關於 OS X Lion v10.7.2 和安全性更新 2011-006 安全性內容

本文說明 OS X Lion v10.7.2 和安全性更新 2011-006 的安全性內容。

本文說明 OS X Lion v10.7.2 和安全性更新 2011-006 的安全性內容,透過「軟體更新」偏好設定或從 Apple 下載項目下載並安裝此更新。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X Lion v10.7.2 和安全性更新 2011-006

  • Apache

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:Apache 有多個漏洞

    說明:Apache 已更新至 2.2.20 版以修補多個漏洞,最嚴重者可能導致阻斷服務。CVE-2011-0419 不會影響 OS X Lion 系統。如需進一步資訊,請參訪 Apache 網站:http://httpd.apache.org/

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • 應用程式防火牆

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:執行有惡意製作名稱的二進位檔案時,可能導致得以使用更高的權限來執行任意程式碼

    說明:「應用程式防火牆」除錯記錄時,出現格式字串漏洞。

    CVE-ID

    CVE-2011-0185:匿名回報者

  • ATS

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視或下載包含惡意製作之內嵌字體的文件可能導致執行任意程式碼

    說明:ATS 處理 Type 1 字體時,出現正負號狀態問題。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3437

  • ATS

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視或下載包含惡意製作之內嵌字體的文件可能導致執行任意程式碼

    說明:ATS 處理 Type 1 字體時,出現超出範圍的記憶體存取問題。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0229:CERT/CC 的 Will Dormann

  • ATS

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:使用 ATSFontDeactivate API 的應用程式容易發生應用程式意外終止或執行任意程式碼

    說明:ATSFontDeactivate API 中出現緩衝區溢位問題。

    CVE-ID

    CVE-2011-0230:Mozilla 的 Steven Michaud

  • BIND

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:BIND 9.7.3 有多個漏洞

    說明:BIND 9.7.3 有多個阻斷服務問題。將 BIND 更新為 9.7.3-P3 版本後,已解決這些問題。

    CVE-ID

    CVE-2011-1910

    CVE-2011-2464

  • BIND

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:BIND 有多個漏洞

    說明:BIND 有多個阻斷服務問題。將 BIND 更新為 9.6-ESV-R4-P3 版本後,已解決這些問題。

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    CVE-2011-2464

  • 憑證信任規則

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1。

    影響:根憑證已更新

    說明:已在系統根列表中新增多項受信任憑證。多項現有憑證已更新至其最新版本。您可以透過「鑰匙圈存取」應用程式檢視已辨識的系統根完整列表。

  • CFNetwork

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Safari 可能儲存未設為接受的 Cookie

    說明:CFNetwork 處理 Cookie 規則時,出現同步問題。可能不會遵照 Safari 的 Cookie 偏好設定,其允許網站設定遭封鎖的 Cookie 是強制執行的偏好設定。這項更新改進了 Cookie 儲存的處理機制,已解決此問題。

    CVE-ID

    CVE-2011-0231:Martin Tessarek、Geeks R Us 的 Steve Riggins、Justin C. Walker 和 Stephen Creswell

  • CFNetwork

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:瀏覽惡意製作的網站可能導致敏感資訊外洩

    說明:CFNetwork 處理 HTTP Cookie 時出現問題。存取惡意製作的 HTTP 或 HTTPS URL 時,CFNetwork 會誤傳網域的 Cookie 給該網域外的伺服器。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3246:Facebook 的 Erling Ellingsen

  • CoreFoundation

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的網站或電子郵件訊息可能導致應用程式意外終止或執行任意程式碼

    說明:CoreFoundation 處理字串權杖化時,出現記憶體損毀的問題。此問題不會影響 OS X Lion 系統。這項更新改進了界限檢查機制,已解決此問題。

    CVE-ID

    CVE-2011-0259:Apple

  • CoreMedia

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:參訪惡意製作的網站可能導致其他網站的視訊資料外洩

    說明:CoreMedia 處理跨網站轉址時,出現跨來源問題。改進來源追蹤機制後,已解決此問題。

    CVE-ID

    CVE-2011-0187:Nirankush Panchbhai 和 Microsoft Vulnerability Research(MSVR)

  • CoreMedia

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案時,出現多個記憶體損毀問題。這些問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0224:Apple

  • CoreProcesses

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:接觸到系統的人可能可以部分略過螢幕鎖定

    說明:當螢幕鎖定時出現的系統視窗(如 VPN 密碼提示),可能會接受按鍵,但螢幕仍在鎖定狀態。阻止系統視窗在螢幕鎖定時要求按下按鍵後,已解決此問題。。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-0260:華盛頓大學的 Clint Tseng、Michael Kobb 和 Adam Kemp

  • CoreStorage

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:轉換至 FileVault 時不會清除所有的現有資料

    說明:啟用 FileVault 後,在啟動卷宗時,磁碟區上未用區域中,大約有 250 MB 會保留在未加密狀態。只有啟用 FileVault 前,存在於卷宗上的資料才會保留為未加密。在啟用 FileVault 時,於初次使用受此問題影響的加密卷宗上清除此區域,已解決此問題。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3212:ATC-NY 的 Judson Powers

  • 檔案系統

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:具有權限之網路位置的攻擊者可操控 HTTPS 伺服器憑證,導致敏感資訊外洩

    說明:處理 HTTPS 伺服器上的 WebDAV 卷宗時出現問題。如果伺服器出示的憑證鏈無法自動進行驗證,就會出現警告,並且關閉連線。如果使用者按一下警告對話框內的「繼續」按鈕,之後連接該伺服器時便會接受任何憑證。具有權限之網路位置的攻擊者可能已經操控該連線以取得敏感資訊,或是代替使用者對伺服器採取動作。這項更新會驗證第二個連線上接收到的憑證是否與原先提供給使用者的憑證相同,已解決此問題。

    CVE-ID

    CVE-2011-3213:Apple

  • IOGraphics

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:接觸到系統的人可能可以略過螢幕鎖定

    說明:搭配 Apple Cinema Display 使用時,出現螢幕鎖定的問題。從睡眠中喚醒需要輸入密碼時,如果系統處於顯示器睡眠模式,則接觸到系統的人可能可以存取系統,而不用輸入密碼。這項更新會確認顯示器睡眠模式下鎖定螢幕是否已正確啟用,已解決此問題。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-3214:Apple

  • iChat 伺服器

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:遠端攻擊者可能導致 Jabber 伺服器不成比例地耗用系統資源

    說明:在 jabberd2 中,即 Extensible Messaging and Presence Protocol(XMPP)通訊協定的伺服器,處理 XML 外部實體時出現問題。jabberd2 會在傳入要求中展開實體。這會讓攻擊者極快地耗用系統資源,對伺服器合法使用者阻斷服務。這項更新會在傳入要求中停用實體展開,已解決此問題。

    CVE-ID

    CVE-2011-1755

  • 核心

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:接觸到系統的人可能可以存取使用者的密碼

    說明:核心的 DMA 保護中的邏輯錯誤,會在登入視窗、開機和關機時允許 Firewire DMA,儘管不是在螢幕鎖定狀態下也是如此。這項更新會在使用者未登入的任何狀態下,防止 Firewire DMA,已解決此問題。

    CVE-ID

    CVE-2011-3215:Passware, Inc.

  • 核心

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:沒有權限的使用者可能可以在共享目錄中刪除另一位使用者的檔案

    說明:核心處理具有黏著位元的目錄中的檔案刪除作業時,出現邏輯錯誤。

    CVE-ID

    CVE-2011-3216:Crywolf 的 Gordon Davisson、Linc Davis、R. Dormer,以及 brainworks Training 的 Allan Schmid 和 Oliver Jeckel

  • libsecurity

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的網站或電子郵件訊息可能導致應用程式意外終止或執行任意程式碼

    說明:剖析非標準憑證撤銷列表延伸時,出現錯誤處理問題。

    CVE-ID

    CVE-2011-3227:Virginia Tech 的 Richard Godbee

  • Mailman

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Mailman 2.1.14 有多個漏洞

    說明:Mailman 2.1.14 有多個跨網站指令碼問題。改進 HTML 輸出中的字元編碼後,已解決這些問題。如需進一步資訊,請參訪 Mailman 網站:http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0707

  • MediaKit

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:開啟惡意製作的磁碟映像檔可能導致應用程式意外終止或執行任意程式碼

    說明:處理磁碟映像檔時,出現多個記憶體損毀的問題。這些問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-3217:Apple

  • Open Directory

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:任何使用者可讀取另一位本機使用者的密碼資料

    說明:Open Directory 有存取控制問題。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3435:Dreyer Network Consultants, Inc 的 Arek Dreyer,以及 defenseindepth.net 的 Patrick Dunstan

  • Open Directory

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:驗證過的使用者可能在沒有提供目前密碼的情況下,更改該帳號的密碼

    說明:Open Directory 有存取控制問題。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3436:defenceindepth.net 的 Patrick Dunstan

  • Open Directory

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:使用者可能可以不用密碼就登入

    說明:當 Open Directory 使用 RFC2307 或自訂對應綁定到 LDAPv3 伺服器時,該情況下使用者沒有 AuthenticationAuthority 屬性,可能會允許 LDAP 使用者不輸入密碼就直接登入。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3226:德州大學奧斯丁分校的 Jeffry Strunk、科羅拉多梅薩大學的 Steven Eppler、Hugh Cole-Baker 以及結構生物學研究所的 Frederic Metoz

  • PHP

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的 PDF 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:FreeType 處理 Type 1 字體時,出現正負號狀態問題。將 FreeType 更新為版本 2.4.6 後,已解決此問題。此問題不會影響 OS X Lion 之前的系統。如需進一步資訊,請參訪 FreeType 網站:http://www.freetype.org/

    CVE-ID

    CVE-2011-0226

  • PHP

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:libpng 1.4.3 有多個漏洞

    說明:libpng 已更新至 1.5.4 版以修補多個漏洞,最嚴重者可能導致執行任意程式碼。如需進一步資訊,請參訪 libpng 網站:http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:PHP 5.3.4 有多個漏洞

    說明:PHP 已更新至 5.3.6 版以修補多個漏洞,最嚴重者可能導致執行任意程式碼。此問題不會影響 OS X Lion 系統。如需進一步資訊,請參訪 PHP 網站:http://www.php.net/

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Postfix 有多個漏洞

    說明:Postfix 已更新至 2.5.14 版以修補多個漏洞,最嚴重者可能會允許具有權限之網路位置的攻擊者操控郵件連線作業,以取得加密流量中的敏感資訊。這些問題理應不會影響 OS X Lion 系統。如需進一步資訊,請參訪 Postfix 網站:http://www.postfix.org/announcements/postfix-2.7.3.html

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:python 有多個漏洞

    說明:python 有多個漏洞,最嚴重者可能導致執行任意程式碼。這項更新會套用 python 專案提供的修補程式,已解決這些問題。如需進一步資訊,請參閱 python 網站:http://www.python.org/download/releases/

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:QuickTime 處理影片檔案時,出現多個記憶體損毀問題。

    CVE-ID

    CVE-2011-3228:Apple

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案中的 STSC 單元時,出現堆積緩衝區溢位。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0249:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Matt 'j00ru' Jurczyk

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案中的 STSS 單元時,出現堆積緩衝區溢位。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0250:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Matt 'j00ru' Jurczyk

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案中的 STSZ 單元時,出現堆積緩衝區溢位。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0251:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Matt 'j00ru' Jurczyk

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案中的 STTS 單元時,出現堆積緩衝區溢位。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-0252:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Matt 'j00ru' Jurczyk

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:具有權限之網路位置的攻擊者可能在檢視範本 HTML 時,將指令碼注入本機網域

    說明:QuickTime Player 執行「儲存供網頁使用」輸出時,出現跨網站指令碼問題。這項功能所產生的範本 HTML 檔案會參照非加密來源中的指令碼檔案。具有權限之網路位置的攻擊者可能在使用者從本機檢視範本時,將惡意指令碼注入本機網域。移除線上指令碼的參照後,已解決此問題。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-3218:vtty.com 的 Aaron Sigel

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:QuickTime 處理 H.264 編碼影片檔案時,出現緩衝區溢位。

    CVE-ID

    CVE-2011-3219:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Damian Put

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的影片檔案可能會導致記憶體內容外洩

    說明:QuickTime 處理影片檔案內的 URL 資料控制碼時,出現未初始化記憶體存取問題。

    CVE-ID

    CVE-2011-3220:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Luigi Auriemma

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:QuickTime 處理電影檔內的單元階層時,出現實作問題。

    CVE-ID

    CVE-2011-3221:與 TippingPoint 的 Zero Day Initiative 計劃合作的匿名研究員

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的 FlashPix 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:QuickTime 處理 FlashPix 檔案時,出現緩衝區溢位。

    CVE-ID

    CVE-2011-3222:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Damian Put

  • QuickTime

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:QuickTime 處理 FLIC 檔案時,出現緩衝區溢位。

    CVE-ID

    CVE-2011-3223:與 TippingPoint 的 Zero Day Initiative 計劃合作的 Matt 'j00ru' Jurczyk

  • SMB 檔案伺服器

    適用於:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:訪客使用者可瀏覽共享檔案夾

    說明:SMB 檔案伺服器有存取控制問題。停用訪客存取檔案夾的共享點記錄,會防止「_unknown」使用者瀏覽共享點,但無法防止訪客(使用者「nobody」)。套用存取控制至訪客使用者後,已解決此問題。此問題不會影響 OS X Lion 之前的系統。

    CVE-ID

    CVE-2011-3225

  • Tomcat

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:Tomcat 6.0.24 有多個漏洞

    說明:Tomcat 已更新至 6.0.32 版以修補多個漏洞,最嚴重者可能導致跨網站指令碼攻擊。僅 Mac OS X Server 伺服器提供 Tomcat。此問題不會影響 OS X Lion 系統。如需進一步資訊,請參訪 Tomcat 網站:http://tomcat.apache.org/

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • 使用者文件

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8

    影響:具有權限之網路位置的攻擊者可能會操控 App Store 的輔助說明內容,進而導致執行任意程式碼

    說明:App Store 輔助說明內容已透過 HTTP 而更新。這項更新會透過 HTTPS 更新 App Store 輔助說明內容,已解決此問題。此問題不會影響 OS X Lion 系統。

    CVE-ID

    CVE-2011-3224:vtty.com 的 Aaron Sigel 和 Brian Mastenbrook

  • 網頁伺服器

    適用於:Mac OS X Server v10.6.8

    影響:用戶端可能無法存取需要摘要認證的 Web 服務

    說明:已解決處理 HTTP 摘要認證的問題。當伺服器設定應該已允許存取時,使用者可能遭拒絕存取伺服器的資源。這問題不代表安全風險,在簡化更強認證機制的使用後,已解決此問題。執行 OS X Lion Server 的系統不會受到此問題的影響。

  • X11

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1

    影響:libpng 有多個漏洞

    說明:libpng 有多個漏洞,最嚴重者可能導致執行任意程式碼。將 libpng 更新為版本 1.5.4(在 OS Lion 系統上)以及更新為 1.2.46(在 Mac OS X v10.6 系統上)後,已解決這些問題。如需進一步資訊,請參訪 libpng 網站:http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: