Сведения о проблемах системы безопасности, устраненных в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004

В данном документе описываются проблемы системы безопасности, устраненные в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004.

Соответствующие обновления можно загрузить и установить с помощью функции Обновление ПО или раздела Загрузки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах системы безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple

OS X Mountain Lion 10.8.5 и обновление системы безопасности 2013-004

• Apache

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Обнаружен ряд уязвимостей в Apache.

  Описание. В Apache существовал ряд уязвимостей, наиболее серьезные из которых могли привести к применению межсайтовых сценариев. Эти проблемы устранены благодаря обновлению Apache до версии 2.2.24.

  Идентификатор CVE

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Обнаружен ряд уязвимостей в BIND.

  Описание. В BIND существовал ряд уязвимостей, наиболее серьезные из которых могли вызвать отказ в обслуживании. Эти проблемы устранены благодаря обновлению BIND до версии 9.8.5-P1. Проблемы CVE-2012-5688 не возникали в системах Mac OS X 10.7.

  Идентификатор CVE

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Корневые сертификаты были обновлены.

  Описание. Несколько сертификатов были добавлены в список системных корневых сертификатов или удалены из него. Полный список распознанных системных корневых сертификатов можно просмотреть в приложении «Связка ключей».

• ClamAV

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

  Воздействие. Обнаружен ряд уязвимостей ClamAV.

  Описание. В ClamAV существует ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Эти проблемы устранены посредством обновления ClamAV до версии 0.97.8.

  Идентификатор CVE

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Целевые продукты: OS X Mountain Lion 10.8–10.8.4

  Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке данных с кодировкой JBIG2 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.

  Идентификатор CVE

  CVE-2013-1025: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team

• ImageIO

  Целевые продукты: OS X Mountain Lion 10.8–10.8.4

  Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке данных с кодировкой JPEG2000 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.

  Идентификатор CVE

  CVE-2013-1026: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team

• Installer

  Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Пакеты могут быть открыты после отзыва сертификата.

  Описание. Когда установщик сталкивался с отозванным сертификатом, он выдавал диалоговое окно с предложением продолжить. Проблема устранена посредством удаления диалогового окна и отказа от отозванных пакетов.

  Идентификатор CVE

  CVE-2013-1027

• IPSec

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Злоумышленник может перехватить данные, защищенные с помощью IPSec Hybrid Auth.

  Описание. DNS-имя сервера IPSec Hybrid Auth не сопоставлялось с сертификатом, что позволяло злоумышленнику с сертификатом для любого сервера выдавать его за любой другой сервер. Эта проблема устранена посредством надлежащей проверки сертификата.

  Идентификатор CVE

  CVE-2013-1028: Александр Трауд (Alexander Traud) из www.traud.de

• Kernel

  Целевые продукты: OS X Mountain Lion 10.8–10.8.4

  Воздействие. Пользователь локальной сети может вызвать отказ в обслуживании.

  Описание. Из-за некорректной проверки в коде анализа пакетов IGMP в ядре пользователь, способный отправлять пакеты IGMP в систему, мог вызвать фатальную ошибку ядра. Проблема устранена посредством исключения проверки.

  Идентификатор CVE

  CVE-2013-1029: Кристофер Бон (Christopher Bohn) из PROTECTSTAR INC.

• Mobile Device Management

  Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Пароли могут быть раскрыты другим локальным пользователям.

  Описание. В командной строке mdmclient передавался пароль, что делало его видимым для других пользователей в той же системе. Проблема устранена посредством передачи пароля «по трубе».

  Идентификатор CVE

  CVE-2013-1030: Пер Олофссон (Per Olofsson) из Гетеборгского университета

• OpenSSL

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Обнаружен ряд уязвимостей в OpenSSL.

  Описание. В OpenSSL существовал ряд уязвимостей, наиболее серьезные из которых могли привести к раскрытию данных пользователя. Эти проблемы устранены благодаря обновлению OpenSSL до версии 0.9.8y.

  Идентификатор CVE

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Обнаружен ряд уязвимостей в PHP.

  Описание. В PHP существовал ряд уязвимостей, наиболее серьезные из которых могли привести к выполнению произвольного кода. Эти проблемы устранены благодаря обновлению PHP до версии 5.3.26.

  Идентификатор CVE

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Обнаружен ряд уязвимостей в PostgreSQL.

  Описание. В PostgreSQL существует ряд уязвимостей, наиболее серьезные из которых могут привести к повреждению данных или повышению уровня прав. Проблемы CVE-2013-1901 не возникают в системах OS X Lion. Это обновление устраняет проблемы посредством обновления PostgreSQL до версии 9.1.9 в системах OS X Mountain Lion и до версии 9.0.4 в системах OS X Lion.

  Идентификатор CVE

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Целевые продукты: OS X Mountain Lion 10.8–10.8.4

  Воздействие. Заставка может не запуститься по истечении указанного периода времени.

  Описание. Существовала проблема с блокировкой утверждения питания. Эта проблема устранена посредством улучшенной обработки блокировки.

  Идентификатор CVE

  CVE-2013-1031

• QuickTime

  Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

  Описание. При обработке атомов idsc в видеофайлах QuickTime возникала проблема повреждения данных в памяти. Эта проблема устранена благодаря дополнительной проверке границ памяти.

  Идентификатор CVE

  CVE-2013-1032: Джейсон Кратцер (Jason Kratzer), работающий в рамках программы iDefense VCP

• Screen Lock

  Целевые продукты: OS X Mountain Lion 10.8–10.8.4

  Воздействие. Пользователь с общим доступом к экрану может обойти блокировку экрана, если другой пользователь выполнил вход в систему.

  Описание. При обработке сеансов общего доступа к экрану возникала проблема с управлением сеансами. Эта проблема была устранена благодаря улучшенному отслеживанию сеансов.

  Идентификатор CVE

  CVE-2013-1033: Джефф Гриссо (Jeff Grisso) из Atos IT Solutions, Себастьен Стормак (Sébastien Stormacq)

• sudo

  Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

  Воздействие. Злоумышленник, получивший контроль над учетной записью администратора, может получить права пользователя root, не зная пароля пользователя.

  Описание. Установив системные часы, злоумышленник может использовать sudo для получения прав пользователя root в системах, в которых уже выполнялась команда sudo. В OS X только администраторы могут изменять системные часы. Эта проблема устранена благодаря выполнению проверки на наличие недействительной метки времени.

  Идентификатор CVE

  CVE-2013-1775

• Примечание. В OS X Mountain Lion 10.8.5 также устранена проблема, из-за которой определенные строки юникода могли приводить к неожиданному завершению работы приложений.