıkıştırılmış verileri işlemesinde arabellek taşması sorunu vardı. Bu sorun, libXfont'un 1.4.4 sürümüne yükseltilmesiyle giderildi.

    CVE kimliği

    CVE-2011-2895: Red Hat'ten Tomas Hoger

Not: Ayrıca bu güncelleme, varsa kullanıcının ana dizininde özelleştirilmiş ortam özellik listesinden gelen dinamik bağlantı ortamı değişkenlerini filtreler.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: