關於 OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 和安全性更新 2012-004 的安全性內容
瞭解關於 OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 和安全性更新 2012-004 的安全性內容。
本文說明 OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 和安全性更新 2012-004 的安全性內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
OS X Mountain Lion v10.8.2、OS X Lion v10.7.5 和安全性更新 2012-004
附註:OS X Mountain Lion v10.8.2 包括 Safari 6.0.1 的內容。如需進一步詳細資訊,請參閱「關於 Safari 6.0.1 的安全性內容」。
Apache
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:Apache 有多個漏洞
說明:Apache 已更新至 2.2.22 版以解決多個漏洞,其中最嚴重的漏洞可能導致阻斷服務。如需進一步資訊,請造訪 Apache 網站:http://httpd.apache.org/。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
適用於:OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:在設為以 DNS 名稱伺服器執行 BIND 的系統中,遠端攻擊者也許能導致阻斷服務
說明:處理 DNS 記錄時存在可達到聲明的問題。藉由更新為 BIND 9.7.6-P1,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-4313
BIND
適用於:OS X Lion v10.7 至 v10.7.4、OS X Lion Server v10.7 至 v10.7.4、OS X Mountain Lion v10.8 和 v10.8.1
影響:在設為以 DNS 名稱伺服器執行 BIND 的系統中,遠端攻擊者或許能導致阻斷服務、資料損毀或從程序記憶體中取得敏感資訊
說明:處理 DNS 記錄時存在記憶體管理問題。在 OS X Lion 系統上更新為 BIND 9.7.6-P1,以及在 OS X Mountain Lion 系統上更新為 BIND 9.8.3-P1,已解決此問題。
CVE-ID
CVE-2012-1667
CoreText
適用於:OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:使用 CoreText 的應用程式容易發生應用程式意外終止或任意程式碼執行
說明:處理文字字符時,存在界限檢查問題,導致超出界限記憶體讀取或寫入。改良界限檢查機制後,已解決此問題。此問題不影響 Mac OS X v10.6 或 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-3716:Mozilla Corporation 的 Jesse Ruderman
資料安全性
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 至 v10.7.4、OS X Lion Server v10.7 至 v10.7.4、OS X Mountain Lion v10.8 和 v10.8.1
影響:具有經過授權之網路位置的攻擊者,即可攔截使用者憑證或其他敏感資訊
說明:TrustWave(可信任的根 CA)已發出,之後撤銷來自其可信任錨點之一的子 CA 憑證。這個子 CA 使傳輸層安全性(TLS)保護的通訊容易截取。這個更新已加入相關的子 CA 憑證至 OS X 的不信任憑證列表。
DirectoryService
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8
影響:若使用 DirectoryService 代理伺服器,遠端攻擊者可能導致阻斷服務或執行任意程式碼
說明:DirectoryService 代理伺服器中存在緩衝區溢位問題。改良界限檢查機制後,已解決此問題。此問題不影響 OS X Lion 和 Mountain Lion 系統。
CVE-ID
CVE-2012-0650:與 HP Zero Day Initiative 計劃合作的 aazubel
ImageIO
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的 PNG 影像時,可能導致應用程式意外終止或執行任意程式碼
說明:libpng 處理 PNG 影像時,存在多個記憶體損毀的問題。PNG 影像驗證機制已經改良,這些問題已經解決。這些問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-3026:Jüri Aedla
CVE-2011-3048
ImageIO
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的 TIFF 影像時,可能導致應用程式意外終止或執行任意程式碼
說明:libTIFF 處理 TIFF 影像時,有整數溢位的問題。TIFF 影像的驗證方式已經改善,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-1173:與 HP Zero Day Initiative 計劃合作的 Alexander Gavrun
安裝程式
適用於:OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:擁有系統實際存取權的遠端管理員與人員可能會取得帳號資訊
說明:在 OS X Lion 10.7.4 中,CVE-2012-0652 修正會防止使用者密碼記錄於系統記錄檔,但不會移除舊的記錄項目。刪除含密碼的記錄檔案後,已解決此問題。此問題不影響 Mac OS X 10.6 或 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-0652
International Components for Unicode
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:使用 ICU 的應用程式容易發生應用程式意外終止或任意程式碼執行
說明:處理 ICU 地區設定 ID 時,會發生堆疊緩衝區溢位。改良界限檢查機制後,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-4599
核心
適用於:OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:惡意程式可能避開沙箱限制
說明:處理除錯系統呼叫的方法有邏輯問題。這個問題可能讓惡意程式以相同的使用者權限,在其他程式中取得程式碼執行權限。在 PT_STEP 和 PT_CONTINUE 中,停用處理位址,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-0643:iOS Jailbreak Dream Team
LoginWindow
適用於:OS X Mountain Lion v10.8 和 v10.8.1
影響:本機使用者或許能取得其他使用者的登入密碼
說明:使用者安裝的輸入法可能從登入視窗或螢幕保護程式解除鎖定中截取密碼按鍵。在系統處理登入資訊時,阻止使用使用者安裝的輸入法後,已解決此問題。
CVE-ID
CVE-2012-3718:Lukhnos Liu
郵件
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視電子郵件訊息可能導致執行網頁外掛模組
說明:「郵件」處理內嵌網頁外掛模組時,存在輸入驗證錯誤。停用「郵件」中的協力廠商外掛模組,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-3719:CERT/CC 的 Will Dormann
Mobile 帳號
適用於:OS X Mountain Lion v10.8 和 v10.8.1
影響:可存取行動帳號的使用者可能取得帳號密碼
說明:建立行動帳號會在帳號中儲存密碼的雜湊值,當行動帳號用作外部帳號時便會用這個值來登入。密碼雜湊值可用於判斷使用者的密碼。只在建立行動帳號的系統上啟用外部帳號時,才建立密碼雜湊值,已解決此問題。
CVE-ID
CVE-2012-3720:Google, Inc. 的 Harald Wagener
PHP
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 至 v10.7.4、OS X Lion Server v10.7 至 v10.7.4、OS X Mountain Lion v10.8 和 v10.8.1
影響:PHP 有多個漏洞
說明:>PHP 已更新至 5.3.15 版以修補多個漏洞,最嚴重者可能導致任意程式碼得以執行。如需詳細資訊,請造訪 PHP 網站:http://www.php.net
CVE-ID
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:使用 libpng 的 PHP 工序指令容易發生應用程式意外終止或任意程式碼執行
說明:處理 PNG 檔案時,有記憶體損毀的問題。更新 PHP 的 libpng 為版本 1.5.10,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-3048
描述檔管理程式
適用於:OS X Lion Server v10.7 至 v10.7.4
影響:未經驗證的使用者可列舉受管裝置
說明:裝置管理私用介面存在驗證問題。移除該介面後,已解決此問題。
此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-3721:XEquals Corporation 的 Derick Cassidy
QuickLook
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的 PICT 檔案時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 .pict 檔案時,有記憶體損毀的問題。.pict 檔案驗證機制已經改良,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-0671:Qualys Vulnerability & Malware Research Labs(VMRL)的 Rodrigo Rubira Branco(twitter.com/bsdaemon)
QuickTime
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:QuickTime 處理 sean atoms 時,有整數溢位的問題。改良界限檢查機制後,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-0670:與 HP Zero Day Initiative 計劃合作的 Tom Gallagher(Microsoft)和 Paul Bates(Microsoft)
QuickTime
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 Sorenson 編碼影片檔案時,存在未初始化記憶體存取問題。記憶體初始化已經改良,此問題已經解決。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-3722:CERT/CC 的 Will Dormann
QuickTime
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 RLE 編碼影片檔案時,會發生緩衝區溢位。改良界限檢查機制後,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-0668:與 HP Zero Day Initiative 計劃合作的 Luigi Auriemma
Ruby
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:攻擊者可能得以將受到 SSL 保護的資料加以解密
說明:加密套件在 CBC 模式中使用區塊加密時,對於 SSL 3.0 和 TLS 1.0 的機密性有已知的攻擊。Ruby OpenSSL 模組會停用 'empty fragment' 對策,進而防止這些攻擊。啟用 empty fragment(空白片段)可解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2011-3389
USB
適用於:OS X Lion v10.7 到 v10.7.4、OS X Lion Server v10.7 到 v10.7.4
影響:連接 USB 裝置可能導致系統意外終止或任意執行程式碼
說明:處理 USB 集線器描述元時,有記憶體損毀的問題。bNbrPorts 描述元欄位的處理機制改良後,已解決此問題。此問題不影響 OS X Mountain Lion 系統。
CVE-ID
CVE-2012-3723:NGS Secure 的 Andy Davis
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。