Over de beveiligingsinhoud van OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004 beschreven.

Deze kunnen worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004

  • Apache

    Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: er is sprake van meerdere kwetsbaarheden in Apache, waarvan de ernstigste kunnen leiden tot cross-site scripting. Deze problemen zijn opgelost door Apache bij te werken naar versie 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: meerdere kwetsbaarheden in BIND

    Beschrijving: er is sprake van meerdere kwetsbaarheden in BIND, waarvan de ernstigste kunnen leiden tot een denial of service. Deze problemen zijn verholpen door BIND bij te werken naar versie 9.8.5-P1. CVE-2012-5688 is niet van invloed op systemen met Mac OS X v10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: rootcertificaten zijn bijgewerkt

    Beschrijving: verschillende certificaten zijn toegevoegd aan of verwijderd uit de lijst met systeemroots. De volledige lijst met herkende systeemroots kun je bekijken via de app Sleutelhangertoegang.

  • ClamAV

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Impact: meerdere kwetsbaarheden in ClamAV

    Beschrijving: er is sprake van meerdere kwetsbaarheden in ClamAV, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze update lost de problemen op door ClamAV bij te werken naar versie 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

    Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JBIG2 gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1025: Felix Groebert van het Google Security Team

  • ImageIO

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

    Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JPEG2000 gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1026: Felix Groebert van het Google Security Team

  • Installer

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: pakketten kunnen mogelijk worden geopend na het intrekken van een certificaat

    Beschrijving: als het installatieprogramma een ingetrokken certificaat aantreft, wordt er een dialoogvenster weergegeven met een optie om door te gaan. Het probleem is opgelost door dit dialoogvenster niet meer weer te geven en pakketten met een ingetrokken certificaat te weigeren.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: een aanvaller kan gegevens onderscheppen die zijn beveiligd met IPSec Hybrid Auth

    Beschrijving: de DNS-naam van een IPSec Hybrid Auth-server werd niet vergeleken met het certificaat, waardoor een aanvaller met een certificaat voor elke server zich kon voordoen als een andere persoon. Dit probleem is verholpen door het certificaat op de juiste manier te controleren.

    CVE-ID

    CVE-2013-1028: Alexander Traud van www.traud.de

  • Kernel

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

    Impact: een lokale netwerkgebruiker kan een denial of service veroorzaken

    Beschrijving: een onjuiste controle in de IGMP-pakketparseringscode in de kernel kan tot gevolg hebben dat een gebruiker die IGMP-pakketten kan verzenden naar het systeem, een kernel panic kan veroorzaken. Het probleem is verholpen door de controle achterwege te laten.

    CVE-ID

    CVE-2013-1029: Christopher Bohn van PROTECTSTAR INC.

  • Mobile Device Management

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: wachtwoorden komen mogelijk beschikbaar voor andere lokale gebruikers

    Beschrijving: een wachtwoord werd via de commandoregel doorgegeven aan mdmclient, waarna het zichtbaar was voor andere gebruikers op hetzelfde systeem. Het probleem is opgelost door het wachtwoord door te geven via een pipe.

    CVE-ID

    CVE-2013-1030: Per Olofsson van de universiteit van Gotenburg

  • OpenSSL

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: er is sprake van meerdere kwetsbaarheden in OpenSSL, waarvan de ernstigste kan leiden tot het vrijgeven van gebruikersgegevens. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: meerdere kwetsbaarheden in PHP

    Beschrijving: er is sprake van meerdere kwetsbaarheden in PHP, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen zijn opgelost door PHP bij te werken naar versie 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: meerdere kwetsbaarheden in PostgreSQL

    Beschrijving: er is sprake van meerdere kwetsbaarheden in PostgreSQL, waarvan de ernstigste kunnen leiden tot gegevensbeschadiging of verhoging van bevoegdheden. CVE-2013-1901 is niet van invloed op systemen met OS X Lion. Deze update lost de problemen op door PostgreSQL bij te werken naar versie 9.1.9 op systemen met OS X Mountain Lion en naar 9.0.4 op systemen met OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

    Impact: de schermbeveiliging start mogelijk niet na de opgegeven periode

    Beschrijving: er is een probleem met een 'power assertion'-vergrendeling. Dit probleem is verholpen door verbeterde verwerking van vergrendelingen.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van 'idsc'-atomen in QuickTime-filmbestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

    CVE-ID

    CVE-2013-1032: Jason Kratzer in samenwerking met iDefense VCP

  • Screen Lock

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

    Impact: een gebruiker met toegang tot schermdeling kan mogelijk de schermvergrendeling omzeilen als een andere gebruiker is ingelogd

    Beschrijving: er was een probleem met sessiebeheer bij de verwerking van de schermvergrendeling in schermdelingssessies. Dit probleem is verholpen door verbeterde sessietracking.

    CVE-ID

    CVE-2013-1033: Jeff Grisso van Atos IT Solutions, Sébastien Stormacq

  • sudo

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

    Impact: een aanvaller die controle heeft over de account van een beheerder, kan mogelijk rootbevoegdheden verkrijgen zonder dat het wachtwoord van de gebruiker bekend is

    Beschrijving: door de systeemklok in te stellen, kan een aanvaller 'sudo' gebruiken om rootbevoegdheden te verkrijgen op systemen waarop 'sudo' eerder is gebruikt. In OS X kunnen alleen beheerders de systeemklok wijzigen. Het probleem is opgelost door te controleren op een ongeldig tijdstempel.

    CVE-ID

    CVE-2013-1775

  • Opmerking: in OS X Mountain Lion v10.8.5 wordt ook een probleem opgelost waarbij bepaalde Unicode-tekenreeksen tot gevolg kunnen hebben dat apps onverwacht worden afgesloten.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: