OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriği hakkında

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriği hakkında bilgi alın.

Bu belge, OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004'ün güvenlik içeriğini açıklar.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 ve Güvenlik Güncellemesi 2012-004

Not: OS X Mountain Lion v10.8.2, Safari 6.0.1'in içeriğini barındırır. Daha fazla ayrıntı için bkz. Safari 6.0.1'in güvenlik içeriği hakkında.

  • Apache

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Apache'de birden çok güvenlik açığı

    Açıklama: Apache, aralarında hizmet reddine yol açabilen bir sorunun da olduğu birkaç güvenlik açığını gidermek için sürüm 2.2.22'ye güncellendi. Daha fazla bilgi, http://httpd.apache.org/ adresindeki Apache web sitesinde bulunabilir. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Uzaktaki bir saldırgan, DNS ad sunucusu olarak BIND çalıştırmak üzere yapılandırılmış sistemlerde hizmet reddine neden olabilir

    Açıklama: DNS kayıtlarının işlenmesinde, ulaşılabilir bir onay sorunu tespit edildi. Bu sorun BIND'ın 9.7.6-P1 sürümüne güncellenmesi ile giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-4313

  • BIND

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1

    Etki: Uzaktaki bir saldırgan, DNS ad sunucusu olarak BIND çalıştırmak üzere yapılandırılmış sistemlerde sistemin reddine, veri bozulmasına neden olabilir veya bellekten gizli bilgi edinebilir

    Açıklama: DNS kayıtlarının işlenmesinde bellek yönetimi sorunu tespit edildi. Bu sorun, OS X Lion sistemlerinde BIND'ın 9.7.6-P1'e, OS X Mountain Lion sistemlerinde 9.8.3-P1'e güncellenmesi ile giderildi.

    CVE kimliği

    CVE-2012-1667

  • CoreText

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: CoreText kullanan uygulamalar, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine açık olabilir

    Açıklama: Metin oyuklarının ele alınmasında sınırların dışında bellek okuma ve yazmalara yol açabilen bir sınır denetleme sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. Mac OS X v10.6 veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-3716: Jesse Ruderman, Mozilla Corporation

  • Veri Güvenliği

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Güvenilir bir kök CA olan TrustWave, güvenilir köklerinden birinden bir alt CA sertifikası yayınladı ve ardından geri aldı. Bu alt CA, Transport Layer Security (TLS) tarafından güvenliği sağlanan iletişimin ele geçirilmesini kolaylaştırır. Bu güncelleme, ilgili alt CA sertifikasını OS X'in güvenilmeyen sertifikalar listesine ekler.

  • DirectoryService

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Etki: DirectoryService Proxy kullanılıyorsa, uzak bir saldırgan hizmet reddine ya da rastgele kod yürütmeye neden olabilir

    Açıklama: DirectoryService Proxy'de bir arabellek taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Lion ve Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0650: HP'nin Zero Day Initiative'i ile çalışan aazubel

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir PNG görüntüsünü görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: libpng'nin PNG görüntülerini işlemesinde birden çok bellek bozulması sorunu. Bu sorunlar, PNG görüntülerinin doğrulama işleminin iyileştirilmesiyle giderildi. OS X Mountain Lion sistemleri bu sorunlardan etkilenmez.

    CVE kimliği

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: libTIFF'in TIFF görüntülerini işlemesinde tamsayı taşması sorunu. Bu sorun, TIFF görüntülerinin doğrulanması işleminin iyileştirilmesiyle giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-1173: HP'nin Zero Day Initiative'i ile çalışan Alexander Gavrun

  • Yükleyici

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Sisteme fiziksel erişimi olan uzak yöneticiler ve kişiler hesap bilgilerini edinebilir

    Açıklama: OS X Lion 10.7.4'deki CVE-2012-0652 düzeltmesi, kullanıcı parolalarının sistem tarafından kaydedilmesini önlemekle birlikte eski günlük girişlerini kaldırmıyordu. Bu sorun, parolaları içeren günlük dosyaları silinerek giderildi. Mac OS X 10.6 veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0652

  • Uluslararası Unicode Bileşenleri

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: ICU kullanan uygulamalar, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine karşı savunmasız olabilir

    Açık: ICU yerel kimliklerinin işlenmesinde yığın arabelleği taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-4599

  • Çekirdek

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlı bir program sandbox kısıtlamalarını atlayabilir

    Tanım: Hata ayıklama sistem çağrılarının ele alınmasında bir mantık sorunu tespit edildi. Bu, aynı kullanıcı ayrıcalıklarına sahip diğer programlardaki kod yürütmeyi kazanmak için kötü amaçlı bir programa izin verebilir. Bu sorun, PT_STEP ve PT_CONTINUE'deki adreslerin işlenmesi etkisizleştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0643: iOS Jailbreak Dream Team

  • LoginWindow

    Şunlarda kullanılabilir: OS X Mountain Lion v10.8 ve v10.8.1

    Etki: Yerel bir kullanıcı, başka bir kullanıcının oturum açma parolalarını edinebilir

    Açıklama: Kullanıcı tarafından yüklenen bir giriş yöntemi, Oturum Açma Penceresi'nde ya da Ekran Koruyucu Kilit Açma'da kullanılan tuş vuruşlarını kullanarak parolayı ele geçirebilir. Bu sorun, sistem oturum açma bilgilerini işlerken kullanıcı tarafından yüklenen yöntemlerin kullanılmasını önleyerek giderildi.

    CVE kimliği

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Bir e-posta iletisini görüntülemek, web eklentilerinin yürütülmesine yol açabilir

    Açıklama: Mail'ın gömülü web eklentilerini işlemesinde bir giriş doğrulama hatası tespit edildi. Bu sorun, Mail'deki üçüncü taraf eklentilerini etkisizleştirerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-3719: CERT/CC'den Will Dormann

  • Mobil Hesaplar

    Şunlarda kullanılabilir: OS X Mountain Lion v10.8 ve v10.8.1

    Etki: Bir mobil hesabın içeriğine erişebilen bir kullanıcı, hesap parolasını edinebilir

    Açıklama: Mobil hesap oluşturmak, mobil hesap dış bir hesap olarak kullanılırken oturum açmak için kullanılan hesaptaki parolanın özetini kaydetti. Parola özeti, kullanıcının parolasını belirlemek için kullanılabilir. Bu sorun, sadece mobil hesabın oluşturulduğu sistemde dış hesaplar etkinleştirilmişse parola özetinin oluşturulmasına izin verilerek giderildi.

    CVE kimliği

    CVE-2012-3720: Harald Wagener, Google, Inc.

  • PHP

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4, OS X Mountain Lion v10.8 ve v10.8.1

    Etki: PHP'de birden çok güvenlik açığı

    Açıklama: >PHP, aralarında rastgele kod yürütmeye yol açan bir sorunun da bulunduğu birden fazla güvenlik açığını gidermek için sürüm 5.3.15'e güncellendi. Daha fazla bilgi, http://www.php.net adresindeki PHP web sitesinde bulunabilir

    CVE kimliği

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: libpng kullanan PHP betikleri, uygulamanın beklenmedik bir şekilde sona ermesine veya rastgele kod yürütmeye açık olabilir

    Açıklama: PNG dosyalarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, PHP'nin libpng kopyası sürüm 1.5.10'a güncellenerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3048

  • Profil Yöneticisi

    Şunlarda kullanılabilir: OS X Lion Server v10.7 - v10.7.4

    Etki: Kimliği doğrulanmamış bir kullanıcı, yönetilen aygıtları numaralandırabilir

    Açıklama: Aygıt Yönetimi gizli arabiriminde bir kimlik doğrulama sorunu tespit edildi. Bu sorun, arabirim kaldırılarak giderildi.

    OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-3721: Derick Cassidy, XEquals Corporation

  • QuickLook

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir .pict dosyasını görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütmeye neden olabilir

    Açıklama: .pict dosyalarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, .pict dosyalarının iyileştirilmiş doğrulamasıyla giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon), Qualys Güvenlik Açığı ve Kötü Amaçlı Yazılım Araştırma Laboratuvarları (VMRL)

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'ın sean atomlarının işlenmesinde bir tamsayı taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0670: HP'nin Zero Day Initiative'i ile çalışan Tom Gallagher (Microsoft) ve Paul Bates (Microsoft)

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Sorenson kodlanmış film dosyalarının işlenmesinde sıfırlanmamış bir bellek erişimi sorunu tespit edildi. Bu sorun, iyileştirilmiş bellek sıfırlamayla giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-3722: CERT/CC'den Will Dormann

  • QuickTime

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açık: RLE kodlu film dosyalarının işlenmesinde yığın arabelleği taşması sorunu tespit edildi. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-0668: HP'nin Zero Day Initiative'i ile çalışan Luigi Auriemma

  • Ruby

    Şunlarda kullanılabilir: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: Bir cipher suite CBC modunda bir block cipher kullandığında, SSL 3.0 ve TLS 1.0'ın gizliliğine bilinen saldırılar oluyor. Ruby OpenSSL modülü, bu saldırıları önleyen 'boş parça' karşı önlemini etkisizleştirdi. Bu sorun, boş parçalar etkinleştirilerek giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2011-3389

  • USB

    Şunlarda kullanılabilir: OS X Lion v10.7 - v10.7.4, OS X Lion Server v10.7 - v10.7.4

    Etki: Bir USB aygıtı bağlamak, sistemin beklenmedik şekilde sonlanmasına ya da rastgele kod yürütmeye yol açabilir

    Açıklama: USB hub açıklayıcılarının işlenmesinde bir bellek bozulma sorunu tespit edildi. Bu sorun, bNbrPorts açıklayıcı alanının geliştirilmiş işlenmesiyle giderildi. OS X Mountain Lion sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2012-3723: Andy Davis, NGS Secure

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: