Mac OS X v10.6.8 ve Güvenlik Güncellemesi 2011-004 ile ilgili güvenlik içeriği hakkında

Bu belge Mac OS X 10.6.8 ve Güvenlik Güncellemesi 2011-004 ile ilgili bilgi sağlar.

Bu güncelleme Yazılım Güncelleme tercihleri kullanılarak veya Apple İndirmeleri'nden indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Mac OS X v10.6.8 ve Güvenlik Güncellemesi 2011-004

  • AirPort

    İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Etki: Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan sistemin sıfırlanmasına neden olabilir

    Açıklama: Wi-Fi çerçevelerinin işlenmesinde sınırların dışında bellek okuma sorunu vardı. Wi-Fi bağlantısı yapıldığında aynı ağdaki bir saldırgan sistemin sıfırlanmasına neden olabilir. Bu sorun Mac OS X 10.6 sürümünü etkilemez

    CVE kimliği

    CVE-2011-0196

  • App Store

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kullanıcının Apple Kimliği parolası yerel bir dosyaya kaydedilebilir

    Açıklama: App Store, belli durumlarda kullanıcının Apple Kimliği parolasını sistemde diğer kullanıcılar tarafından okunamayan bir dosyaya kaydedebilir. Bu sorun kimlik bilgilerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-0197: Paul Nelson

  • ATS

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

    Açıklama: TrueType fontların işlenmesinde yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0198: Harry Sintonen ve Red Hat Security Response Team'den Marc Schoenefeld

  • Sertifika Güven Politikası

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Sertifika Güven Politikası'nda bir hata giderme sorunu vardı. Uzatılmış Geçerlilik (EV) sertifikasında OCSP URL'si yoksa ve CRL denetimi etkinse, CRL denetlenmez ve iptal edilen bir sertifika geçerli kabul edilebilir. Bu sorun EV sertifikalarının çoğunda bir OCSP URL'si belirtilerek aşıldı.

    CVE kimliği

    CVE-2011-0199: Chris Hawk ve Wan-Teh Chang, Google

  • ColorSync

    İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Etki: Kötü amaçlarla oluşturulmuş bir resmi gömülü ColorSync profiliyle görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Gömülü ColorSync profili olan resimlerin işlenmesinde yığın arabelleğin taşmasına neden olabilecek bir tamsayı taşması vardı. Kötü amaçlarla oluşturulmuş bir resmi gömülü ColorSync profiliyle açmak, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0200: TippingPoint Zero Day Initiative ile çalışan binaryproof

  • CoreFoundation

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: CoreFoundation çerçevesini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açıklama: CFString'lerin işlenmesinde bir yığın arabellek taşması sorunu vardı. CoreFoundation çerçevesini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir.

    CVE kimliği

    CVE-2011-0201: Harry Sintonen

  • CoreGraphics

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Type 1 fontların işlenmesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0202: Cristian Draghici, Modulo Consulting; Felix Grobert, Google Security Team

  • FTP Server

    Şunlarda kullanılabilir: Mac OS X Server 10.6 - 10.6.7

    Etki: FTP erişimi olan bir kişi sistemdeki dosyaları listeleyebilir

    Açıklama: xftpd'de yol doğrulama sorunu vardı. FTP erişimi olan bir kişi kökten başlayarak, FTP için paylaşılmayan dizinler de dahil yinelemeli bir dizin listesi oluşturabilir. Bu liste zaman içinde FTP kullanıcısının erişebildiği her dosyayı içerecektir. Dosyaların içerikleri kullanıma açılmaz. Bu sorun yol doğrulaması iyileştirilerek giderildi. Bu sorun yalnızca Mac OS X Server sistemlerini etkiler.

    CVE kimliği

    CVE-2011-0203: team karlkani

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun TIFF resimlerini işlemesinde bir yığın arabellek taşması vardı. Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0204: Dominic Chell, NGS Secure

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun JPEG2000 resimlerini işlemesinde bir yığın arabellek taşması sorunu vardı. Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0205: Harry Sintonen

  • Uluslararası Unicode Bileşenleri

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açıklama: Büyük harf kullanılan dizelerin işlenmesinde yığın arabellek taşması sorunu vardı. ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir.

    CVE kimliği

    CVE-2011-0206: David Bienvenu, Mozilla

  • Çekirdek

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Yerel kullanıcı sistemin sıfırlanmasına neden olabilir

    Açıklama: IPV6 yuvası seçeneklerinin işlenmesinde null dereferans sorunu vardı. Yerel kullanıcı sistemin sıfırlanmasına neden olabilir.

    CVE kimliği

    CVE-2011-1132: Thomas Clement, Intego

  • Libsystem

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: glob(3) API'sini kullanan uygulamalar servis reddine karşı savunmasız olabilir

    Açıklama: glob(3) API'sini kullanan uygulamalar servis reddine karşı savunmasız olabilir. Glob modeli güvenilmeyen bir girişten geliyorsa uygulama takılabilir veya aşırı CPU kaynağı kullanabilir. Bu sorun glob modellerinin doğrulanması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2010-2632: Maksymilian Arciemowicz

  • libxslt

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlı olarak oluşturulmuş bir web sitesini ziyaret etmek yığın adreslerinin açığa çıkmasına neden olabilir

    Açıklama: libxslt'deki generate-id() XPath işlevinin uygulanması yığın arabellek adresinin açığa çıkmasına neden oldu. Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek yığın adreslerinin açığa çıkmasına neden olabilir. Bu sorun iki yığın arabelleğin adresleri arasındaki farka dayanan bir kimlik oluşturularak giderildi.

    CVE kimliği

    CVE-2011-0195: Chris Evans, Google Chrome Security Team

  • MobileMe

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Ağda ayrıcalıklı bir konumu olan saldırgan kullanıcının MobileMe e-posta takma adlarını okuyabilir

    Açıklama: Kullanıcının e-posta takma adlarını belirlemek için MobileMe ile iletişim kurulurken Mail uygulaması, istekleri HTTP üzerinden gönderir. Sonuç olarak, ağda ayrıcalıklı bir konumu olan saldırgan kullanıcının MobileMe e-posta takma adlarını okuyabilir. Bu sorun kullanıcının e-posta takma adlarına erişmek için SSL kullanılarak giderildi.

    CVE kimliği

    CVE-2011-0207: Aaron Sigel, vtty.com

  • MySQL

    Şunlarda kullanılabilir: Mac OS X Server 10.5.8, Mac OS X Server 10.6 - 10.6.7

    Etki: MySQL 5.0.91 sürümünde birden çok güvenlik açığı

    Açıklama: MySQL, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için 5.0.92 sürümüne güncellendi. MySQL yalnızca Mac OS X Server sistemleriyle sağlanır.

    CVE kimliği

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: OpenSSL'de birden fazla güvenlik açığı

    Açıklama: OpenSSL'de birden çok güvenlik açığı vardı, bunların en ciddi olanı rastgele kod yürütülmesine neden olabilir. Bu sorunlar OpenSSL 0.9.8r sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • yama

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir yama dosyasında yamayı çalıştırmak rastgele dosyalar oluşturulmasına veya dosyaların üzerine yazılmasına neden olabilir

    Açıklama: GNU yamasında dizin geçişi sorunu vardı. Kötü amaçlarla oluşturulmuş bir yama dosyasında yamayı çalıştırmak rastgele dosyalar oluşturulmasına veya dosyaların üzerine yazılmasına neden olabilir. Bu sorun yama dosyalarının doğrulanması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2010-4651

  • QuickLook

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickLook'ta Microsoft Office dosyalarının işlenmesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir. Mac OS X 10.6 öncesi sistemler bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0208: iDefense VCP ile çalışan Tobias Klein

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir WAV dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın RIFF WAV dosyalarını işlemesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir WAV dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0209: TippingPoint'teki Zero Day Initiative ile çalışan Luigi Auriemma

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarında QuickTime'ın örnek tabloları işlemesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0210: Honggang Ren, Fortinet FortiGuard Labs

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın film dosyalarını işlemesinde bir tamsayı taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0211: TippingPoint'teki Zero Day Initiative ile çalışan Luigi Auriemma

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir PICT resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın PICT resimlerini işlemesinde arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir PICT resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2010-3790: TippingPoint'teki Zero Day Initiative ile çalışan Subreption LLC

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın JPEG dosyalarını işlemesinde arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0213: iDefense ile çalışan Luigi Auriemma

  • Samba

    İlgili işletim sistemleri: Mac OS X 10.5.8, Mac OS X Server 10.5.8

    Etki: SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir

    Açıklama: Samba'nın Windows Güvenlik Kimliklerini işlemesinde yığın arabellek taşması sorunu vardı. SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir. Mac OS X 10.6 sistemleri için bu sorun Mac OS X 10.6.7 sürümünde giderilmiştir.

    CVE kimliği

    CVE-2010-3069

  • Samba

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir

    Açıklama: Samba'nın dosya açıklayıcılarını işlemesinde bir bellek bozulması sorunu vardı. SMB dosya paylaşımı etkinleştirilirse, uzaktaki bir saldırgan servis reddine ya da rastgele kod yürütülmesine neden olabilir.

    CVE kimliği

    CVE-2011-0719: Volker Lendecke, SerNet

  • servermgrd

    Şunlarda kullanılabilir: Mac OS X Server 10.5.8, Mac OS X Server 10.6 - 10.6.7

    Etki: Uzaktaki bir saldırgan sistemden rastgele dosyaları okuyabilir

    Açıklama: servermgrd'ın XML-RPC isteklerini işlemesinde XML Harici Varlık sorunu vardı. Bu sorun servermgrd'ın XML-RPC arabirimi kaldırılarak giderildi. Bu sorun yalnızca Mac OS X Server sistemlerini etkiler.

    CVE kimliği

    CVE-2011-0212: Apple

  • subversion

    Şunlarda kullanılabilir: Mac OS X 10.5.8, Mac OS X Server 10.5.8, Mac OS X 10.6 - 10.6.7, Mac OS X Server 10.6 - 10.6.7

    Etki: Http tabanlı bir Subversion sunucusu yapılandırılırsa uzaktaki bir saldırgan servis reddine neden olabilir

    Açıklama: Subversion'ın HTTP üzerinden gönderilen belirteçleri işlemesinde null dereferans sorunu vardı. Http tabanlı bir Subversion sunucusu yapılandırılırsa uzaktaki bir saldırgan servis reddine neden olabilir. Mac OS X 10.6 sistemleri için Subversion 1.6.6 sürümüne güncellendi. Mac OS X 10.5.8 sistemleri için bu sorun kilitleme belirteçleri için bir doğrulama daha eklenerek giderildi. http://subversion.apache.org/ adresindeki Subversion web sitesinde daha fazla bilgi bulunabilir

    CVE kimliği

    CVE-2011-0715

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: