Tietoja OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä. Päivityksen voi ladata ja asentaa ohjelmiston päivityksen tai Applen lataussivun kautta.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Mountain Lion 10.8.4 ja suojauspäivitys 2013-002

Huomautus: OS X Mountain Lion 10.8.4 sisältää Safari 6.0.5:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.5:n turvallisuussisällöstä.

• CFNetwork

  Saatavuus: OS X Mountain Lion 10.8–10.8.3

  Vaikutus: hyökkääjä, jolla oli pääsy käyttäjän istuntoon, saattoi pystyä kirjautumaan sisään aiemmin käytetyille sivustoille, vaikka yksityinen selaus oli käytössä

  Kuvaus: Safarin sulkemisen jälkeen tallennettiin pysyviä evästeitä, vaikka yksityinen selaus oli käytössä. Ongelma on ratkaistu parantamalla evästeiden käsittelyä.

  CVE-ID

  CVE-2013-0982: Alexander Traud (www.traud.de)

• CoreAnimation

  Saatavuus: OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen sivuston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

  Kuvaus: tekstiglyyfien käsittelyssä oli rajattoman pinon varauksen ongelma. Ongelman pystyi tuottamaan haitallisilla URL-osoitteilla Safarissa. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0983: David Fifield (Stanford University), Ben Syverson

• CoreMedia Playback

  Saatavuus: Mac OS X 10.7–10.7.5, Mac OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

  Kuvaus: tekstiraitojen käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu tekstiraitojen lisätarkistuksella.

  CVE-ID

  CVE-2013-1024: Richard Kuo ja Billy Suguitan (Triemt Corporation)

• CUPS

  Saatavuus: OS X Mountain Lion 10.8–10.8.3

  Vaikutus: paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla

  Kuvaus: CUPS-kokoonpanon käsittelyssä CUPS-verkkokäyttöliittymässä oli käyttöoikeuksien eskalaation ongelma. Paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla. Ongelma ratkaistiin siirtämällä joitakin kokoonpanokäskyjä cups-files.conf-tiedostoon, jota ei voi muokata CUPS-verkkokäyttöliittymässä.

  CVE-ID

  CVE-2012-5519

• Directory Service

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Vaikutus: etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla järjestelmissä, joissa hakemistopalvelu on käytössä

  Kuvaus: hakemistopalvelimen viestien käsittelyssä verkosta oli ongelma. Etähyökkääjä saattoi pystyä aiheuttamaan hakemistopalvelimen sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla lähettämällä haitallisen viestin. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Tämä ongelma ei vaikuta OS X Lion ja OS X Mountain Lion -järjestelmiin.

  CVE-ID

  CVE-2013-0984: Nicolas Economou (Core Security)

• Disk Management

  Saatavuus: OS X Mountain Lion 10.8–10.8.3

  Vaikutus: paikallinen käyttäjä pystyi poistamaan FileVaultin käytöstä

  Kuvaus: paikallinen käyttäjä, joka ei ole järjestelmänvalvoja, pystyi poistamaan FileVaultin käytöstä komentorivillä. Ongelma on ratkaistu lisäämällä varmennuksia.

  CVE-ID

  CVE-2013-0985

• OpenSSL

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: hyökkääjä saattoi pystyä purkamaan SSL-suojatun datan suojauksen.

  Kuvaus: TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun pakkaus oli käytössä. Ongelma on ratkaistu poistamalla pakkaus käytöstä OpenSSL:ssä.

  CVE-ID

  CVE-2012-4929: Juliano Rizzo ja Thai Duong

• OpenSSL

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: useita haavoittuvuuksia OpenSSL:ssä

  Kuvaus: OpenSSL päivitettiin versioon 0.9.8x useiden haavoittuvuuksien ratkaisemiseksi. Haavoittuvuudet saattoivat aiheuttaa palvelunestoon tai yksityisen avaimen paljastumisen. Lisätietoja on saatavilla OpenSSL-verkkosivustolla osoitteessa http://www.openssl.org/news/

  CVE-ID

  CVE-2011-1945

  CVE-2011-3207

  CVE-2011-3210

  CVE-2011-4108

  CVE-2011-4109

  CVE-2011-4576

  CVE-2011-4577

  CVE-2011-4619

  CVE-2012-0050

  CVE-2012-2110

  CVE-2012-2131

  CVE-2012-2333

• QuickDraw Manager

  Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 ja OS X Mountain Lion 10.8–10.8.2

  Vaikutus: haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

  Kuvaus: PICT-kuvien käsittelyssä oli puskuriylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0975: HP:n Zero Day Initiativen parissa työskentelevä Tobias Klein

• QuickTime

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

  Kuvaus: enof-atomien käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0986: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

• QuickTime

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen QTIF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

  Kuvaus: QTIF-tiedostojen käsittelyssä oli muistinvioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0987: iDefense VCP:n parissa työskentelevä roob

• QuickTime

  Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen FPX-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

  Kuvaus: FPX-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0988: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

• QuickTime

  Saatavuus: OS X Mountain Lion 10.8–10.8.3

  Vaikutus: haitallisen MP3-tiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

  Kuvaus: MP3-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-0989: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

• Ruby

  Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8

  Vaikutus: useita haavoittuvuuksia Ruby on Railsissa.

  Kuvaus: Ruby on Railsissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmissä, joissa käytetään Ruby on Rails -appeja. Nämä ongelmat ratkaistiin päivittämällä Ruby on Rails versioon 2.3.18. Ongelma saattaa vaikuttaa OS X Lion tai OS X Mountain Lion -järjestelmiin, jotka päivitettiin Mac OS X 10.6.8:sta tai aiemmasta. Käyttäjät voivat päivittää gemit, joihin tämä vaikuttaa näissä järjestelmissä, käyttämällä /usr/bin/gem -työkalua.

  CVE-ID

  CVE-2013-0155

  CVE-2013-0276

  CVE-2013-0277

  CVE-2013-0333

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• SMB

  Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

  Vaikutus: todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle

  Kuvaus: jos tiedostojen jako SMB:llä oli käytössä, todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle. Ongelma on ratkaistu parantamalla käyttörajoituksia.

  CVE-ID

  CVE-2013-0990: Ward van Wanrooij

• Huomaa: OS X 10.8.4 -versiosta alkaen internetistä ladattavien Java Web Start -appien (esim. JNLP) on oltava Developer ID -varmenteella allekirjoitettuja. Gatekeeper tarkistaa ladatut Java Web Start -appien allekirjoituksen ja estää appien käynnistymisen, jos niissä ei ole asianmukaista allekirjoitusta.

  Voit allekirjoittaa JNLP-tiedoston codesign-työkalulla, joka liittää koodin allekirjoituksen JNLP-tiedostoon lisämääritteinä. Lisämääritteiden säilyttämiseksi JNLP-tiedoston voi pakata ZIP-, XIP- tai DMG-tiedostoon. Ole varovainen, kun käytät ZIP-tiedostomuotoa, sillä jotkin kolmansien osapuolten työkalut eivät välttämättä käsittele vaadittuja lisämääritteitä oikein.

  Lue lisää asiakirjasta Technical Note TN2206: OS X Code Signing In Depth.