Tietoja OS X Mavericks 10.9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mavericks 10.9:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Mavericks 10.9

• Ohjelmapalomuuri

  Vaikutus: socketfilterfw --blockApp ei joskus estänyt ohjelmia vastaanottamasta verkkoyhteyksiä.

  Kuvaus: socketfilterfw-komentorivityökalun --blockApp -valinta ei asianmukaisesti estänyt ohjelmia vastaanottamasta verkkoyhteyksiä. Ongelma on ratkaistu parantamalla --blockApp -valitsimen valintojen käsittelyä.

  CVE-ID

  CVE-2013-5165: PopCap Gamesin Alexander Frangis

• App Sandbox

  Vaikutus: App Sandbox saatettiin joskus ohittaa.

  Kuvaus: Ohjelmien käynnistämiseen käytettävä LaunchServices-liittymä salli eristettyjen ohjelmien määrittää argumentteja, jotka välitettiin uudelle prosessille. Jos eristetty ohjelma oli vaarantunut, se saattoi käyttää eristyksen ohittamista hyväkseen. Ongelma on ratkaistu estämällä eristettyjä ohjelmia määrittämästä argumentteja.

  CVE-ID

  CVE-2013-5179: The Soulmen GbR:n Friedrich Graeter

• Bluetooth

  Vaikutus: Haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

  Kuvaus: Bluetoothin USB-isäntäohjain poisti liittymät, joita tarvittiin tulevissa toiminnoissa. Ongelma on ratkaistu pitämällä liittymä, kunnes sitä ei enää tarvita.

  CVE-ID

  CVE-2013-5166: Università degli Studi di Milanon tietokone- ja verkkoturvallisuuden laboratorion (LaSER) Stefano Bianchi Mazzone, Mattia Pagnozzi ja Aristide Fattori

• CFNetwork

  Vaikutus: Istuntoevästeitä ei joskus poistettu edes Safarin nollaamisen jälkeen.

  Kuvaus: Istuntoevästeitä ei joskus poistettu Safarin nollauksen yhteydessä, kunnes Safari suljettiin. Ongelma on ratkaistu parantamalla istuntoevästeiden käsittelyä.

  CVE-ID

  CVE-2013-5167: Amherst College Graham Bennett ja Rob Ansaldo

• CFNetwork SSL

  Vaikutus: Hyökkääjä pystyi poistamaan salauksen osasta SSL-yhteyttä.

  Kuvaus: Vain SSL:n SSLv3- ja TLS 1.0 -versioita käytettiin. Näihin versioihin kohdistuu protokollaheikkous käytettäessä lohkosalausta. Välimieshyökkääjä olisi voinut lisätä virheellistä tietoa ja aiheuttaa yhteyden sulkeutumisen, mutta paljastaa samalla aiempia tietoja. Jos samaa yhteyttä olisi kokeiltu toistuvasti, hyökkääjä olisi lopulta mahdollisesti voinut purkaa lähetettävän tiedon (esimerkiksi salasanan) salauksen. Ongelma on ratkaistu ottamalla TLS 1.2 käyttöön.

  CVE-ID

  CVE-2011-3389

• Konsoli

  Vaikutus: Haitallisen lokimerkinnän osoittaminen saattoi johtaa ohjelman odottamattomaan suorittamiseen.

  Kuvaus: Tässä päivityksessä muutettiin konsolin toimintatapaa tilanteessa, jossa käyttäjä osoittaa lokimerkintää, johon on liitetty URL-osoite. Konsoli avaa nyt URL-osoitteen esikatselun pikakatselussa sen sijaan, että URL-osoite avattaisiin.

  CVE-ID

  CVE-2013-5168: Vtty.comin Aaron Sigel

• CoreGraphics

  Vaikutus: Ikkunat saattoivat näkyä lukitulla näytöllä sen jälkeen, kun näyttö oli herätetty.

  Kuvaus: CoreGraphicsin tavassa käsitellä näytön nukkumistilaa oli logiikkaongelma, joka saattoi aiheuttaa tietojen vioittumisen. Tämän seurauksena ikkunat saattoivat näkyä lukitulla näytöllä. Ongelma on ratkaistu näytön nukkumisen parannetulla käsittelyllä.

  CVE-ID

  CVE-2013-5169

• CoreGraphics

  Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

  Kuvaus: PDF-tiedostojen käsittelyssä oli puskurin alivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-5170: CERT/CC:n Will Dormann

• CoreGraphics

  Vaikutus: Käyttöoikeudeton ohjelma saattoi pystyä tallentamaan näppäilyjä muissa ohjelmissa, vaikka turvallinen syöttötila oli päällä.

  Kuvaus: Käyttöoikeudeton ohjelma saattoi rekisteröidä pikanäppäintapahtuman ja sen avulla tallentaa näppäilyjä muissa ohjelmissa, vaikka turvallinen syöttötila oli päällä. Ongelma on ratkaistu pikanäppäintapahtumien lisätarkistuksella.

  CVE-ID

  CVE-2013-5171

• curl

  Vaikutus: curlissa oli useita haavoittuvuuksia.

  Kuvaus: curlissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Nämä ongelmat on ratkaistu päivittämällä curl versioon 7.30.0.

  CVE-ID

  CVE-2013-0249

  CVE-2013-1944

• dyld

  Vaikutus: Hyökkääjä, joka oli asettanut mielivaltaisen koodin suorittamisen laitteeseen, saattoi pystyä jatkamaan koodin suorittamista uudelleenkäynnistyksestä toiseen.

  Kuvaus: dyldin openSharedCacheFile()-funktiossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

  CVE-ID

  CVE-2013-3950: Stefan Esser

• IOKitUser

  Vaikutus: Haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

  Kuvaus: IOCataloguessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu tyypin lisätarkistuksella.

  CVE-ID

  CVE-2013-5138: Will Estes

• IOSerialFamily

  Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

  Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-5139: @dent1zt

• Kernel

  Vaikutus: SHA-2:n tiivistefunktioiden käyttö kernelissä saattoi johtaa järjestelmän odottamattomaan sulkeutumiseen.

  Kuvaus: SHA-2:n tiivistefunktiosarjalle käytettiin virheellistä tulostuspituutta, mikä saattoi johtaa kernel-paniikkiin kyseisiä funktioita käytettäessä. Näin tapahtui pääasiassa IPSec-yhteyksien aikana. Ongelma on ratkaistu käyttämällä oikeaa tulostuspituutta.

  CVE-ID

  CVE-2013-5172: Lobotomo Softwaren Christoph Nadig

• Kernel

  Vaikutus: Kernel-pinomuisti saattoi paljastua paikallisille käyttäjille.

  Kuvaus: msgctl- ja segctl-ohjelmistorajapinnoissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu alustamalla kernelistä palautetut tietorakenteet.

  CVE-ID

  CVE-2013-5142: Kenx Technology Inc:n Kenzley Alphonse

• Kernel

  Vaikutus: Paikallinen käyttäjä saattoi aiheuttaa palveluneston.

  Kuvaus: Kernelin satunnaislukugeneraattori oli lukittu, kun se täytti käyttäjätilasta lähetettyä pyyntöä. Tämän vuoksi paikallinen käyttäjä pystyi tekemään suuren pyynnön ja pitämään lukituksen itsellään pitkään, jonka seurauksena muut käyttäjät eivät voineet käyttää satunnaislukugeneraattoria. Ongelma on ratkaistu avaamalla satunnaislukugeneraattorin lukitus ja lukitsemalla se uudelleen useammin, kun suurta pyyntöä täytetään.

  CVE-ID

  CVE-2013-5173: Aalto-yliopiston Jaakko Pero

• Kernel

  Vaikutus: Paikallinen käyttöoikeudeton käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen.

  Kuvaus: Tty-lukujen käsittelyssä oli kokonaisluvun etumerkkiin liittyvä ongelma. Ongelma on ratkaistu parantamalla tty-lukujen käsittelyä.

  CVE-ID

  CVE-2013-5174: CESG

• Kernel

  Vaikutus: Paikallinen käyttäjä saattoi pystyä paljastamaan kernelin muistitiedot tai aiheuttamaan järjestelmän odottamattoman sulkeutumisen.

  Kuvaus: Mach-O-tiedostojen käsittelyssä oli rajojen ylittämiseen liittyvä lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-5175

• Kernel

  Vaikutus: Paikallinen käyttäjä saattoi aiheuttaa järjestelmän jumiutumisen.

  Kuvaus: Tty-laitteiden käsittelyssä oli kokonaisluvun katkaisuun liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-5176: CESG

• Kernel

  Vaikutus: Paikallinen käyttäjä saattoi aiheuttaa järjestelmän odottamattoman päättymisen.

  Kuvaus: Käyttäjän toimittaman virheellisen iovec-rakenteen havaitseminen aiheutti kernel-paniikin. Ongelma on ratkaistu parantamalla iovec-rakenteiden tarkistamista.

  CVE-ID

  CVE-2013-5177: CESG

• Kernel

  Vaikutus: Käyttöoikeudettomat prosessit saattavat pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

  Kuvaus: posix_spawn-ohjelmistorajapintaan tulevien argumenttien käsittelyssä oli muistin vioittumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

  CVE-ID

  CVE-2013-3954: Stefan Esser

• Kernel

  Vaikutus: Lähdespesifiset monilähetysohjelmat saattoivat aiheuttaa järjestelmän odottamattoman päättymisen Wi-Fi-verkkoa käytettäessä.

  Kuvaus: Monilähetyspakettien käsittelyssä oli virheen tarkistukseen liittyvä ongelma. Ongelma on ratkaistu parantamalla monilähetyspakettien käsittelyä.

  CVE-ID

  CVE-2013-5184: Octoshape

• Kernel

  Vaikutus: Lähiverkossa ollut hyökkääjä saattoi aiheuttaa palveluneston.

  Kuvaus: Lähiverkossa ollut hyökkääjä saattoi lähettää erityisesti valmistettuja IPv6 ICMP -paketteja ja aiheuttaa suuren suoritinkuorman. Ongelma on ratkaistu rajoittamalla ICMP-pakettien nopeutta ennen niiden tarkistussumman vahvistamista.

  CVE-ID

  CVE-2011-2391: Marc Heuse

• Kernel

  Vaikutus: Haitallinen paikallinen ohjelma saattoi aiheuttaa järjestelmän jumiutumisen.

  Kuvaus: Kernel-vastakeliittymässä oli kokonaisluvun lyhentämiseen liittyvä ongelma, jota saatettiin käyttää suorittimen pakottamiseen päättymättömään silmukkaan. Ongelma on ratkaistu käyttämällä suurempaa muuttujaa.

  CVE-ID

  CVE-2013-5141: CESG

• Kext Management

  Vaikutus: Valtuuttamaton prosessi saattoi poistaa joitakin kernel-laajennuksia käytöstä.

  Kuvaus: Kext Managementin tavassa käsitellä todentamattomien lähettäjien IPC-viestejä oli ongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.

  CVE-ID

  CVE-2013-5145: "Rainbow PRISM"

• LaunchServices

  Vaikutus: Tiedostolle saatettiin näyttää väärä tarkenne.

  Kuvaus: Joidenkin unicode-merkkien käsittelyssä oli ongelma, jonka vuoksi tiedostonimelle saatettiin näyttää väärä tarkenne. Ongelma on ratkaistu estämällä vaarallisten unicode-merkkien näyttäminen tiedostonimissä.

  CVE-ID

  CVE-2013-5178: Mozilla Corporationin Jesse Ruderman ja Integon Stephane Sudre

• Libc

  Vaikutus: Poikkeustilanteessa jotkin satunnaiset numerot saatettiin pystyä ennustamaan.

  Kuvaus: Jos srandomdev()-funktio ei pystynyt käyttämään kernelin satunnaislukugeneraattoria, se yritti käyttää vaihtoehtoista menetelmää. Kyseinen menetelmä oli poistettu optimoinnin vuoksi, jonka seurauksena satunnaisuus menetettiin. Ongelma on ratkaistu muuttamalla koodia siten, että se toimii oikein optimointitilanteessa.

  CVE-ID

  CVE-2013-5180: Xi Wang

• Mail-tilit

  Vaikutus: Mail ei joskus valinnut turvallisinta käytettävissä olevaa todentamismenetelmää.

  Kuvaus: Mail-ohjelma valitsi perustodentamisen CRAM-MD5:n sijaan, kun sähköpostitiliä määritettiin automaattisesti joillekin sähköpostipalvelimille. Ongelma on ratkaistu parantamalla logiikan käsittelyä.

  CVE-ID

  CVE-2013-5181

• Mailin otsaketietojen näyttö

  Vaikutus: Viesti saattoi näyttää allekirjoitetulta, vaikka sitä ei oltu allekirjoitettu.

  Kuvaus: Mailin tavassa käsitellä allekirjoittamattomia viestejä oli logiikkaongelma. Ongelma koski allekirjoittamattomia viestejä, joissa oli multipart/signed-osa. Ongelma on ratkaistu parantamalla allekirjoittamattomien viestien käsittelyä.

  CVE-ID

  CVE-2013-5182: Dresdenin teknillisen korkeakoulun Michael Roitzsch

• Mailin verkkotoiminnot

  Vaikutus: Tietoja saatettiin hetkellisesti siirtää pelkkänä tekstinä, kun käytössä oli muu kuin TLS-salaus.

  Kuvaus: Mail saattoi lähettää joitakin tietoja salaamattomana sähköpostipalvelimelle, mikä johti yhteyden odottamattomaan sulkeutumiseen. Näin tapahtui tilanteessa, jossa Kerberos-todentaminen oli käytössä ja TLS (Transport Layer Security) oli poissa käytöstä. Ongelma on ratkaistu parantamalla tämän määrityksen käsittelyä.

  CVE-ID

  CVE-2013-5183: www.qoxp.netin Richard E. Silverman

• OpenLDAP

  Vaikutus: ldapsearch-komentorivityökalu ei noudattanut minssf-määritystä.

  Kuvaus: ldapsearch-komentorivityökalu ei noudattanut minssf-määritystä, mikä saattoi johtaa heikon salauksen odottamattomaan sallimiseen. Ongelma on ratkaistu parantamalla minssf-määrityksen käsittelyä.

  CVE-ID

  CVE-2013-5185

• perl

  Vaikutus: Perl-skriptit saattoivat olla alttiita palvelunestolle.

  Kuvaus: Perlin vanhentuneissa versioissa oleva uudelleentiivistämismekanismi saattoi olla altis palvelunestolle, jos skriptissä käytettiin ei-luotettua syöttöä tiivisteavaimena. Ongelma on ratkaistu päivittämällä Perl versioon 5.16.2.

  CVE-ID

  CVE-2013-1667

• Virranhallinta

  Vaikutus: Näytön lukitus ei joskus mennyt päälle määritetyn ajanjakson jälkeen.

  Kuvaus: Virran vahvistuksen hallinnassa oli lukitusongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

  CVE-ID

  CVE-2013-5186: Sensible DB Designin David Herman

• python

  Vaikutus: Useita haavoittuvuuksia python 2.7:ssä.

  Kuvaus: python 2.7.2:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa SSL-yhteyden sisällön salauksen purkamiseen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä python versioon 2.7.5. Lisätietoja on pythonin sivustossa osoitteessa http://www.python.org/download/releases/.

  CVE-ID

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• python

  Vaikutus: Useita haavoittuvuuksia python 2.6:ssa.

  Kuvaus: python 2.6.7:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa SSL-yhteyden sisällön salauksen purkamiseen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä python versioon 2.6.8 ja ottamalla käyttöön Python-hankkeen CVE-2011-4944-korjauspäivitys. Lisätietoja on pythonin sivustossa osoitteessa http://www.python.org/download/releases/.

  CVE-ID

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• ruby

  Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

  Kuvaus: Rubyn tavassa käsitellä SSL-varmenteita oli isäntänimen tarkistusongelma. Ongelma on ratkaistu päivittämällä Ruby versioon 2.0.0p247.

  CVE-ID

  CVE-2013-4073

• Suojaus

  Vaikutus: MD5-tiivisteitä sisältävien X.509-varmenteiden tuki saattaa altistaa käyttäjät väärentämiselle ja tietojen paljastumiselle hyökkäysten kehittyessä.

  Kuvaus: OS X hyväksyi varmenteet, jotka oli allekirjoitettu MD5-tiivistealgoritmilla. Kyseisessä algoritmissa on tunnettuja kryptografisia heikkouksia. Tarkempi tutkimus tai väärin konfiguroitu varmenteen myöntäjä olisi voinut mahdollistaa X.509-varmenteiden luomisen hyökkääjän hallitsemilla arvoilla, joihin järjestelmä olisi luottanut. Tämä olisi altistanut X.509-pohjaiset protokollat väärentämiselle, välimieshyökkäyksille ja tietojen paljastumiselle. Tämä päivitys poistaa käytöstä MD5-tiivisteen sisältävän X.509-varmenteen tuen muussa käytössä kuin luotettuna päävarmenteena.

  CVE-ID

  CVE-2011-3427

• Suojaus – valtuuttaminen

  Vaikutus: Ylläpitäjän suojausasetuksia ei joskus noudatettu.

  Kuvaus: Vaadi ylläpitäjän salasana lukkokuvakkeella varustettujen järjestelmäasetusten käyttämiseen -asetuksen avulla ylläpitäjä voi parantaa tärkeiden järjestelmäasetusten suojausta. Joskus kun ylläpitäjä oli ottanut asetuksen käyttöön, se poistettiin käytöstä ohjelmistopäivityksen tai versiopäivityksen seurauksena. Ongelma on ratkaistu parantamalla valtuutusoikeuksien käsittelyä.

  CVE-ID

  CVE-2013-5189: Greg Onufer

• Suojaus – älykorttipalvelut

  Vaikutus: Älykorttipalvelut eivät ehkä olleet käytettävissä, kun varmenteen kumoamistarkistukset olivat käytössä.

  Kuvaus: OS X:n tavassa käsitellä älykorttien varmenteen kumoamistarkistuksia oli logiikkaongelma. Ongelma on ratkaistu parantamalla varmenteen kumoamistukea.

  CVE-ID

  CVE-2013-5190: Centrify Corporationin Yongjun Jeon

• Näytön lukitus

  Vaikutus: Lukitse näyttö -komennolla ei ehkä ollut välittömästi vaikutusta.

  Kuvaus: Avainnipun tila -valikkorivikohteen Lukitse näyttö -komennolla ei ollut vaikutusta, kunnes Vaadi salasana [aika] heräämisen jälkeen tai näytönsäästäjän käynnistyttyä -asetuksessa määritetty aika oli kulunut.

  CVE-ID

  CVE-2013-5187: OrganicOrb.comin Michael Kisor, NTNU:n (Norjan teknis-luonnontieteellinen yliopisto) Christian Knappskog, Stefan Grönke (CCC Trier) ja Patrick Reed

• Näytön lukitus

  Vaikutus: Horroksessa olevan Macin herättämiseen ei ehkä vaadittu salasanaa, jos siinä käytettiin automaattista kirjautumista.

  Kuvaus: Horrostilassa olevaa Macia herätettäessä ei ehkä kysytty salasanaa, jos siinä käytettiin automaattista kirjautumista. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

  CVE-ID

  CVE-2013-5188: Levi Musters

• Näytönjakopalvelin

  Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

  Kuvaus: Näytönjakopalvelimen tavassa käsitellä VNC-käyttäjätunnusta oli muotoilumerkkijonon haavoittuvuus.

  CVE-ID

  CVE-2013-5135: iDefense VCP:n parissa työskentelevä SilentSignal

• syslog

  Vaikutus: Vieraskäyttäjä saattoi pystyä tarkastelemaan aiempien vieraiden lokiviestejä.

  Kuvaus: Vieraskäyttäjä pystyi tarkastelemaan konsolilokia, jossa oli viestejä aiempien vieraskäyttäjien istunnoista. Ongelma on ratkaistu siten, että vain ylläpitäjä voi tarkastella vieraskäyttäjien konsolilokia.

  CVE-ID

  CVE-2013-5191: earthlingsoftin Sven-S. Porst

• USB

  Vaikutus: Haitallinen paikallinen ohjelma saattoi saada järjestelmän sulkeutumaan odottamatta.

  Kuvaus: USB-keskitinohjain ei tarkistanut pyyntöjen porttia ja porttinumeroa. Ongelma on ratkaistu lisäämällä portin ja porttinumeron tarkistukset.

  CVE-ID

  CVE-2013-5192: Università degli Studi di Milanon tietokone- ja verkkoturvallisuuden laboratorion (LaSER) Stefano Bianchi Mazzone, Mattia Pagnozzi ja Aristide Fattori

Huomautus: OS X Mavericks sisältää Safari 7.0:n, jossa on Safari 6.1:n turvallisuussisältö. Lisätietoja on artikkelissa Tietoja Safari 6.1:n turvallisuussisällöstä (http://support.apple.com/kb/HT6000?viewlocale=fi_FI).