Tietoja OS X Mountain Lion 10.8.5:n ja suojauspäivitys 2013-004:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.5:n ja suojauspäivitys 2013-004:n turvallisuussisällöstä.

Päivitykset voidaan ladata ja asentaa ohjelmiston päivityksen kautta tai Applen lataussivulta.

Apple haluaa suojella asiakkaitaan eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Mountain Lion 10.8.5 ja suojauspäivitys 2013-004

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia Apachessa.

    Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa sivustojen välisen komentosarjojen suorittamisen. Ongelmat on ratkaistu päivittämällä Apache versioon 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia BIND:ssä.

    Kuvaus: BIND:ssä oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa palvelun käytön estämisen. Ongelmat on ratkaistu päivittämällä BIND versioon 9.8.5-P1. CVE-2012-5688 ei vaikuta Mac OS X 10.7 -järjestelmiin.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Juurivarmenteet on päivitetty.

    Kuvaus: Järjestelmän juurivarmenteiden luettelosta on poistettu useita varmenteita ja/tai luetteloon on lisätty useita varmenteita. Järjestelmän tunnistamien juurivarmenteiden täydellistä luetteloa voidaan tarkastella Avainnippu-apin kautta.

  • ClamAV

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Vaikutus: Useita haavoittuvuuksia ClamAV:ssä.

    Kuvaus: ClamAV:ssä oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen. Päivitys korjaa ongelmat päivittämällä ClamAV:n versioon 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Saatavuus: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

    Kuvaus: PDF-tiedostojen sisältämien JBIG2-koodattujen tietojen käsittelyssä oli puskuriylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1025: Felix Groebert (Google Security Team)

  • ImageIO

    Saatavuus: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

    Kuvaus: PDF-tiedostoissa olevien JPEG2000-koodattujen tietojen käsittelyssä oli puskuriylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1026: Felix Groebert (Google Security Team)

  • Asentaja

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Pakettien avaaminen onnistui varmenteen kumoamisen jälkeen.

    Kuvaus: Asennusohjelma näytti valintaikkunan, joka mahdollisti toiminnon jatkamisen asennusohjelman havaittua kumotun varmenteen. Ongelma on ratkaistu poistamalla valinta ja hylkäämällä kaikki kumotut paketit.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Hyökkääjä saattoi saada haltuunsa IPSec Hybrid Auth -suojattuja tietoja.

    Kuvaus: IPSec Hybrid Auth -palvelimen DNS-nimeä ei verrattu varmenteessa olevaan nimeen, minkä vuoksi hyökkääjä, jolla oli hallussaan minkä tahansa palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on ratkaistu lisäämällä varmenteen asianmukainen tarkistus.

    CVE-ID

    CVE-2013-1028: Alexander Traud (www.traud.de)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Paikallisen verkon käyttäjä saattoi pystyä estämään palvelun käytön.

    Kuvaus: Kernelin IGMP-pakettien jäsentämiskoodissa ollut virheellinen tarkistus mahdollisti kernel-paniikin aiheuttamisen käyttäjälle, joka pystyi lähettämään järjestelmään IGMP-paketteja. Ongelma on ratkaistu poistamalla tarkistus.

    CVE-ID

    CVE-2013-1029: Christopher Bohn (PROTECTSTAR INC.)

  • Mobile Device Management

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Salasanat saattoivat paljastua muille paikallisille käyttäjille.

    Kuvaus: Salasana paljastui saman järjestelmän muille käyttäjille, kun salasana välitettiin asiakasohjelmalle (mdmclient) komentorivillä. Ongelma on ratkaistu välittämällä salasana putken kautta.

    CVE-ID

    CVE-2013-1030: Per Olofsson (Göteborgin yliopisto)

  • OpenSSL

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

    Kuvaus: OpenSSL:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa käyttäjän tietojen tahattoman paljastumisen. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia PHP:ssä.

    Kuvaus: PHP:ssä oli useita haavoittuvuuksia, joista vakavin saattoi mahdollistaa mielivaltaisen koodin suorittamisen. Ongelmat on korjattu päivittämällä PHP versioon 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia PostgreSQL:ssä.

    Kuvaus: PostgreSQL:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa tietojen vioittumisen tai mahdollistaa käyttöoikeuksien luvattoman laajentamisen. CVE-2013-1901 ei vaikuta OS X Lion -järjestelmiin. Päivitys korjaa ongelmat päivittämällä PostgreSQL:n versioon 9.1.9 OS X Mountain Lion -järjestelmissä ja versioon 9.0.4 OS X Lion -järjestelmissä.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Virranhallinta

    Saatavuus: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Näytönsäästäjä ei ehkä käynnistynyt määritetyn ajan kuluttua.

    Kuvaus: Järjestelmässä oli virran varmistuksen lukitukseen liittyvä ongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-tiedostoissa olevien idsc-atomien käsittelyssä oli muistinvioittumisongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1032: Jason Kratzer yhteistyössä iDefense VCP:n kanssa

  • Näytön lukitus

    Saatavuus: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Käyttäjä, jolla oli käyttöoikeus näytön jakamiseen, saattoi pystyä ohittamaan näytön lukituksen toisen käyttäjän ollessa kirjautuneena.

    Kuvaus: Näytön lukituksen näytönjakoistuntojen käsittelyssä oli istuntojen hallintaan liittyvä ongelma. Ongelma on ratkaistu parantamalla istuntojen seurantaa.

    CVE-ID

    CVE-2013-1033: Jeff Grisso (Atos IT Solutions), Sébastien Stormacq

  • sudo

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Hyökkääjä, jolla oli hallussa ylläpitäjän tili, saattoi pystyä saamaan haltuunsa root-tilin käyttöoikeudet tietämättä käyttäjän salasanaa.

    Kuvaus: Hyökkääjä saattoi järjestelmän kelloa siirtämällä saada haltuunsa root-käyttöoikeudet sudo-komennon avulla järjestelmissä, joissa sudo-komentoa oli käytetty aikaisemmin. OS X:ssä vain ylläpitäjät voivat muuttaa järjestelmän kellonaikaa. Ongelma on ratkaistu lisäämällä tarkistus virheellisen aikaleiman varalta.

    CVE-ID

    CVE-2013-1775

  • Huomautus: OS X Mountain Lion 10.8.5 korjaa myös ongelman, jossa tietyt Unicode-merkkijonot saattoivat aiheuttaa appien odottamattoman sulkeutumisen.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: