Tietoja OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n turvallisuussisällöstä.
OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Huomautus: OS X Mountain Lion 10.8.3 sisältää Safari 6.0.3:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.3:n turvallisuussisällöstä.
OS X Mountain Lion 10.8.3 ja suojauspäivitys 2013-001
Apache
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Hyökkääjä saattoi päästä HTTP-todennuksella suojattuihin hakemistoihin tietämättä oikeita tunnistetietoja.
Kuvaus: Ohitettavia Unicode-merkkijonoja sisältävien URI:en käsittelyssä oli kanonisointiongelma. Ongelma ratkaistiin päivittämällä mod_hfs_apple kieltämään URI:t, joissa on ohitettavia Unicode-merkkijonoja.
CVE-ID
CVE-2013-0966 : Clint Ruoho (Laconic Security)
CoreTypes
Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisella verkkosivustolla käyminen saattoi sallia Java Web Start -sovelluksen automaattisen käynnistymisen, vaikka Java-liitännäinen oli poistettu käytöstä.
Kuvaus: Java Web Start -sovellukset toimivat, vaikka Java-liitännäinen oli poistettu käytöstä. Ongelma ratkaistiin poistamalla JNLP-tiedostot CoreTypesin turvallisten tiedostotyyppien luettelosta, jolloin Web Start -sovellus ei käynnisty, ellei käyttäjä avaa sitä Lataukset-hakemistosta.
CVE-ID
CVE-2013-0967
Maakohtaiset Unicode-komponentit
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.
Kuvaus: EUC-JP-koodauksessa oli kanonisointiongelma, joka saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen EUC-JP-koodatuilla verkkosivustoilla. Ongelma ratkaistiin päivittämällä EUC-JP-kartoitustaulukko.
CVE-ID
CVE-2011-3058: Masato Kinugawa
Identiteettipalvelut
Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Varmennepohjaiseen Apple ID -todennukseen luottava todennus saatettiin ohittaa.
Kuvaus: Identiteettipalveluissa oli virheenkäsittelyongelma. Jos käyttäjän Apple ID -varmenteen vahvistus epäonnistui, käyttäjän Apple ID:n oletettiin olevan tyhjä merkkijono. Jos eri käyttäjille kuuluvat useat järjestelmät siirtyivät tähän tilaan, tähän identiteetin määrittämiseen luottavat sovellukset saattoivat virheellisesti luottaa siihen. Ongelma ratkaistiin varmistamalla, että tyhjän merkkijonon sijaan palautettiin NULL-arvo.
CVE-ID
CVE-2013-0963
ImageIO
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisen TIFF-tiedoston katsominen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: LibTIFF:n tavassa käsitellä TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu TIFF-kuvien lisätarkistuksella.
CVE-ID
CVE-2012-2088
IOAcceleratorFamily
Saatavuus: OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisen kuvan katsominen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Grafiikkatietojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0976: nimetön tutkija
Kernel
Saatavuus: OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitalliset tai vaarantuneet ohjelmat saattoivat pystyä selvittämään osoitteita kernelissä.
Kuvaus: Kernel-laajennuksiin liittyvien API-ohjelmointirajapintojen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. OSBundleMachOHeaders-avaimen sisältävissä vastauksissa saattoi olla kernel-osoitteita, jotka voivat auttaa ohittamaan osoiteavaruuden asettelun satunnaistamissuojauksen. Ongelma on ratkaistu vapauttamalla osoitteet ennen niiden palauttamista.
CVE-ID
CVE-2012-3749: Azimuth Securityn Mark Dowd, Squaren Eric Monti ja muita nimettömiä tutkijoita
Kirjautumisikkuna
Saatavuus: OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Näppäimistöä käyttämään päässyt hyökkääjä saattoi muokata järjestelmän kokoonpanoa.
Kuvaus: VoiceOverin tavassa käsitellä kirjautumisikkunaa oli logiikkavirhe, jonka takia näppäimistöä käyttämään päässyt hyökkääjä saattoi avata Järjestelmäasetukset ja muokata järjestelmän kokoonpanoa. Ongelma ratkaistiin estämällä VoiceOveria avaamasta ohjelmia kirjautumisikkunassa.
CVE-ID
CVE-2013-0969: Eric A. Schulman (Purpletree Labs)
Viestit
Saatavuus: OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Linkin klikkaaminen Viestit-apissa saattoi aloittaa FaceTime-puhelun ilman kehotusta.
Kuvaus: Erityisesti muotoillun FaceTime:// URL -osoitteen klikkaaminen Viestit-apissa saattoi ohittaa tavallisen vahvistuskehotuksen. Ongelma on ratkaistu FaceTime:// URL -osoitteiden lisätarkistuksella.
CVE-ID
CVE-2013-0970: Aaron Sigel (vtty.com)
Viestit-palvelin
Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Vaikutus: Etähyökkääjä saattoi uudelleenohjata verkostoituja Jabber-viestejä.
Kuvaus: Jabber-palvelimen tavassa käsitellä dialback-tulosviestejä oli ongelma. Hyökkääjä saattoi saada Jabber-palvelimen luovuttamaan verkostoitujen palvelinten käyttäjille tarkoitettuja tietoja. Ongelma ratkaistiin parantamalla dialback-tulosviestien käsittelyä.
CVE-ID
CVE-2012-3525
PDFKit
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PDF-tiedostojen kynäkommenttien käsittelyssä oli use after free -ongelma. Ongelma on korjattu parantamalla muistin käsittelyä.
CVE-ID
CVE-2013-0971: HP TippingPointin Zero Day Initiativen parissa työskentelevä Alexander Gavrun
Podcast Producer Server
Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Podcast Producer Serverin käyttämässä Rails-toteutuksessa.
CVE-ID
CVE-2013-0156
Podcast Producer Server
Saatavuus: OS X Lion Server 10.7–10.7.5
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ruby on Railsin tavassa käsitellä JSON-tietoja oli luokitteluongelma. Ongelma ratkaistiin vaihtamalla käyttöön JSONGem-taustasovellus JSON-jäsennystä varten Podcast Producer Serverin käyttämässä Rails-toteutuksessa.
CVE-ID
CVE-2013-0333
PostgreSQL
Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Vaikutus: PostgreSQL:ssä oli useita haavoittuvuuksia.
Kuvaus: PostgreSQL päivitettiin versioon 9.1.5 useiden haavoittuvuuksien ratkaisemiseksi. Niistä vakavin saattoi antaa tietokannan käyttäjille mahdollisuuden lukea tiedostoja tiedostojärjestelmästä tietokannan palvelinroolitilin oikeuksilla. Lisätietoja on PostgreSQL-verkkosivustolla osoitteessa http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
CVE-ID
CVE-2012-3488
CVE-2012-3489
Profiilinhallinta
Saatavuus: OS X Lion Server 10.7–10.7.5.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Profiilinhallinnan käyttämässä Rails-toteutuksessa.
CVE-ID
CVE-2013-0156
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: MP4-tiedostojen rnet-laatikoiden käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2012-3756: QuarksLabin Kevin Szkudlapski
Ruby
Saatavuus: Mac OS X Server 10.6.8.
Vaikutus: Etähyökkääjä saattoi aiheuttaa mielivaltaisen koodin suorittamisen, jos Rails-sovellus oli käynnissä.
Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla YAML ja symbolit käytöstä Railsin XML-parametreissa.
CVE-ID
CVE-2013-0156
Suojaus
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.
Kuvaus: TURKTRUST myönsi virheellisesti useita CA-välivarmenteita. Tämä saattoi mahdollistaa sen, että välimieshyökkääjä uudelleenohjasi yhteyksiä ja sai haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja. Ongelma ratkaistiin kieltämällä virheelliset SSL-varmenteet.
Ohjelmiston päivitys
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ohjelmiston päivitys salli välihyökkääjän asettaa laajennussisältöä päivitysten markkinointitekstiin. Tämä saattoi sallia haavoittuvaisen laajennuksen hyväksikäytön tai tietojen hankintahyökkäykset, joihin liittyi laajennuksia. Ongelma ei koske OS X Mountain Lion -järjestelmiä. Ongelma ratkaistiin estämällä laajennusten lataaminen Ohjelmiston päivityksen markkinointitekstin WebView'ssa.
CVE-ID
CVE-2013-0973: Emilio Escobar
Wiki Server
Saatavuus: OS X Lion Server 10.7–10.7.5.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Wiki Serverin käyttämässä Rails-toteutuksessa.
CVE-ID
CVE-2013-0156
Wiki Server
Saatavuus: OS X Lion Server 10.7–10.7.5.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Ruby on Railsin tavassa käsitellä JSON-tietoja oli luokitteluongelma. Ongelma ratkaistiin vaihtamalla käyttöön JSONGem-taustasovellus JSON-jäsennystä varten Wiki Serverin käyttämässä Rails-toteutuksessa.
CVE-ID
CVE-2013-0333
Haittaohjelmien poisto
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Kuvaus: Tässä päivityksessä on haittaohjelman poistotyökalu, joka poistaa haittaohjelmien useimmat muunnelmat. Jos tietokoneesta löytyy haittaohjelma, näkyviin tulee valintaikkuna, joka ilmoittaa käyttäjälle haittaohjelman poistosta. Käyttäjälle ei näytetä mitään viestiä, jos tietokoneessa ei ole haittaohjelmaa.
FaceTime ei ole saatavilla kaikissa maissa tai alueilla.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.