Bu güncelleme Yazılım Güncelleme tercihleri kullanılarak veya Apple İndirmeleri'nden indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Mac OS X v10.6.8 ve Güvenlik Güncellemesi 2011-004
AirPort
İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan sistemin sıfırlanmasına neden olabilir
Açıklama: Wi-Fi çerçevelerinin işlenmesinde sınırların dışında bellek okuma sorunu vardı. Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan sistemin sıfırlanmasına neden olabilir. Bu sorun Mac OS X 10.6 sürümünü etkilemez
CVE kimliği
CVE-2011-0196
App Store
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kullanıcının Apple Kimliği parolası yerel bir dosyaya kaydedilebilir
Açıklama: App Store, belli durumlarda kullanıcının Apple Kimliği parolasını sistemde diğer kullanıcılar tarafından okunamayan bir dosyaya kaydedebilir. Bu sorun kimlik bilgilerinin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2011-0197: Paul Nelson
ATS
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir
Açıklama: TrueType fontların işlenmesinde yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0198: Harry Sintonen ve Red Hat Security Response Team'den Marc Schoenefeld
Sertifika Güven Politikası
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir
Açıklama: Sertifika Güven Politikası'nda bir hata giderme sorunu vardı. Uzatılmış Geçerlilik (EV) sertifikasında OCSP URL'si yoksa ve CRL denetimi etkinse, CRL denetlenmez ve iptal edilen bir sertifika geçerli kabul edilebilir. Bu sorun EV sertifikalarının çoğunda bir OCSP URL'si belirtilerek aşıldı.
CVE kimliği
CVE-2011-0199: Chris Hawk ve Wan-Teh Chang, Google
ColorSync
İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: Kötü amaçlarla oluşturulmuş bir resmi gömülü ColorSync profiliyle görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Gömülü ColorSync profili olan resimlerin işlenmesinde yığın arabelleğin taşmasına neden olabilecek bir tamsayı taşması vardı. Kötü amaçlarla oluşturulmuş bir resmi gömülü ColorSync profiliyle açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0200: TippingPoint Zero Day Initiative ile çalışan binaryproof
CoreFoundation
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: CoreFoundation çerçevesini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir
Açıklama: CFString'lerin işlenmesinde bir yığın arabellek taşması sorunu vardı. CoreFoundation çerçevesini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir.
CVE kimliği
CVE-2011-0201: Harry Sintonen
CoreGraphics
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: Type 1 fontların işlenmesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0202: Cristian Draghici, Modulo Consulting; Felix Grobert, Google Security Team
FTP Server
Şunlarda kullanılabilir: Mac OS X Server 10.6 - 10.6.7
Etki: FTP erişimi olan bir kişi sistemdeki dosyaları listeleyebilir
Açıklama: xftpd'de yol doğrulama sorunu vardı. FTP erişimi olan bir kişi kökten başlayarak, FTP için paylaşılmayan dizinler de dahil yinelemeli bir dizin listesi oluşturabilir. Bu liste zaman içinde FTP kullanıcısının erişebildiği her dosyayı içerecektir. Dosyaların içerikleri kullanıma açılmaz. Bu sorun yol doğrulaması iyileştirilerek giderildi. Bu sorun yalnızca Mac OS X Server sistemlerini etkiler.
CVE kimliği
CVE-2011-0203: team karlkani
ImageIO
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun TIFF resimlerini işlemesinde bir yığın arabellek taşması vardı. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0204: Dominic Chell, NGS Secure
ImageIO
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: ImageIO'nun JPEG2000 resimlerini işlemesinde bir yığın arabellek taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0205: Harry Sintonen
Uluslararası Unicode Bileşenleri
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir
Açıklama: Büyük harf kullanılan dizelerin işlenmesinde yığın arabellek taşması sorunu vardı. ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir.
CVE kimliği
CVE-2011-0206: David Bienvenu, Mozilla
Çekirdek
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Yerel kullanıcı sistemin sıfırlanmasına neden olabilir
Açıklama: IPV6 yuvası seçeneklerinin işlenmesinde null dereferans sorunu vardı. Yerel kullanıcı sistemin sıfırlanmasına neden olabilir.
CVE kimliği
CVE-2011-1132: Thomas Clement, Intego
Libsystem
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: glob(3) API'sini kullanan uygulamalar servis reddine karşı savunmasız olabilir
Açıklama: glob(3) API'sini kullanan uygulamalar servis reddine karşı savunmasız olabilir. Glob modeli güvenilmeyen bir girişten geliyorsa uygulama takılabilir veya aşırı CPU kaynağı kullanabilir. Bu sorun glob modellerinin doğrulanması iyileştirilerek giderildi.
CVE kimliği
CVE-2010-2632: Maksymilian Arciemowicz
libxslt
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek yığın adreslerinin açığa çıkmasına neden olabilir
Açıklama: libxslt'deki generate-id() XPath işlevinin uygulanması yığın arabellek adresinin açığa çıkmasına neden oldu. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığın adreslerinin açığa çıkmasına neden olabilir. Bu sorun iki yığın arabelleğin adresleri arasındaki farka dayanan bir kimlik oluşturularak giderildi.
CVE kimliği
CVE-2011-0195: Chris Evans, Google Chrome Security Team
MobileMe
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Ağda ayrıcalıklı bir konumu olan saldırgan kullanıcının MobileMe e-posta takma adlarını okuyabilir
Açıklama: Kullanıcının e-posta takma adlarını belirlemek için MobileMe ile iletişim kurulurken Mail uygulaması, istekleri HTTP üzerinden gönderir. Sonuç olarak, ağda ayrıcalıklı bir konumu olan saldırgan kullanıcının MobileMe e-posta takma adlarını okuyabilir. Bu sorun kullanıcının e-posta takma adlarına erişmek için SSL kullanılarak giderildi.
CVE kimliği
CVE-2011-0207: Aaron Sigel, vtty.com
MySQL
Şunlarda kullanılabilir: Mac OS X Server 10.5.8, Mac OS X Server 10.6 - 10.6.7
Etki: MySQL 5.0.91 sürümünde birden çok güvenlik açığı
Açıklama: MySQL, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 5.0.92 sürümüne güncellendi. MySQL yalnızca Mac OS X Server sistemleriyle sağlanır.
CVE kimliği
CVE-2010-3677
CVE-2010-3682
CVE-2010-3833
CVE-2010-3834
CVE-2010-3835
CVE-2010-3836
CVE-2010-3837
CVE-2010-3838
OpenSSL
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL'de birden çok güvenlik açığı vardı, bunların en ciddi olanı rastgele kod yürütülmesine neden olabilir. Bu sorunlar OpenSSL 0.9.8r sürümüne güncellenerek giderildi.
CVE kimliği
CVE-2009-3245
CVE-2010-0740
CVE-2010-3864
CVE-2010-4180
CVE-2011-0014
yama
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir yama dosyasında yamayı çalıştırmak rastgele dosyalar oluşturulmasına veya dosyaların üzerine yazılmasına neden olabilir
Açıklama: GNU yamasında dizin geçişi sorunu vardı. Kötü amaçlarla oluşturulmuş bir yama dosyasında yamayı çalıştırmak rastgele dosyalar oluşturulmasına veya dosyaların üzerine yazılmasına neden olabilir. Bu sorun yama dosyalarının doğrulanması iyileştirilerek giderildi.
CVE kimliği
CVE-2010-4651
QuickLook
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickLook'ta Microsoft Office dosyalarının işlenmesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Mac OS X 10.6 öncesi sistemler bu sorundan etkilenmez.
CVE kimliği
CVE-2011-0208: iDefense VCP ile çalışan Tobias Klein
QuickTime
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir WAV dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime'ın RIFF WAV dosyalarını işlemesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir WAV dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0209: TippingPoint'teki Zero Day Initiative ile çalışan Luigi Auriemma
QuickTime
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime film dosyalarında QuickTime'ın örnek tabloları işlemesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0210: Honggang Ren, Fortinet FortiGuard Labs
QuickTime
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime'ın film dosyalarını işlemesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0211: TippingPoint'teki Zero Day Initiative ile çalışan Luigi Auriemma
QuickTime
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir PICT resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime'ın PICT resimlerini işlemesinde arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir PICT resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2010-3790: TippingPoint'teki Zero Day Initiative ile çalışan Subreption LLC
QuickTime
Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime'ın JPEG dosyalarını işlemesinde arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0213: iDefense ile çalışan Luigi Auriemma
Samba
İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8
Etki: SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir
Açıklama: Samba'nın Windows Güvenlik Kimliklerini işlemesinde yığın arabellek taşması sorunu vardı. SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir. Mac OS X 10.6 sistemleri için bu sorun Mac OS X 10.6.7 sürümünde giderilmiştir.
CVE kimliği
CVE-2010-3069
Samba
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir
Açıklama: Samba'nın dosya açıklayıcılarını işlemesinde bir bellek bozulması sorunu vardı. SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir.
CVE kimliği
CVE-2011-0719: Volker Lendecke, SerNet
servermgrd
Şunlarda kullanılabilir: Mac OS X Server 10.5.8, Mac OS X Server 10.6 - 10.6.7
Etki: Uzaktaki bir saldırgan sistemden rastgele dosyaları okuyabilir
Açıklama: servermgrd'ın XML-RPC isteklerini işlemesinde XML Harici Varlık sorunu vardı. Bu sorun servermgrd'ın XML-RPC arabirimi kaldırılarak giderildi. Bu sorun yalnızca Mac OS X Server sistemlerini etkiler.
CVE kimliği
CVE-2011-0212: Apple
subversion
Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7
Etki: Http tabanlı bir Subversion sunucusu yapılandırılırsa uzaktaki bir saldırgan servis reddine neden olabilir
Açıklama: Subversion'ın HTTP üzerinden gönderilen belirteçleri işlemesinde null dereferans sorunu vardı. Http tabanlı bir Subversion sunucusu yapılandırılırsa uzaktaki bir saldırgan servis reddine neden olabilir. Mac OS X 10.6 sistemleri için Subversion 1.6.6 sürümüne güncellendi. Mac OS X 10.5.8 sistemleri için bu sorun kilitleme belirteçleri için bir doğrulama daha eklenerek giderildi. http://subversion.apache.org/ adresindeki Subversion web sitesinde daha fazla bilgi bulunabilir
CVE kimliği
CVE-2011-0715