OS X Lion 10.7.2 güvenlik içeriği ve Güvenlik Güncellemesi 2011-006 hakkında

Bu belge OS X Lion 10.7.2 ve Güvenlik Güncellemesi 2011-006'nın güvenlik içeriğini açıklar.

Bu belgede OS X Lion 10.7.2 güvenlik içeriği ve Yazılım Güncelleme tercihleri veya Apple İndirmeleri aracılığıyla indirilip yüklenebilen Güvenlik Güncellemesi 2011-006'dan bahsedilmektedir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
 

OS X Lion 10.7.2 ve Güvenlik Güncellemesi 2011-006

  • Apache

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Apache'de birden çok güvenlik açığı

    Açıklama: Apache, en ciddi olanı hizmet reddine yol açabilen bir sorunun da içinde olduğu birkaç güvenlik açığını gidermek için 2.2.20 sürümüne güncellendi. CVE-2011-0419, OS X Lion sistemlerini etkilemez. http://httpd.apache.org/ adresindeki Apache web sitesinde daha fazla bilgi bulunabilir

    CVE kimliği

    CVE-2011-0419

    CVE-2011-3192

  • Uygulama Güvenlik Duvarı

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir ada sahip bir ikili dosyayı yürütmek, rastgele bir kodun yükseltilmiş ayrıcalıklarla yürütülmesine yol açabilir

    Açıklama: Uygulama Güvenlik Duvarı'nın hata ayıklama günlüğünde bir biçim dizisi güvenlik açığı vardı.

    CVE kimliği

    CVE-2011-0185: Anonim bir kişi

  • ATS

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

    Açıklama: ATS'nin Tip 1 fontları işlemesinde bir işaret sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3437

  • ATS

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

    Açıklama: ATS'nin Tip 1 fontları işlemesinde sınırların dışında bellek erişimi sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0229: CERT/CC'den Will Dormann

  • ATS

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: ATSFontDeactivate API'sini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açıklama: ATSFontDeactivate API'sinde bir arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-0230: Mozilla'dan Steven Michaud

  • BIND

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: BIND 9.7.3'te birden fazla güvenlik açığı

    Açıklama: BIND 9.7.3'te birden fazla servis reddi sorunu vardı. Bu sorunlar BIND'ın 9.7.3-P3 sürümüne güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: BIND'da birden fazla güvenlik açığı

    Açıklama: BIND'da birden fazla servis reddi sorunu vardı. Bu sorunlar BIND'ın 9.6-ESV-R4-P3 sürümüne güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • Sertifika Güven Politikası

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kök sertifikalar güncellendi

    Açıklama: Sistem köklerine çeşitli güvenilir sertifikalar eklendi. Mevcut çeşitli sertifikalar en son sürümüne güncellendi. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması yoluyla görüntülenebilir.

  • CFNetwork

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Safari, kabul etmek üzere yapılandırılmadığı çerezleri depolayabilir

    Açıklama: CFNetwork'ün çerez politikalarını işlemesinde bir eşzamanlama sorunu vardı. Safari'nin çerez tercihleri uygulanamayabilir ve bu da web sitelerinin, tercihlerin normal şekilde uygulanması durumunda engellenecek çerezleri depolamasına neden olabilir. Bu güncelleme çerezlerin depolanmasını iyileştirerek sorunu giderir.

    CVE kimliği

    CVE-2011-0231: Martin Tessarek, Geeks R Us'tan Steve Riggins, Justin C. Walker ve Stephen Creswell

  • CFNetwork

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, hassas bilgilerin açığa çıkmasına neden olabilir

    Tanım: CFNetwork'ün HTTP çerezlerini işlemesinde bir sorun vardı. Kötü amaçlarla oluşturulmuş bir HTTP veya HTTPS URL'sine erişirken, CFNetwork belirli bir etki alanının çerezlerini yanlışlıkla o etki alanının dışındaki bir sunucuya gönderebilir. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3246: Facebook'tan Erling Ellingsen

  • CoreFoundation

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini veya e-posta iletisini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: CoreFoundation'ın dizi şifrelendirmesini işlemesinde bir bellek bozulma sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez. Bu güncelleme sınırların denetimini iyileştirerek sorunu giderir.

    CVE kimliği

    CVE-2011-0259: Apple

  • CoreMedia

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, başka bir sitedeki video verilerinin görüntülenmesine neden olabilir

    Açıklama: CoreMedia'nın siteler arası yeniden yönlendirmeleri işlemesinde kaynaklar arasında bir sorun vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

    CVE kimliği

    CVE-2011-0187: Nirankush Panchbhai ve Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. OS X Lion sistemleri bu sorunlardan etkilenmez.

    CVE kimliği

    CVE-2011-0224: Apple

  • CoreProcesses

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Bir sisteme fiziksel erişimi olan bir kişi ekran kilidini kısmi olarak atlayabilir

    Açıklama: Ekran kilitliyken görüntülenen, VPN parolasının sorulduğu sorgu penceresi gibi bir sistem ekranı, ekran kilitliyken tuş vuruşlarını kabul edebilir. Bu sorun, ekran kilitliyken sistem pencerelerinin tuş vuruşu isteğinde bulunması önlenerek giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-0260: Washington Üniversitesi'nden Clint Tseng, Michael Kobb ve Adam Kemp

  • CoreStorage

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: FileVault'a dönüştürmek tüm mevcut verileri silmez

    Açıklama: FileVault'u etkinleştirdikten sonra, disk bölümünün baş kısmında bulunan yaklaşık 250 MB'lık bir alan, şifrelenmemiş ve disk üzerinde kullanılmayan bir alan olarak bırakılır. Yalnızca FileVault'un etkinleştirilmesinden önce mevcut olan veriler şifrelenmemiş olarak bırakılır. Bu sorun FileVault etkinleştirilirken ve bu sorundan etkilenen şifrelenmiş bir disk bölümü ilk kez kullanılırken bu alanın silinmesiyle giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3212: ATC-NY'den Judson Powers

  • Dosya Sistemleri

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Ayrıcalıklı bir ağ konumunda bulunan saldırgan HTTPS sunucu sertifikaları üzerinde oynayabilir ve hassas bilgilerin açığa çıkmasına neden olabilir

    Açıklama: HTTPS sunucularında WebDAV disk bölümlerinin işlenmesinde bir sorun vardı. Sunucu otomatik olarak doğrulanamayan bir sertifika zinciri sunarsa bir uyarı verilir ve bağlantı kapatılır. Kullanıcı uyarı sorgu kutusunda "Sürdür" düğmesini tıklarsa o sunucu ile kurulan bir sonraki bağlantıda herhangi bir sertifika kabul edilir. Öncelikli bir ağ konumuna sahip bir saldırgan, hassas bilgileri elde edecek veya kullanıcı adına sunucuda eylem gerçekleştirecek şekilde bağlantıyı değiştirebilir. Bu güncelleme, ikinci bağlantıda alınan sertifikanın kullanıcıya sunulan ilk sertifikayla aynı olduğunu doğrulayarak sorunu çözer.

    CVE kimliği

    CVE-2011-3213: Apple

  • IOGraphics

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Fiziksel erişimi olan bir kişi ekran kilidini atlayabilir

    Açıklama: Apple Cinema Display'lerle kullanıldığında ekran kilidiyle ilgili bir sorun vardı. Uykudan uyanmak için bir şifre gerektiğinde, sistemin ekran uyku modunda olması durumunda fiziksel erişimi olan bir kişi bir şifre girmeden sisteme erişebilir. Bu güncelleme, kilitli ekranın ekran uyku modundayken doğru etkinleştirilmesini sağlayarak sorunu giderir. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3214: Apple

  • iChat Sunucusu

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Uzak bir saldırgan Jabber sunucusunun sistem kaynaklarını orantısız olarak tüketmesine neden olabilir

    Açıklama: Genişletilebilir Mesajlaşma ve Varlık Protokolü (XMPP) sunucusu olan jabberd2'de XML harici varlıklarının işlenmesinde bir sorun vardı. jabberd2 gelen isteklerdeki harici varlıkları genişletir. Bu, bir saldırganın sistem kaynaklarını hızlı bir şekilde tüketmesine imkan sağlayarak sunucunun meşru kullanıcılarına hizmet vermeyi reddetmesine yol açabilir. Bu güncelleme gelen isteklerde varlık genişletmeyi etkisizleştirerek sorunu çözer.

    CVE kimliği

    CVE-2011-1755

  • Çekirdek

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Fiziksel erişimi olan bir kişi kullanıcının parolasına erişebilir

    Açıklama: Çekirdeğin DMA korumasında; ekran kilidinde değil ama oturum açma penceresinde, önyüklemede ve kapatmada firewire DMA'ya izin veren bir mantık hatası vardı. Bu güncelleme, kullanıcının oturum açmadığı tüm durumlarda firewire DMA'yı önleyerek sorunu çözer.

    CVE kimliği

    CVE-2011-3215: Passware, Inc.

  • Çekirdek

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Yetkisiz bir kullanıcı bir başka kullanıcının ortak bir dizinde bulunan dosyalarını silebilir

    Açıklama: Çekirdeğin yapışkan bit özelliğine sahip dizinlerdeki dosya silme işlemlerini işlemesinde bir mantık hatası vardı.

    CVE kimliği

    CVE-2011-3216: Crywolf'tan Gordon Davisson, Linc Davis, R. Dormer ve Brainworks Training'den Allan Schmid ve Oliver Jeckel

  • libsecurity

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini veya e-posta iletisini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Standart olmayan bir sertifika geçerlilik listesi uzantısı ayrıştırılırken bir hata işleme sorunu vardı.

    CVE kimliği

    CVE-2011-3227: Virginia Tech'ten Richard Godbee

  • Mailman

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Mailman 2.1.14'te birden fazla güvenlik açığı

    Açıklama: Mailman 2.1.14'te birden fazla siteler arası kodlama sorunu vardı. Bu sorunlar, HTML çıktısı kodlamasının iyileştirilmesiyle giderildi. Mailman'in http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html adresindeki sitesinden bu konuda daha fazla bilgi alınabilir. Bu sorun OS X Lion sistemlerini etkilemez.

    CVE kimliği

    CVE-2011-0707

  • MediaKit

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir PICT resmini açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Disk resimlerinin işlenmesinde birden çok bellek bozulması sorunu vardı. OS X Lion sistemleri bu sorunlardan etkilenmez.

    CVE kimliği

    CVE-2011-3217: Apple

  • Open Directory

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Herhangi bir kullanıcı bir başka yerel kullanıcının parola verilerini okuyabilir

    Açıklama: Open Directory'de bir erişim kontrolü sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3435: Dreyer Network Consultants, Inc'den Arek Dreyer ve defenseindepth.net'ten Patrick Dunstan

  • Open Directory

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Yetkisiz bir kullanıcı mevcut parolayı girmeden hesabın parolasını değiştirebilir

    Açıklama: Open Directory'de bir erişim kontrolü sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3436: defenceindepth.net'ten Patrick Dunstan

  • Open Directory

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Bir kullanıcı parola girmeden oturum açabilir

    Açıklama: Open Directory, RFC2307 veya bir kullanıcı için AuthenticationAuthority özniteliğinin olmaması gibi özel eşlemeler kullanan bir LDAPv3 sunucusuna bağlı olduğunda, bir LDAP kullanıcısının parola kullanmadan oturum açmasına izin verilebilir. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3226: Austin'deki Teksas Üniversitesi'nden Jeffry Strunk, Colorado Mesa Üniversitesi'nden Steven Eppler, Hugh Cole-Baker ve Institut de Biologie Structurale'den Frederic Metoz

  • PHP

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: FreeType'ın Tip 1 fontları işlemesinde bir işaret sorunu vardı. Bu sorun FreeType'ın 2.4.6 sürümüne güncellenmesiyle çözüldü. Bu sorun OS X Lion öncesi sistemleri etkilemez. http://www.freetype.org/ adresindeki FreeType sitesinden bu konuda daha fazla bilgi alınabilir

    CVE kimliği

    CVE-2011-0226

  • PHP

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: libpng 1.4.3'te birden fazla güvenlik açığı

    Açıklama: libpng, en ciddi olanı rastgele kod yürütmeye yol açan bir sorunun da aralarında bulunduğu birden fazla güvenlik açığını gidermek için 1.5.4 sürümüne güncellendi. http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesinden bu konuda daha fazla bilgi alınabilir

    CVE kimliği

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: PHP 5.3.4'te birden çok güvenlik açığı

    Açıklama: PHP, aralarında en ciddi olanı rastgele kod yürütülmesine neden olabilecek birden fazla güvenlik açığını gidermek için 5.3.6 sürümüne güncellendi. OS X Lion sistemleri bu sorundan etkilenmez. Daha fazla bilgi http://www.php.net adresindeki PHP web sitesinde bulunabilir.

    CVE kimliği

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Postfix'te birden çok güvenlik açığı

    Açıklama: Postfix, aralarında en ciddi olanı ağda ayrıcalıklı bir konumu olan saldırganın, şifrelenmiş trafikten hassas bilgileri edinmek için posta oturumunu değiştirebilmesine olanak tanıyan birden fazla güvenlik açığını giderecek şekilde 2.5.14 sürümüne güncellendi. OS X Lion sistemleri bu sorunlardan etkilenmez. http://www.postfix.org/announcements/postfix-2.7.3.html adresindeki Postfix sitesinde bu konuda daha fazla bilgi mevcuttur

    CVE kimliği

    CVE-2011-0411

    CVE-2011-1720

  • python

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Python sürümünde birden çok güvenlik açığı

    Açıklama: python'da, aralarında en ciddi olanı rastgele kod yürütülmesine olanak sağlayan birden çok güvenlik açığı vardı. Bu güncelleme python projesindeki yamaları uygulayarak sorunları giderir. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

    CVE kimliği

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın film dosyalarını işlemesinde birden çok bellek bozulması sorunu vardı.

    CVE kimliği

    CVE-2011-3228: Apple

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarında STSC atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0249: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarında STSS atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0250: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarında STSZ atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0251: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarında STTS atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-0252: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan, şablon HTML görüntülenirken yerel etki alanına betik ekleyebilir

    Açıklama: QuickTime Player'ın "Save for Web" (Web İçin Kaydet) dışarı aktarmasında siteler arası kodlama sorunu vardı. Bu özellik tarafından oluşturulan şablon HTML dosyaları, şifrelenmemiş bir kaynaktaki bir betik dosyasını referans alıyordu. Kullanıcının bir şablon dosyasını yerel olarak görüntülemesi durumunda, ağda ayrıcalıklı konuma sahip bir saldırgan yerel etki alanına kötü amaçlı betikler ekleyebilir. Bu sorun çevrimiçi bir betiğe verilen referans kaldırılarak giderildi. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3218: vtty.com'dan Aaron Sigel

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın H.264 kodlu film dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-3219: TippingPoint's Zero Day Initiative ile çalışan Damian Put

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek bellek içeriğinin ifşa edilmesine yol açabilir

    Açıklama: QuickTime'ın film dosyaları içindeki URL veri işleyicileri işlemesinde sıfırlanmamış bellek erişimi sorunu vardı.

    CVE kimliği

    CVE-2011-3220: TippingPoint's Zero Day Initiative ile çalışan Luigi Auriemma

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın bir film dosyası içindeki atom hiyerarşisini işlemesinde bir uygulama sorunu vardı.

    CVE kimliği

    CVE-2011-3221: TippingPoint's Zero Day Initiative ile çalışan anonim bir araştırmacı

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir FlashPix dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın FlashPix dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-3222: TippingPoint's Zero Day Initiative ile çalışan Damian Put

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın FLIC dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

    CVE kimliği

    CVE-2011-3223: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

  • SMB Dosya Sunucusu

    Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: Bir konuk kullanıcı ortak klasörlerde gezinebilir

    Açıklama: SMB Dosya Sunucusunda bir erişim kontrolü sorunu vardı. Konukların bir klasörün ortak nokta kaydına erişim iznini kaldırmak "_bilinmeyen" kullanıcının ortak noktada gezinmesini önlüyor ancak konuklarınkini ("hiç kimse" kullanıcısı) önlemiyordu. Bu sorun konuk kullanıcıya erişim kontrolü uygulanarak giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2011-3225

  • Tomcat

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Tomcat 6.0.24'te birden çok güvenlik açığı

    Açıklama: Tomcat, aralarında en ciddi olanı siteler arası kodlama saldırısına neden olabilen birden çok güvenlik açığını gidermek için 6.0.32 sürümüne güncellendi. Tomcat yalnızca Mac OS X Server sistemlerinde bulunur. OS X Lion sistemleri bu sorundan etkilenmez. http://tomcat.apache.org/ adresindeki Tomcat sitesinden bu konuda daha fazla bilgi edinebilirsiniz

    CVE kimliği

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Kullanıcı Belgeleri

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan App Store yardım içeriğini değiştirerek rastgele kod yürütülmesine neden olabilir

    Açıklama: App Store yardım içeriği HTTP üzerinden güncellendi. Bu güncelleme, App Store yardım içeriğini HTTPS üzerinden güncelleyerek sorunu giderir. OS X Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3224: vtty.com'dan Aaron Sigel ve Brian Mastenbrook

  • Web Sunucusu

    Şunlarda kullanılabilir: Mac OS X Server 10.6.8

    Etki: İstemciler özet doğrulama gerektiren web servislerine erişemeyebilir

    Açıklama: HTTP Özet doğrulamasının işlenmesi ile ilgili bir sorun çözüldü. Sunucu yapılandırmasının erişime izin vermesi gerekirken, kullanıcıların sunucu kaynaklarına erişimi reddedilebilir. Bu sorun bir güvenlik riski oluşturmaz ve daha güçlü doğrulama mekanizmalarının kullanımını kolaylaştırmak için ele alınmıştır. OS X Lion Server ile çalışan sistemler bu sorundan etkilenmez.

  • X11

    Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

    Etki: libpng'de birden fazla güvenlik açığı

    Açıklama: libpng'de, aralarında en ciddi olanı rastgele kod yürütülmesine neden olan birden çok güvenlik açığı vardı. Bu sorunlar, libpng'nin OS Lion sistemlerinde 1.5.4 sürümüne ve Mac OS X 10.6 sistemlerinde 1.2.46 sürümüne güncellenmesiyle giderildi. http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesinden bu konuda daha fazla bilgi alınabilir

    CVE kimliği

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: