Om sikkerhedsindholdet i OS X Mountain Lion v10.8.3 og sikkerhedsopdatering 2013-001

I dette dokument beskrives sikkerhedsindholdet i OS X Mountain Lion v10.8.3 og sikkerhedsopdatering 2013-001.

OS X Mountain Lion v10.8.3 og sikkerhedsopdatering 2013-001, som kan downloades og installeres via indstillingerne for Softwareopdatering eller fra Apples side med supportdownloads.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple Produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Bemærk: Indholdet i Safari 6.0.3 indgår i OS X Mountain Lion v10.8.3. Yderligere oplysninger kan ses i artiklen Sikkerhedsindholdet i Safari 6.0.3.

OS X Mountain Lion v10.8.3 og sikkerhedsopdatering 2013-001

  • Apache

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: En hacker kan få adgang til biblioteker, der er beskyttet med HTTP-godkendelse, uden at have adgangsoplysningerne

    Beskrivelse: Der var et standardiseringsproblem med håndteringen af URI-strenge med ignorerbare sekvenser med Unicode-tegn. Problemet blev løst ved at opdatere mod_hfs_apple, så adgang til URI-strenge med ignorerbare sekvenser med Unicode-tegn forbydes.

    CVE-id

    CVE-2013-0966 : Clint Ruoho fra Laconic Security

  • CoreTypes

    Fås til: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Besøg på et skadeligt websted kan tillade Java Web Start-program startes automatisk – selv hvis Java-pluginnet er deaktiveret

    Beskrivelse: Java Web Start-programmer ville køre, selv hvis Java-pluginnet var deaktiveret. Dette blev løst ved at fjerne JNLP-arkiver fra CoreTypes-listen over sikre arkivtyper, så Web Start-programmet ikke kører, medmindre brugeren åbner det i Downloads-biblioteket.

    CVE-id

    CVE-2013-0967

  • Internationale komponenter til Unicode

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Et besøg på et skadeligt udformet websted kan medføre scripting-angreb på tværs af websteder

    Beskrivelse: Der var et standardiseringsproblem med håndteringen af EUC-JP-kodningen, som kunne føre til scripting-angreb på tværs af websteder på EUC-JP-kodede websteder. Dette problem blev løst ved at opdatere tabellen for EUC-JP-mapping.

    CVE-id

    CVE-2011-3058 : Masato Kinugawa

  • Identitetstjenester

    Fås til: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Det er muligt at omgå godkendelse, der afhænger af certifikatbaseret Apple-id-godkendelse

    Beskrivelse: Der var en behandlingsfejl i identitetstjenester. Hvis brugerens Apple-id-certifikat ikke blev bekræftet, blev det antaget, at brugerens Apple-id var den tomme streng. Hvis flere systemer, som tilhører forskellige brugere, bruger denne tilstand, kan programmer, som er baseret på denne identitetsregistrering, fejlagtigt udvide godkendelsen. Problemet blev løst ved at sikre, at NULL returneres i stedet for en tom streng.

    CVE-id

    CVE-2013-0963

  • ImageIO

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Visning af et skadeligt TIFF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i libtiff-behandlingen af TIFF-billeder. Problemet er løst ved ekstra godkendelse af TIFF-billeder.

    CVE-id

    CVE-2012-2088

  • IOAcceleratorFamily

    Fås til OS X Mountain Lion v10.8 til v10.8.2

    Effekt: Visning af et skadeligt billede kan medføre pludselig systemlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af grafikdata. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0976: En anonym programmør

  • Kernel

    Fås til OS X Mountain Lion v10.8 til v10.8.2

    Effekt: Programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Der var et problem med afsløring af oplysninger ved behandling af API'er, der har forbindelse til kerneudvidelser. Svar indeholdende en OSBundleMachOHeaders-nøgle kan have medtaget kerneadresser, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-id

    CVE-2012-3749: Mark Dowd fra Azimuth Security, Eric Monti fra Square og andre anonyme udviklere

  • Log ind-vindue

    Fås til OS X Mountain Lion v10.8 til v10.8.2

    Effekt: En hacker med adgang til tastaturet kan ændre systemkonfigurationen

    Beskrivelse: Der opstod en logisk fejl i VoiceOver's behandling af log ind-vinduet, som gjorde det muligt for en hacker med adgang til tastaturet at åbne Systemindstillinger og ændre systemkonfigurationen. Dette problem blev løst ved at undgå, at VoiceOver åbner programmer fra log ind-vinduet.

    CVE-id

    CVE-2013-0969 : Eric A. Schulman fra Purpletree Labs

  • Beskeder

    Fås til OS X Mountain Lion v10.8 til v10.8.2

    Effekt: Klik på et link i Beskeder kunne åbne et FaceTime-opkald uden bekræftelse

    Beskrivelse: Hvis der blev klikket på en FaceTime://-URL-adresse med et bestemt format i Beskeder, kunne standardbekræftelsesdialogen blive tilsidesat. Problemet er løst ved yderligere godkendelse af FaceTime://-URL-adresser.

    CVE-id

    CVE-2013-0970: Aaron Sigel fra vtty.com

  • Messages Server

    Fås til: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Effekt: En ekstern hacker kan muligvis omdirigere forbundne Jabber-beskeder

    Beskrivelse: Der var et problem i Jabber-serverens behandling af dialback-resultatbeskeder. En hacker kan muligvis få Jabber-serveren til at videregive oplysninger, der er beregnet til brugere af forbundne servere. Problemet blev løst ved hjælp af forbedret behandling af dialback-resultatbeskeder.

    CVE-id

    CVE-2012-3525

  • PDFKit

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Visning af et skadeligt udformet PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med "use after free" i behandlingen af håndskrevne noter i PDF-arkiver. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2013-0971: Tobias Klein, som arbejder for HP TippingPoints Zero Day Initiative

  • Podcast Producer Server

    Fås til: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af XML-parametre. Problemet blev løst ved at deaktivere XML-parametre i Rails-implementeringen, der bruges af Podcast Producer Server.

    CVE-id

    CVE-2013-0156

  • Podcast Producer Server

    Fås til OS X Mountain Lion v10.7 til v10.7.5

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af JSON-data. Problemet blev løst ved at skifte over til JSONGem-backend til JSON-parsing i Rails-implementeringen, der bruges af Podcast Producer Server.

    CVE-id

    CVE-2013-0333

  • PostgreSQL

    Fås til: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Effekt: Flere sårbarheder i PostgreSQL

    Beskrivelse: PostgreSQL blev opdateret til version 9.1.5 for at løse flere sikkerhedsproblemer, hvoraf det mest alvorlige kan give databasebrugere lov til at læse arkiver fra arkivsystemet med samme rettigheder som databaseserverrollekontoen. Yderligere oplysninger kan ses på PostgreSQL-webstedet på adressen http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-id

    CVE-2012-3488

    CVE-2012-3489

  • Profile Manager

    Fås til OS X Mountain Lion v10.7 til v10.7.5

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af XML-parametre. Problemet blev løst ved at deaktivere XML-parametre i Rails-implementeringen, der bruges af Profile Manager.

    CVE-id

    CVE-2013-0156

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndteringen af 'rnet'-bokse i MP4-arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2012-3756: Kevin Szkudlapski fra QuarksLab

  • Ruby

    Fås til: Mac OS X Server 10.6.8

    Effekt: En ekstern hacker kan muligvis være skyld i kørsel af vilkårlig kode, hvis et Rails-program stadig kører

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af XML-parametre. Problemet blev løst ved at deaktivere YAML og symboler i XML-parametre i Rails.

    CVE-id

    CVE-2013-0156

  • Sikkerhed

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: TURKTRUST udstedte ved en fejl flere mellemcertifikater. Dette gør det muligt for en MITM-hacker at omdirigere forbindelser og opfange brugerens adgangsoplysninger eller andre følsomme oplysninger. Problemet blev løst ved at forbyde forkerte SSL-certifikater.

  • Softwareopdatering

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5

    Effekt: En hacker med en privilegeret netværksposition kan muligvis medføre kørsel af vilkårlig kode

    Beskrivelse: Softwareopdatering gjorde det muligt for en MITM-hacker at indsætte plugin-indhold i marketingteksten, der vises i forbindelse med opdateringer. Dette kan gøre det muligt at udnytte et sårbart plugin eller muliggøre "social engineering"-angreb med brug af plugins. Problemet påvirker ikke computere med OS X Mountain Lion. Dette problem blev løst ved at forhindre indlæsning af plugins i marketingteksten WebView i Softwareopdatering.

    CVE-id

    CVE-2013-0973 : Emilio Escobar

  • Wiki Server

    Fås til OS X Mountain Lion v10.7 til v10.7.5

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af XML-parametre. Problemet blev løst ved at deaktivere XML-parametre i Rails-implementeringen, der bruges af Wiki Server.

    CVE-id

    CVE-2013-0156

  • Wiki Server

    Fås til OS X Mountain Lion v10.7 til v10.7.5

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med typecasting i Ruby on Rails' behandling af JSON-data. Problemet blev løst ved at skifte over til JSONGem-backend til JSON-parsing i Rails-implementeringen, der bruges af Wiki Server.

    CVE-id

    CVE-2013-0333

  • Fjernelse af skadelig software

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Beskrivelse: Med denne opdatering køres et værktøj, som fjerner de mest almindelige varianter af skadelig software. Hvis der findes skadelig software på computeren, vises en dialog med en meddelelse om, at den skadelige software er blevet fjernet. Der er ingen meddelelser til brugeren, hvis softwaren ikke findes på computeren.

FaceTime er ikke tilgængelig i alle lande eller områder.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: