Bu belgede OS X Lion 10.7.2 güvenlik içeriği ve Yazılım Güncelleme tercihleri veya Apple İndirmeleri aracılığıyla indirilip yüklenebilen Güvenlik Güncellemesi 2011-006'dan bahsedilmektedir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.


OS X Lion 10.7.2 ve Güvenlik Güncellemesi 2011-006
- 

- 

Apache

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Apache'de birden çok güvenlik açığı

Açıklama: Apache, en ciddi olanı hizmet reddine yol açabilen bir sorunun da içinde olduğu birkaç güvenlik açığını gidermek için 2.2.20 sürümüne güncellendi. CVE-2011-0419, OS X Lion sistemlerini etkilemez. http://httpd.apache.org/ adresindeki Apache web sitesinde daha fazla bilgi bulunabilir

CVE kimliği

CVE-2011-0419

CVE-2011-3192

 

- 

- 

Uygulama Güvenlik Duvarı

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir ada sahip bir ikili dosyayı yürütmek, rastgele bir kodun yükseltilmiş ayrıcalıklarla yürütülmesine yol açabilir

Açıklama: Uygulama Güvenlik Duvarı'nın hata ayıklama günlüğünde bir biçim dizisi güvenlik açığı vardı.

CVE kimliği

CVE-2011-0185: Anonim bir kişi

 

- 

- 

ATS

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

Açıklama: ATS'nin Tip 1 fontları işlemesinde bir işaret sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3437

 

- 

- 

ATS

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

Açıklama: ATS'nin Tip 1 fontları işlemesinde sınırların dışında bellek erişimi sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-0229: CERT/CC'den Will Dormann

 

- 

- 

ATS

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: ATSFontDeactivate API'sini kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine karşı savunmasız olabilir

Açıklama: ATSFontDeactivate API'sinde bir arabellek taşması sorunu vardı.

CVE kimliği

CVE-2011-0230: Mozilla'dan Steven Michaud

 

- 

- 

BIND

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: BIND 9.7.3'te birden fazla güvenlik açığı

Açıklama: BIND 9.7.3'te birden fazla servis reddi sorunu vardı. Bu sorunlar BIND'ın 9.7.3-P3 sürümüne güncellenmesiyle giderildi.

CVE kimliği

CVE-2011-1910

CVE-2011-2464

 

- 

- 

BIND

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: BIND'da birden fazla güvenlik açığı

Açıklama: BIND'da birden fazla servis reddi sorunu vardı. Bu sorunlar BIND'ın 9.6-ESV-R4-P3 sürümüne güncellenmesiyle giderildi.

CVE kimliği

CVE-2009-4022

CVE-2010-0097

CVE-2010-3613

CVE-2010-3614

CVE-2011-1910

CVE-2011-2464

 

- 

- 

Sertifika Güven Politikası

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kök sertifikalar güncellendi

Açıklama: Sistem köklerine çeşitli güvenilir sertifikalar eklendi. Mevcut çeşitli sertifikalar en son sürümüne güncellendi. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması yoluyla görüntülenebilir.

 

- 

- 

CFNetwork

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Safari, kabul etmek üzere yapılandırılmadığı çerezleri depolayabilir

Açıklama: CFNetwork'ün çerez politikalarını işlemesinde bir eşzamanlama sorunu vardı. Safari'nin çerez tercihleri uygulanamayabilir ve bu da web sitelerinin, tercihlerin normal şekilde uygulanması durumunda engellenecek çerezleri depolamasına neden olabilir. Bu güncelleme çerezlerin depolanmasını iyileştirerek sorunu giderir.

CVE kimliği

CVE-2011-0231: Martin Tessarek, Geeks R Us'tan Steve Riggins, Justin C. Walker ve Stephen Creswell

 

- 

- 

CFNetwork

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, hassas bilgilerin açığa çıkmasına neden olabilir

Tanım: CFNetwork'ün HTTP çerezlerini işlemesinde bir sorun vardı. Kötü amaçlarla oluşturulmuş bir HTTP veya HTTPS URL'sine erişirken, CFNetwork belirli bir etki alanının çerezlerini yanlışlıkla o etki alanının dışındaki bir sunucuya gönderebilir. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3246: Facebook'tan Erling Ellingsen

 

- 

- 

CoreFoundation

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini veya e-posta iletisini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: CoreFoundation'ın dizi şifrelendirmesini işlemesinde bir bellek bozulma sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez. Bu güncelleme sınırların denetimini iyileştirerek sorunu giderir.

CVE kimliği

CVE-2011-0259: Apple

 

- 

- 

CoreMedia

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, başka bir sitedeki video verilerinin görüntülenmesine neden olabilir

Açıklama: CoreMedia'nın siteler arası yeniden yönlendirmeleri işlemesinde kaynaklar arasında bir sorun vardı. Bu soruna, iyileştirilmiş kaynak izlemeyle çözüm getirildi.

CVE kimliği

CVE-2011-0187: Nirankush Panchbhai ve Microsoft Vulnerability Research (MSVR)

 

- 

- 

CoreMedia

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime film dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. OS X Lion sistemleri bu sorunlardan etkilenmez.

CVE kimliği

CVE-2011-0224: Apple

 

- 

- 

CoreProcesses

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Bir sisteme fiziksel erişimi olan bir kişi ekran kilidini kısmi olarak atlayabilir

Açıklama: Ekran kilitliyken görüntülenen, VPN parolasının sorulduğu sorgu penceresi gibi bir sistem ekranı, ekran kilitliyken tuş vuruşlarını kabul edebilir. Bu sorun, ekran kilitliyken sistem pencerelerinin tuş vuruşu isteğinde bulunması önlenerek giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-0260: Washington Üniversitesi'nden Clint Tseng, Michael Kobb ve Adam Kemp

 

- 

- 

CoreStorage

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: FileVault'a dönüştürmek tüm mevcut verileri silmez

Açıklama: FileVault'u etkinleştirdikten sonra, disk bölümünün baş kısmında bulunan yaklaşık 250 MB'lık bir alan, şifrelenmemiş ve disk üzerinde kullanılmayan bir alan olarak bırakılır. Yalnızca FileVault'un etkinleştirilmesinden önce mevcut olan veriler şifrelenmemiş olarak bırakılır. Bu sorun FileVault etkinleştirilirken ve bu sorundan etkilenen şifrelenmiş bir disk bölümü ilk kez kullanılırken bu alanın silinmesiyle giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3212: ATC-NY'den Judson Powers

 

- 

- 

Dosya Sistemleri

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Ayrıcalıklı bir ağ konumunda bulunan saldırgan HTTPS sunucu sertifikaları üzerinde oynayabilir ve hassas bilgilerin açığa çıkmasına neden olabilir

Açıklama: HTTPS sunucularında WebDAV disk bölümlerinin işlenmesinde bir sorun vardı. Sunucu otomatik olarak doğrulanamayan bir sertifika zinciri sunarsa bir uyarı verilir ve bağlantı kapatılır. Kullanıcı uyarı sorgu kutusunda "Sürdür" düğmesini tıklarsa o sunucu ile kurulan bir sonraki bağlantıda herhangi bir sertifika kabul edilir. Öncelikli bir ağ konumuna sahip bir saldırgan, hassas bilgileri elde edecek veya kullanıcı adına sunucuda eylem gerçekleştirecek şekilde bağlantıyı değiştirebilir. Bu güncelleme, ikinci bağlantıda alınan sertifikanın kullanıcıya sunulan ilk sertifikayla aynı olduğunu doğrulayarak sorunu çözer.

CVE kimliği

CVE-2011-3213: Apple

 

- 

- 

IOGraphics

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Fiziksel erişimi olan bir kişi ekran kilidini atlayabilir

Açıklama: Apple Cinema Display'lerle kullanıldığında ekran kilidiyle ilgili bir sorun vardı. Uykudan uyanmak için bir şifre gerektiğinde, sistemin ekran uyku modunda olması durumunda fiziksel erişimi olan bir kişi bir şifre girmeden sisteme erişebilir. Bu güncelleme, kilitli ekranın ekran uyku modundayken doğru etkinleştirilmesini sağlayarak sorunu giderir. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-3214: Apple

 

- 

- 

iChat Sunucusu

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Uzak bir saldırgan Jabber sunucusunun sistem kaynaklarını orantısız olarak tüketmesine neden olabilir

Açıklama: Genişletilebilir Mesajlaşma ve Varlık Protokolü (XMPP) sunucusu olan jabberd2'de XML harici varlıklarının işlenmesinde bir sorun vardı. jabberd2 gelen isteklerdeki harici varlıkları genişletir. Bu, bir saldırganın sistem kaynaklarını hızlı bir şekilde tüketmesine imkan sağlayarak sunucunun meşru kullanıcılarına hizmet vermeyi reddetmesine yol açabilir. Bu güncelleme gelen isteklerde varlık genişletmeyi etkisizleştirerek sorunu çözer.

CVE kimliği

CVE-2011-1755

 

- 

- 

Çekirdek

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Fiziksel erişimi olan bir kişi kullanıcının parolasına erişebilir

Açıklama: Çekirdeğin DMA korumasında; ekran kilidinde değil ama oturum açma penceresinde, önyüklemede ve kapatmada firewire DMA'ya izin veren bir mantık hatası vardı. Bu güncelleme, kullanıcının oturum açmadığı tüm durumlarda firewire DMA'yı önleyerek sorunu çözer.

CVE kimliği

CVE-2011-3215: Passware, Inc.

 

- 

- 

Çekirdek

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Yetkisiz bir kullanıcı bir başka kullanıcının ortak bir dizinde bulunan dosyalarını silebilir

Açıklama: Çekirdeğin yapışkan bit özelliğine sahip dizinlerdeki dosya silme işlemlerini işlemesinde bir mantık hatası vardı.

CVE kimliği

CVE-2011-3216: Crywolf'tan Gordon Davisson, Linc Davis, R. Dormer ve Brainworks Training'den Allan Schmid ve Oliver Jeckel

 

- 

- 

libsecurity

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir web sitesini veya e-posta iletisini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Standart olmayan bir sertifika geçerlilik listesi uzantısı ayrıştırılırken bir hata işleme sorunu vardı.

CVE kimliği

CVE-2011-3227: Virginia Tech'ten Richard Godbee

 

- 

- 

Mailman

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Mailman 2.1.14'te birden fazla güvenlik açığı

Açıklama: Mailman 2.1.14'te birden fazla siteler arası kodlama sorunu vardı. Bu sorunlar, HTML çıktısı kodlamasının iyileştirilmesiyle giderildi. Mailman'in http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html adresindeki sitesinden bu konuda daha fazla bilgi alınabilir. Bu sorun OS X Lion sistemlerini etkilemez.

CVE kimliği

CVE-2011-0707

 

- 

- 

MediaKit

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir PICT resmini açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Disk resimlerinin işlenmesinde birden çok bellek bozulması sorunu vardı. OS X Lion sistemleri bu sorunlardan etkilenmez.

CVE kimliği

CVE-2011-3217: Apple

 

- 

- 

Open Directory

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Herhangi bir kullanıcı bir başka yerel kullanıcının parola verilerini okuyabilir

Açıklama: Open Directory'de bir erişim kontrolü sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3435: Dreyer Network Consultants, Inc'den Arek Dreyer ve defenseindepth.net'ten Patrick Dunstan

 

- 

- 

Open Directory

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Yetkisiz bir kullanıcı mevcut parolayı girmeden hesabın parolasını değiştirebilir

Açıklama: Open Directory'de bir erişim kontrolü sorunu vardı. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3436: defenceindepth.net'ten Patrick Dunstan

 

- 

- 

Open Directory

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Bir kullanıcı parola girmeden oturum açabilir

Açıklama: Open Directory, RFC2307 veya bir kullanıcı için AuthenticationAuthority özniteliğinin olmaması gibi özel eşlemeler kullanan bir LDAPv3 sunucusuna bağlı olduğunda, bir LDAP kullanıcısının parola kullanmadan oturum açmasına izin verilebilir. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3226: Austin'deki Teksas Üniversitesi'nden Jeffry Strunk, Colorado Mesa Üniversitesi'nden Steven Eppler, Hugh Cole-Baker ve Institut de Biologie Structurale'den Frederic Metoz

 

- 

- 

PHP

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: FreeType'ın Tip 1 fontları işlemesinde bir işaret sorunu vardı. Bu sorun FreeType'ın 2.4.6 sürümüne güncellenmesiyle çözüldü. Bu sorun OS X Lion öncesi sistemleri etkilemez. http://www.freetype.org/ adresindeki FreeType sitesinden bu konuda daha fazla bilgi alınabilir

CVE kimliği

CVE-2011-0226

 

- 

- 

PHP

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: libpng 1.4.3'te birden fazla güvenlik açığı

Açıklama: libpng, en ciddi olanı rastgele kod yürütmeye yol açan bir sorunun da aralarında bulunduğu birden fazla güvenlik açığını gidermek için 1.5.4 sürümüne güncellendi. http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesinden bu konuda daha fazla bilgi alınabilir

CVE kimliği

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692

 

- 

- 

PHP

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: PHP 5.3.4'te birden çok güvenlik açığı

Açıklama: PHP, aralarında en ciddi olanı rastgele kod yürütülmesine neden olabilecek birden fazla güvenlik açığını gidermek için 5.3.6 sürümüne güncellendi. OS X Lion sistemleri bu sorundan etkilenmez. Daha fazla bilgi http://www.php.net adresindeki PHP web sitesinde bulunabilir.

CVE kimliği

CVE-2010-3436

CVE-2010-4645

CVE-2011-0420

CVE-2011-0421

CVE-2011-0708

CVE-2011-1092

CVE-2011-1153

CVE-2011-1466

CVE-2011-1467

CVE-2011-1468

CVE-2011-1469

CVE-2011-1470

CVE-2011-1471

 

- 

- 

postfix

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Postfix'te birden çok güvenlik açığı

Açıklama: Postfix, aralarında en ciddi olanı ağda ayrıcalıklı bir konumu olan saldırganın, şifrelenmiş trafikten hassas bilgileri edinmek için posta oturumunu değiştirebilmesine olanak tanıyan birden fazla güvenlik açığını giderecek şekilde 2.5.14 sürümüne güncellendi. OS X Lion sistemleri bu sorunlardan etkilenmez. http://www.postfix.org/announcements/postfix-2.7.3.html adresindeki Postfix sitesinde bu konuda daha fazla bilgi mevcuttur

CVE kimliği

CVE-2011-0411

CVE-2011-1720

 

- 

- 

python

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Python sürümünde birden çok güvenlik açığı

Açıklama: python'da, aralarında en ciddi olanı rastgele kod yürütülmesine olanak sağlayan birden çok güvenlik açığı vardı. Bu güncelleme python projesindeki yamaları uygulayarak sorunları giderir. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

CVE kimliği

CVE-2010-1634

CVE-2010-2089

CVE-2011-1521

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'ın film dosyalarını işlemesinde birden çok bellek bozulması sorunu vardı.

CVE kimliği

CVE-2011-3228: Apple

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime film dosyalarında STSC atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-0249: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime film dosyalarında STSS atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-0250: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime film dosyalarında STSZ atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-0251: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime film dosyalarında STTS atomlarının işlenmesi sırasında bir yığın arabellek taşması sorunu vardı. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-0252: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan, şablon HTML görüntülenirken yerel etki alanına betik ekleyebilir

Açıklama: QuickTime Player'ın "Save for Web" (Web İçin Kaydet) dışarı aktarmasında siteler arası kodlama sorunu vardı. Bu özellik tarafından oluşturulan şablon HTML dosyaları, şifrelenmemiş bir kaynaktaki bir betik dosyasını referans alıyordu. Kullanıcının bir şablon dosyasını yerel olarak görüntülemesi durumunda, ağda ayrıcalıklı konuma sahip bir saldırgan yerel etki alanına kötü amaçlı betikler ekleyebilir. Bu sorun çevrimiçi bir betiğe verilen referans kaldırılarak giderildi. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-3218: vtty.com'dan Aaron Sigel

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'ın H.264 kodlu film dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

CVE kimliği

CVE-2011-3219: TippingPoint's Zero Day Initiative ile çalışan Damian Put

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek bellek içeriğinin ifşa edilmesine yol açabilir

Açıklama: QuickTime'ın film dosyaları içindeki URL veri işleyicileri işlemesinde sıfırlanmamış bellek erişimi sorunu vardı.

CVE kimliği

CVE-2011-3220: TippingPoint's Zero Day Initiative ile çalışan Luigi Auriemma

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'ın bir film dosyası içindeki atom hiyerarşisini işlemesinde bir uygulama sorunu vardı.

CVE kimliği

CVE-2011-3221: TippingPoint's Zero Day Initiative ile çalışan anonim bir araştırmacı

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir FlashPix dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'ın FlashPix dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

CVE kimliği

CVE-2011-3222: TippingPoint's Zero Day Initiative ile çalışan Damian Put

 

- 

- 

QuickTime

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'ın FLIC dosyalarını işlemesinde bir arabellek taşması sorunu vardı.

CVE kimliği

CVE-2011-3223: TippingPoint's Zero Day Initiative ile çalışan Matt 'j00ru' Jurczyk

 

- 

- 

SMB Dosya Sunucusu

Şunlarda kullanılabilir: OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: Bir konuk kullanıcı ortak klasörlerde gezinebilir

Açıklama: SMB Dosya Sunucusunda bir erişim kontrolü sorunu vardı. Konukların bir klasörün ortak nokta kaydına erişim iznini kaldırmak "_bilinmeyen" kullanıcının ortak noktada gezinmesini önlüyor ancak konuklarınkini ("hiç kimse" kullanıcısı) önlemiyordu. Bu sorun konuk kullanıcıya erişim kontrolü uygulanarak giderildi. Bu sorun OS X Lion öncesi sistemleri etkilemez.

CVE kimliği

CVE-2011-3225

 

- 

- 

Tomcat

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Tomcat 6.0.24'te birden çok güvenlik açığı

Açıklama: Tomcat, aralarında en ciddi olanı siteler arası kodlama saldırısına neden olabilen birden çok güvenlik açığını gidermek için 6.0.32 sürümüne güncellendi. Tomcat yalnızca Mac OS X Server sistemlerinde bulunur. OS X Lion sistemleri bu sorundan etkilenmez. http://tomcat.apache.org/ adresindeki Tomcat sitesinden bu konuda daha fazla bilgi edinebilirsiniz

CVE kimliği

CVE-2010-1157

CVE-2010-2227

CVE-2010-3718

CVE-2010-4172

CVE-2011-0013

CVE-2011-0534

 

- 

- 

Kullanıcı Belgeleri

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan App Store yardım içeriğini değiştirerek rastgele kod yürütülmesine neden olabilir

Açıklama: App Store yardım içeriği HTTP üzerinden güncellendi. Bu güncelleme, App Store yardım içeriğini HTTPS üzerinden güncelleyerek sorunu giderir. OS X Lion sistemleri bu sorundan etkilenmez.

CVE kimliği

CVE-2011-3224: vtty.com'dan Aaron Sigel ve Brian Mastenbrook

 

- 

- 

Web Sunucusu

Şunlarda kullanılabilir: Mac OS X Server 10.6.8

Etki: İstemciler özet doğrulama gerektiren web servislerine erişemeyebilir

Açıklama: HTTP Özet doğrulamasının işlenmesi ile ilgili bir sorun çözüldü. Sunucu yapılandırmasının erişime izin vermesi gerekirken, kullanıcıların sunucu kaynaklarına erişimi reddedilebilir. Bu sorun bir güvenlik riski oluşturmaz ve daha güçlü doğrulama mekanizmalarının kullanımını kolaylaştırmak için ele alınmıştır. OS X Lion Server ile çalışan sistemler bu sorundan etkilenmez.

 

- 

- 

X11

Şunlarda kullanılabilir: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 ve 10.7.1, OS X Lion Server 10.7 ve 10.7.1

Etki: libpng'de birden fazla güvenlik açığı

Açıklama: libpng'de, aralarında en ciddi olanı rastgele kod yürütülmesine neden olan birden çok güvenlik açığı vardı. Bu sorunlar, libpng'nin OS Lion sistemlerinde 1.5.4 sürümüne ve Mac OS X 10.6 sistemlerinde 1.2.46 sürümüne güncellenmesiyle giderildi. http://www.libpng.org/pub/png/libpng.html adresindeki libpng web sitesinden bu konuda daha fazla bilgi alınabilir

CVE kimliği

CVE-2011-2690

CVE-2011-2691

CVE-2011-2692