Apple jako součást upgradu Mac OS X 10.7 uvolnil také bezpečnostní aktualizace. Bohužel kvalita informací, které Apple prezentoval nebyla příliš dobrá. Pokud se podíváte na originál, zjistíte, že se jen v seznamu vyřešených chyb objevuje více položek, které řeší stejný problém. Typicky libpng, které se objevuje jak v PHP, tak X11. Podívejme se však, co vše Apple stihl opravit.
Apache
- Pro: Mac OS X 10.6.8, 10.7, 10.7.1 - klient i server
- Dopad: Více bezpečnostních chyb v Apachi
- Popis: Apache je aktualizován na verzi 2.2.20, která řeší řadu chyb, nejvážnější vede k přerušení služby. CVE-2011-0419 se netýká OS X Lion. Další informace na stránkách http://httpd.apache.org/
- CVE-ID: CVE-2011-0419,CVE-2011-3192
- Komentář: Na chybu CVE-2011-3192 upozorňovala open source komunita od 28.8.2011. A to zejména kvůli tomu, že existuje nástroj, který tu chybu zneužívá. Apple tak trvalo měsíc a půl, než chybu záplatoval.
Aplikační firewall
- Pro: Mac OS X 10.6.8, 10.7, 10.7.1 - klient i server
- Dopad: Spuštění binární aplikace s upraveným jménem může vést ke zvýšení práv
- Popis: V záznamech činnosti Aplikačního firewallu se objevila chyba při zpracování formátovaného textového řetězceA format string vulnerability existed in Application Firewall's debug logging.
- CVE-ID: CVE-2011-0185 : anonymní zdroj
ATS
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení dokumentu s vloženým písmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Při práci s ATS písmy se objevila chyba s chybějícím podpisem. Problém se neobjevuje před OS X 10.7.
- CVE-ID: CVE-2011-3437
- Pro: Mac OS X 10.7, 10.7.1 - klient i server
- Dopad: Zobrazení dokumentu s vloženým písmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Při práci s ATS písmy se objevila chyba se zápisem mimo vyhrazený prostor paměti
- CVE-ID: CVE-2011-0229 : Will Dormann z CERT/CC
- Pro: Mac OS X 10.6.8,10.7, 10.7.1 - klient i server
- Dopad: Aplikace, která používá ATSFontDeactivate API může být náchylná k pádu aplikace
- Popis: Chyba přetečení bufferu v ATSFontDeactivate API
- CVE-ID: CVE-2011-0230 : Steven Michaud z Mozilly
BIND
- Pro: Mac OS X 10.7, 10.7.1 - klient i server
- Dopad: Více chyb v BIND
- Popis: Více chyb přerušení služby v BIND. Problémy byly vyřešeny aktualizací na verzi 9.6-ESV-R4-P3
- CVE-ID: CVE-2011-1910,CVE-2011-2464
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Více chyb v BIND
- Popis: Více chyb přerušení služby v BIND. Problémy byly vyřešeny aktualizací na verzi 9.6-ESV-R4-P3
- CVE-ID: CVE-2009-4022,CVE-2010-0097,CVE-2010-3613,CVE-2010-3614,CVE-2011-1910,CVE-2011-2464
Certificate Trust Policy
- Pro: Mac OS X 10.6.8,10.7, 10.7.1 - klient i server
- Dopad: Aktualizace Root certifikátů
- Popis: Několik nových certifikačních autorit bylo přidáno do seznamu kořenových certifikátů. Další certifikáty byly aktualizovány na nejnovější verzi. Kompletní seznam aktuálních certifikátů může být zobrazen přes Keychain Access aplikaci
CFNetwork
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Safari mohlo ukládat cookies, které nemělo akceptovat
- Popis: Při práci CFNetwork s cookies docházelo k problému se synchronizací. Nastavení cookie v Safari nemusel být akceptováno, což mohlo dovolit www stránkám aby nastavilo cookie, které by nemělo být povoleno. Aktualizace řeší problém lepší prací se ukládacím prostorem pro cookie.
- CVE-ID: CVE-2011-0231 - Martin Tessarek, Steve Riggins z Geeks R Us, Justin C. Walker a Stephen Creswell
- Pro: Mac OS X 10.7 10.7.1 - klient i server
- Dopad: Navštívení upravené www stránky může vést k prozrazení důvěrných informací
- Popis: CFNetwork obsahoval chybu při práci s HTTP cookies. Po přístupu na speciálně upravené HTTP nebo HTTPS url, CFNetwork mohl nesprávně odeslat cookies pro doménu serveru mimo doménu. Problém se neobjevuje před OS X Lionem.
- CVE-ID: CVE-2011-3246: Erling Ellingsen z Facebooku
CoreFoundation
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení upravené www stránky nebo emailové zprvy může vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Při práci s tokenizací řetězce se objevuje poškození paměti. Problém se neobjevuje před OS X Lionem. Aktualizace řeší problém lepší kontrolou hranic.
- CVE-ID: CVE-2011-0259 - Apple
CoreMedia
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Navštívením upravené stránky může vést k prozrazení video dat z jiné
- Popis: Při práci s Cross-site redirecty v CoreMedia může dojít problém s cross-origin. Problém je vyřešen lepší sledováním původních dat
- CVE-ID: CVE-2011-0187 - Nirankush Penchbhai a Microsoft Vulnerability Research (MSVR)
- Pro: Mac OS X 10.6,10.6.8- klient i server
- Dopad: Zobrazení upraveného filmového souboru může vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Při práci s QuickTime filmy mohlo dojít k více chybám poškození pamětí. Problém se neobjevuje na OS X Lion systémech
- CVE-ID: CVE-2011-0224 : Apple
CoreProcesses
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Osoba s fyzickým přístupem k systému může částečně obejít uzamčení obrazovky
- Popis: Systémová okna, jako například VPN dialog pro vkládání hesla, se může objevit, zatímco je uzamčená obrazovka. Tento dialog pak může akceptovat stisknutí kláves i přestože je obrazovka uzamčena. Problém byl vyřešen tím, že se zabránilo tomu, aby systémová okna akceptovali vstupy při zamčené obrazovce.
- CVE-ID: CVE-2011-0260 : Clint Tseng z University of Washington, Michael Kobb, a Adam Kemp
CoreStorage
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Konverze na FileVault nesmaže všechna data
- Popis: Po zapnutí FileVault asi 250MB na počátku disku zůstává nezakódováno v nepoužité oblasti. Pouze data, která jsou na disku před FileVault zůstaly nezakódované. Problém byl vyřešen smazáním dat před povolení FileVault a po prvním použití kódovaného disku, který má tento problém. Problém se neobjevuje před Mac OS X 10.7.
- CVE-ID: CVE-2011-3212 : Judson Powers z ATC-NY
File Systems
- Pro: Mac OS X 10.6.8.10.7,10.7.1- klient i server
- Dopad: Útočnik na privilegované síti může být v pozici umožňující manipulovat s HTTPS serverovými certifikáty, což by mohlo vést k prozrazení informací.
- Popis: Problém se objevil na WebDAV discích, používajících HTTPS servery. Pokud server prezentuje certifikát, který nemůže být automaticky ověřen, je zobrazeno varování a spojení je ukončeno. Pokud uživatel klepnul na "Pokračovat", jakýkoliv certifikát byl akceptován v dalším připojení na server. Útočník na privilegované síti tak mohl změnit certifikát na serveru nebo se prezentovat jiným. Aktualizace řeší problém kontrolou, zda certifikát obdržený při prvním spojení je stejný, jako při dalším připojení k serveru.
- CVE-ID: CVE-2011-3213 : Apple
IOGraphics
- Pro: Mac OS X 10.6.8- klient i server
- Dopad: Osoba s fyzickým přístupem k systému může obejít uzamčení obrazovky
- Popis: Při uzamčení obrazovky na počítači s Apple Cinema Displejem dochází k problému. Pokud je vyžadováno heslo po probuzení ze spánku, osoba s fyzickým přístupem může být schopna přistupovat k systému bez vložení hesla, pokud je systém v režimu uspané obrazovky. Aktualizace řeší problém zajištěním, že uzamčení obrazovky je správně aktivováno v režimu uspané obrazovky. Problém se neobjevuje v Mac OS X 10.7.
- CVE-ID: CVE-2011-3214 : Apple
iChat Server
- Pro: Mac OS X 10.6.8,10.7,10.7.1- klient i server
- Dopad: Vzdálený útočník může způsobit, že Jabber server bude potřebovat neúměrně mnoho systémových zdrojů
- Popis: Problém byl ve zpracování XML eterních entit v jabberd2, serveru pro XMPP (Extensible Messaging and Presence Protocol). jabberd2 rozšiřuje externí entity v příchozích požadavcích. To dovoluje útočníkovi velmi rychle využívat systémové zdroje a zabránit legitimním uživatelům se připojit. Problém je řešen zákazem rozšiřování externích entit v příchozích požadavcích.
- CVE-ID: CVE-2011-1755
Kernel
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Osoba s fyzickým přístupem k počítači může být schopna zjistit uživatelské heslo.
- Popis: Logická chyba v DMA (Direct memory access - přímý přístup k paměti) umožňovala, aby fireware přistupoval k paměti při otevřeném přihlašovacím okně, startu nebo vypínání (nikoliv při zamknuté obrazovce). Aktualizace řeší problém zákazem DMA ve stavech, kdy uživatel není přihlášen.
- CVE-ID: CVE-2011-3215 : Passware, Inc.
Kernel
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Neprivilegovaný uživatel mohl být schopen smazat soubory jiného uživatele ve sdílené složce
- Popis: Při práci s mazáním souborů se objevila logická chyba při mazání v adresářích se sticky bitem.
- CVE-ID: CVE-2011-3216 : Gordon Davisson z Crywolf, Linc Davis, R. Dormer, Allan Schmid a Oliver Jeckel z brainworks Training
libsecurity
- Pro: Mac OS X 10.7,10.7.1- klient i server
- Dopad: Zobrazení upravené www stránky nebo emailu mohlo vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Chyba při zpracování nestandardního seznamu odvolaných certifikátů
- CVE-ID: CVE-2011-3227 : Richard Godbee z Virginia Tech
Mailman
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Více chyb v aplikaci Mailman 2.1.14
- Popis: Více cross-site scripting problémů v aplikaci Mailman. Problém je vyřešen lepším kódováním znaků v HTML výstupu. Další informace jsou k dispozici na stránkách Mailman na adrese http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html . Problém se neobjevuje u Mac OS X 10.7.
- CVE-ID: CVE-2011-0707
MediaKit
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Otevření upraveného diskového obrazu může vést k pádu aplikace nebo spuštění nežádoucího kódu.
- Popis: Více chyb poškození paměti při práci s diskovými obrazy může způsobit pád aplikace. Problém se neobjevuje u Mac OS X 10.7.
- CVE-ID: CVE-2011-3217 : Apple
Open Directory
- Pro: Mac OS X 10.7,10.7.1 - klient i server
- Dopad: Každý uživatel může číst hesla jiného lokálního uživatele
- Popis: V aplikaci dochází k problémům s přístupem. Problém se neobjevuje před OS X 10.7.
- CVE-ID: CVE-2011-3435 : Arek Dreyer z Dreyer Network Consultants, Inc, a Patrick Dunstan z defenseindepth.net
Open Directory
- Pro: Mac OS X 10.7,10.7.1 - klient i server
- Dopad: autorizovaný uživatele může změnit heslo účtu bez znalosti aktuálního hesla
- Popis: V aplikaci dochází k problémům s přístupem. Problém se neobjevuje před OS X 10.7.
- CVE-ID: CVE-2011-3436: Patrick Dunstan z defenseindepth.net
Open Directory
- Pro: Mac OS X 10.7,10.7.1 - klient i server
- Dopad: uživatel se mohl přihlást bez hesla
- Popis: Pokud je Open Directory připojeno k LDAPv3 serveru pomocí RFC2307 nebo vlastního mapování, ve kterém není uveden atribut AuthenticationAuthority pro uživatele, LDAP uživatel může být pak přihlášen bez hesla. Problém se neobjevuje na systémech před OS X 10.7.
- CVE-ID: CVE-2011-3226 : Jeffry Strunk z The University of Texas v Austinu, Steven Eppler z Colorado Mesa University, Hugh Cole-Baker, a Frederic Metoz z Institut de Biologie Structurale
- Pro: Mac OS X 10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného PDF souboru může vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Při práci s FreeType Type 1 písmy se objevil problém s chybějícím podpisem. Problém je vyřešen aktualizací FreeType na verzi 2.4.6. Problém se neobjevuje na systémech před 10.7. Další informace jsou na stránkách http://www.freetype.org/.
- CVE-ID: CVE-2011-0226
libpng
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Více chyb v libpng 1.4.3
- Popis: libpng bylo aktualizováno na verzi 1.5.4 aby vyřešilo řadu bezpečnostních chyb, nejvážnější vede ke spuštění nežádoucího kódu. Další informace jsou na stránkách libpng http://www.libpng.org/pub/png/libpng.html
- CVE-ID: CVE-2011-2690, CVE-2011-2691, CVE-2011-2692
PHP
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Více chyb v PHP 5.3.4
- Popis: PHP je aktualizováno na verzi 5.3.6 aby se vyřešila řada problém, nejvážnější vede ke spuštění nežádoucího kódu. Problém se neobjevuje u OS X 10.7. Další informace jsou na stránkách PHP http://www.php.net/
- CVE-ID: CVE-2010-3436, CVE-2010-4645, CVE-2011-0420, CVE-2011-0421, CVE-2011-0708, CVE-2011-1092, CVE-2011-1153, CVE-2011-1466, CVE-2011-1467, CVE-2011-1468, CVE-2011-1469, CVE-2011-1470, CVE-2011-1471
postfix
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Útočník s privilegovaným místem na síti může manipulovat s mailovými relacemi, což může vést k prozrazení sensitivních informací
- Popis: V postfixu existovala logická chyba při práci se STARTSSL příkazem. Po obdržení STARTSSL příkazu, mohl postifx zpracovávat další příkazy v obyčejném textu. Útočník na privilegované síti může být v pozici manipulovat s mailovými relacemi, aby získal sensitivní informace ze šifrovaného spojení. Aktualizace řeší problém vyčištěním příkazové fronty pro zpracování příkazu STARTSSL. Problém se neobjevuje na 10.7. Další informace jsou na stránkách postfixu http://www.postfix.org/announcements/postfix-2.7.3.html
- CVE-ID: CVE-2011-0411
python
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Více chyb v pythonu
- Popis: Více chyb v pythonu, nejvážnější vede ke spuštění nežádoucího kódu. Aktualizace řeší problém aplikací patche z projektu pythonu. Další informace jsou k dispozici na stránkách pythonu http://www.python.org/download/releases/
- CVE-ID: CVE-2010-1634, CVE-2010-2089, CVE-2011-1521
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Více chyb poškození paměti při práci s filmy QuickTime
- CVE-ID: CVE-2011-3228 : Apple
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s STSC atomy v QuickTime filmu. Problém se neobjevuje na OS X 10.7
- CVE-ID: CVE-2011-0249 : Matt 'j00ru' Jurczyk pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s STSC atomy v QuickTime filmu. Problém se neobjevuje na OS X 10.7
- CVE-ID: CVE-2011-0250 : Matt 'j00ru' Jurczyk pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s STSC atomy v QuickTime filmu. Problém se neobjevuje na OS X 10.7
- CVE-ID: CVE-2011-0251 : Matt 'j00ru' Jurczyk pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s STSC atomy v QuickTime filmu. Problém se neobjevuje na OS X 10.7
- CVE-ID: CVE-2011-0252 : Matt 'j00ru' Jurczyk pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Útočník na privilegovaném místě v síti může vložit skript do lokální domény, při zobrazení templatu v HTML
- Popis: V exportu Save for Web u QuickTime přehrávače může dojít ke cross-site scripting chybě. HTML template generovaný pomocí této funkce odkazoval na skript, který nepochází z šifrovaného prostředí. Útočník tak může vložit upravený skript do lokální domény, pokud uživatel zobrazuje soubor lokálně. Problém je vyřešen smazáním odkazu na online skript.
- CVE-ID: CVE-2011-3218 : Aaron Sigel z vtty.com
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s H.264 filmy
- CVE-ID: CVE-2011-3219 : Damian Put pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit zobrazení obsahu paměti
- Popis: Při zpracování URL z filmu. může dojít k přístup k neinicializované paměti
- CVE-ID: CVE-2011-3219 : Luigi Auriemma pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného souboru s filmem může způsobit pád aplikace a spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s STSC atomy v QuickTime filmu. Problém se neobjevuje na OS X 10.7
- CVE-ID: CVE-2011-3221 : anonymní výzkumník pracující pro TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného souboru FlashPix, může vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci FlashPix soubory
- CVE-ID: CVE-2011-3222 : Damian Put pracující s TippingPoint's Zero Day Initiative
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Zobrazení upraveného filmového souboru, může vést k pádu aplikace nebo spuštění nežádoucího kódu
- Popis: Chyba přetečení bufferu při práci s FLIC soubory
- CVE-ID: CVE-2011-3223 : Matt 'j00ru' Jurczyk z TippingPoint's Zero Day Initiative
SMB File Server
- Pro: Mac OS X 10.6.8,10.7,10.7.1 - klient i server
- Dopad: Host může prohlížet sdílené soubory
- Popis: Chyba s ovládáním přístupu v SMB File Serveru. Zákaz přistupu pro hosty zakáže _neznámé uživatele, ale nezakáže hosty (uživatel nobody). Problém je vyřešen aplikování kontroly na uživatele host. Problém se neobjevuje před OS X 10.7.
- CVE-ID: CVE-2011-3225
Tomcat
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Více chyb v Tomcatu 6.0.24
- Popis: Tomcat byl aktualizován na verzi 6.0.32 aby se vyřešila řada bezpečnostních chyb, z nichž nejvážnější vedla ke cross site skripting útoku. Tomcat je poskytován pouze na serverových verzích Mac OS X. Problém se neobjevuje na OS X Lion. Další informace jsou na stránkách tomcatu http://tomcat.apache.org/
- CVE-ID: CVE-2010-1157, CVE-2010-2227, CVE-2010-3718, CVE-2010-4172, CVE-2011-0013, CVE-2011-0534
User Documentation
- Pro: Mac OS X 10.6.8 - klient i server
- Dopad: Útočník na privilegované síťové pozici může manipulovat s obsahem nápovědy pro App Store, což může vést ke spuštění kódu
- Popis: Nápověda App Store je aktualizována pomocí HTTP. Aktualizace řeší problém aktualizací App Store pomocí HTTPS. Problém se neobjevuje na OS X 10.7.
- CVE-ID: CVE-2011-3224 : Aaron Sigel z vtty.com a Brian Mastenbrook
Web Server
- Pro: Mac OS X 10.6.8 - server
- Dopad: Klienti se nemusí dostat na www stránky, které vyžadují digest authentifikaci
- Popis: Problém při zpracování HTTP Digest authentifikace byl vyřešen. Uživatelé mohli mít zakázaný přístup npa serverové zdroje i když to serverová konfigurace dovolovala. Problém nezpůsobuje bezpečnostní riziko a byl vyřešen využitím lepšího authentizačního mechanismu. Systémy s OS X Lion Serverem nejsou problémem zasaženy.