NewLine; 适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8 影响:Safari 可能会存储那些配置为不接受的 cookie 说明:CFNetwork 在处理 cookie 政策时存在同步问题。Safari 的 cookie 偏好设置可能不起作用,其允许网站设置遭阻止的 cookie 是强制执行的偏好设置。此更新通过改进 对 cookie 存储的处理解决了该问题。 CVE-ID CVE-2011-0231:Martin Tessarek、Geeks R Us 的 Steve Riggins、Justin C. Walker 和 Stephen Creswell CFNetwork 适用于:OS X Lion v10.7 和 v10.7.1、OS X Lion Server v10.7 和 v10.7.1 影响:访问恶意制作的网站可能会导致敏感信息泄露 &...
Lion Server v10.7 到 v10.7.2 影响:Apache 中存在多个漏洞 说明:Apache 已更新到 2.2.21 版以解决多个漏洞,其中最严重的漏洞可能会导致服务遭拒绝。通过 Apache 网站 http://httpd.apache.org/ 可以获得进一步信息 CVE-ID CVE-2011-3348 Apache 适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7 到 v10.7.2、OS X Lion Server v10.7 到 v10.7.2 影响:攻击者或许能够解密受 SSL 保护的数据 说明:密码组在 CBC 模式中使用分组密码时存在 对 SSL 3.0 和 TLS 1.0 保密性的已知攻击。Apache 已停用阻止这些攻击的“空白碎片”对策。此问题已通过提供配置参数控制...
本文介绍了 Mac OS X v10.6.7 和安全性更新 2011-001 的安全性内容。
描述:QuickTime 在处理影片文件中的 UDTA 原子 时存在整数溢出问题。通过诱使用户访问恶意制作的影片,攻击者可以触发溢出事件,这可能会导致应用程序崩溃或任意代码执行。这一更新通过进行额外的 QuickTime 影片验证,解决了这个问题。感谢 Nevis Labs 的 Sowhat 以及为 TippingPoint 和 Zero Day Initiative 工作的匿名研究人员报告这个问题。...
描述:QuickTime 在处理图像描述 原子 时存在内存损坏问题。攻击者通过诱使用户打开恶意制作的影片文件,可能会导致应用程序意外终止或任意代码执行。此更新通过 对 QuickTime 图像描述进行额外验证解决了这个问题。由衷感谢 Adobe Systems Incorporated 的 Dylan Ashe 报告此问题。...
描述:处理“stsz” 原子 时,存在符号问题。已通过改进边界检查解决这个问题。
描述:处理数据引用 原子 时出现问题,可能导致缓冲区溢出。查看恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行。这个更新通过 对 数据引用 原子 进行额外验证解决了这个问题。感谢卡内基梅隆大学计算服务部的 Chris Ries 报告这个问题。...
描述:QuickTime 在处理 PICT 图像时存在整数溢出。打开恶意制作的 PICT 图像可能会导致应用程序意外终止或任意代码执行。这一更新通过 对 PICT 图像进行额外验证,解决了这个问题。感谢一位匿名研究人员与 iDefense VCP 合作报告这个问题。...
描述:QuickTime 在处理图像描述 原子 时存在符号扩展问题。打开恶意制作的 Apple 视频文件可能会导致应用程序意外终止或任意代码执行。这一更新通过改进 对 描述 原子 的验证,解决了这个问题。感谢 IBM Rational Application Security Research Group 的 Roee Hay 报告这个问题。...
描述:处理“dref” 原子 时存在缓冲区溢出。此问题已通过改进边界检查得到解决。
描述:处理“mvhd” 原子 时存在内存损坏问题。已通过改进边界检查解决这个问题。
描述:QuickTime 在处理 RTSP URL 时存在堆缓冲区溢出。访问恶意制作的 RTSP URL 可能会导致应用程序意外终止或任意代码执行。这一更新通过 对 RTSP URL 进行额外验证,解决了这个问题。感谢 Attila Suszter 报告这个问题。...
描述:QuickTime 解析图像描述符 (IDSC) 原子 时存在内存损坏问题。打开恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行。这个更新通过 对 影片文件中的图像描述符执行额外验证来解决此问题。感谢 TippingPoint DVLabs 的 Cody Pierce 报告这个问题。...
说明:处理 QuickTime 影片文件中的 rdrf 原子 时存在大小差一的缓冲区溢出。对于 OS X Lion 系统,此问题已在 OS X Lion v10.7.3 中得到解决。对于 Mac OS X v10.6 系统,此问题已在“安全性更新 2012-001”中得到解决。...
描述:QuickTime Player 进行“存储以供网页使用”导出时存在跨站点脚本问题。由这项功能生成的模板 HTML 文件从未加密的来源引用脚本文件。如果用户在本地查看模板文件,那么拥有特权网络地位的攻击者或许能够在本地域中注入恶意脚本。已通过移除 对 在线脚本的引用解决这个问题。这个问题不会影响 OS X Lion 系统。对于 Mac OS X v10.6 系统,这个问题已在“安全性更新 2011-006”中得到解决。...
说明:QuickTime 在处理 QTVR(QuickTime 虚拟现实)影片文件中的全景 原子 时存在内存损坏问题。查看恶意制作的 QTVR 影片文件可能会导致应用软件序意外终止或任意代码执行。此问题已通过改进 对 QTVR 影片文件的处理得到解决。感谢与 TippingPoint 的 Zero Day Initiative 合作的一位匿名研究人员报告此问题。...
描述:处理 QuickTime 影片文件中的“idsc” 原子 时存在内存损坏问题。已通过额外的边界检查解决这个问题。
描述:处理 IOKit API 参数时存在空指针取消引用问题。已通过改进 对 IOKit API 参数的验证解决这个问题。
描述:即使已启用“无痕浏览”,在退出 Safari 浏览器后,永久 Cookie 也会被存储。已通过改进 对 Cookie 的处理解决这个问题。
说明:TrustWave(信任的根 CA)已从其信任的某个锚点签发并继而撤销 子 CA 证书。该 子 CA 协助了传输层安全 (TLS) 加密通信的拦截。此更新向 OS X 不受信任的证书列表添加了涉及的 子 CA 证书。...
