Om sikkerhetsinnholdet i OS X Mavericks v10.9

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Product Security under Slik bruker du PGP-nøkkelen for Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

OS X Mavericks v10.9

• Programspesifikk brannmur

  Virkning: Det kan hende socketfilterfw --blockApp ikke hindrer programmer i å motta nettverkstilkoblinger

  Beskrivelse: --blockApp-valget i kommandolinjeverktøyet socketfilterfw hindret ikke på riktig måte programmer i å motta nettverkstilkoblinger. Dette problemet ble løst gjennom forbedret håndtering av --blockApp-valgene.

  CVE-ID

  CVE-2013-5165: Alexander Frangis hos PopCap Games

• App Sandbox

  Virkning: App Sandbox kan omgås

  Beskrivelse: LaunchServices-grensesnittet for å starte et program tillot at programmer i Sandbox kunne spesifisere argumentlisten som ble overført til den nye prosessen. Et kompromittert program i Sandbox kunne utnytte dette til å omgå Sandbox. Problemet ble løst ved å ikke tillate at programmer i Sandbox spesifiserer argumenter.

  CVE-ID

  CVE-2013-5179: Friedrich Graeter hos The Soulmen GbR

• Bluetooth

  Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

  Beskrivelse: Bluetooth USB-vertskontrolleren slettet grensesnitt som var nødvendig til senere operasjoner. Problemet ble løst ved å beholde grensesnittet til det ikke lenger var bruk for det.

  CVE-ID

  CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano

• CFNetwork

  Virkning: Øktinformasjonskapsler kan bestå også etter at Safari har blitt nullstilt

  Beskrivelse: Nullstilling av Safari slettet ikke øktinformasjonskapsler før Safari ble lukket. Problemet ble løst ved forbedret håndtering av øktinformasjonskapsler.

  CVE-ID

  CVE-2013-5167: Graham Bennett, Rob Ansaldo hos Amherst College

• CFNetwork SSL

  Virkning: En angriper kan dekryptere deler av en SSL-forbindelse

  Beskrivelse: Bare SSLv3- og TLS 1.0-versjonene av SSL ble brukt. Disse versjonene er gjenstand for protokollsvakheter ved bruk av blokkchifrering. En Man-in-the-Middle-angriper kunne injisere ugyldige data som førte til at forbindelsen ble lukket, men samtidig avdekke noe informasjon om tidligere data. Hvis samme forbindelse ble forsøkt gjentatte ganger, kunne angriperen kanskje til slutt dekryptere dataene som ble sendt, for eksempel et passord. Problemet ble løst ved å aktivere TLS 1.2.

  CVE-ID

  CVE-2011-3389

• Konsoll

  Virkning: Å klikke på en skadelig loggoppføring kan føre til at et program kjøres uventet

  Beskrivelse: Denne oppdateringen endret virkemåten til Konsoll når det klikkes på en loggoppføring med en tilknyttet URL-adresse. Istedet for å åpne URL-adressen vil Konsoll nå forhåndsvise URL-adressen med Hurtigvisning.

  CVE-ID

  CVE-2013-5168: Aaron Sigel hos vtty.com

• CoreGraphics

  Virkning: Windows kan være synlig over låseskjermen etter at skjermen har vært i dvale

  Beskrivelse: Det var et logisk problem i CoreGraphics' håndtering av skjermdvalemodus, som førte til ødeleggelse av data som kunne føre til at et vindu ble synlig over låseskjermen. Problemet ble løst ved forbedret håndtering av skjermdvale.

  CVE-ID

  CVE-2013-5169

• CoreGraphics

  Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

  Beskrivelse: Det var bufferunderflyt i håndteringen av PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-5170: Will Dormann hos CERT/CC

• CoreGraphics

  Virkning: Et program uten rettigheter kan logge tastaturtrykk som utføres i et annet program, selv om modus for sikre inndata er aktivert

  Beskrivelse: Ved å registrere for en tastatursnarveihendelse kunne et program uten rettigheter logge tastaturtrykk som ble utført i et annet program, selv om modus for sikre inndata var aktivert. Problemet ble løst ved ekstra validering av tastatursnarveier.

  CVE-ID

  CVE-2013-5171

• curl

  Virkning: Flere sårbarheter i curl

  Beskrivelse: Det var mange sårbarheter i curl, og den alvorligste kan forårsake kjøring av vilkårlig kode. Problemene ble løst ved å oppdatere curl til versjon 7.30.0.

  CVE-ID

  CVE-2013-0249

  CVE-2013-1944

• dyld

  Virkning: En angriper som har kjøring av vilkårlig kode på en enhet, kan være i stand til å beholde muligheten til å kjøre kode på tvers av omstarter

  Beskrivelse: Flere bufferoverflyter fantes i dylds openSharedCacheFile()-funksjon. Problemene ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-3950: Stefan Esser

• IOKitUser

  Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

  Beskrivelse: Det fantes en nullpeker-dereferanse i IOCatalogue. Problemet ble løst ved ekstra typekontroll.

  CVE-ID

  CVE-2013-5138: Will Estes

• IOSerialFamily

  Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

  Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-5139: @dent1zt

• Kjerne

  Virkning: Bruk av SHA-2 sammendragsfunksjoner i kjernen kan føre til at systemet avsluttes uventet

  Beskrivelse: En feil utdatalengde ble brukt til SHA-2-serien med sammendragsfunksjoner, og det førte til kjernepanikk når disse funksjonene ble brukt, primært under IPSec-tilkoblinger. Problemet ble løst gjennom bruk av forventet utdatalengde.

  CVE-ID

  CVE-2013-5172: Christoph Nadig hos Lobotomo Software

• Kjerne

  Virkning: Kjernestakkhukommelse kan bli avslørt for lokale brukere

  Beskrivelse: Det var et problem med fremlegging av informasjon i msgctl- og segctl-APIene. Problemet ble løst ved å initialisere datastrukturer returnert fra kjernen.

  CVE-ID

  CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

• Kjerne

  Virkning: En lokal bruker kan forårsake tjenestenekt

  Beskrivelse: Generatoren for tilfeldige tall i kjernen holdt en låsing mens forespørselen fra brukerområdet ble tilfredsstilt, noe som tillot at en lokal bruker laget en stor forespørsel og låsingen ble opprettholdt i en lengre tidsperiode, og det hindret tjenester fra generatoren for tilfeldige tall til andre brukere. Problemet ble løst ved å frigi låsingen og be om ny låsing oftere for store forespørsler.

  CVE-ID

  CVE-2013-5173: Jaakko Pero hos Aalto University

• Kjerne

  Virkning: En lokal bruker uten rettigheter kan forårsake uventet avslutning av et system

  Beskrivelse: Det var et problem med heltallstegn ved håndtering av tty-lesinger. Problemet ble løst ved forbedret håndtering av tty-lesinger.

  CVE-ID

  CVE-2013-5174: CESG

• Kjerne

  Virkning: En lokal bruker kan avdekke informasjon fra kjernehukommelsen eller få et system til å avsluttes uventet

  Beskrivelse: Det var et problem med lesing utenfor grenser i håndteringen av Mach-O-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-5175

• Kjerne

  Virkning: En lokal bruker kan få et system til å henge

  Beskrivelse: Det var et problem med heltallsavkorting ved håndtering av tty-enheter. Dette problemet ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-5176: CESG

• Kjerne

  Virkning: En lokal bruker kan få et system avsluttes uventet

  Beskrivelse: Det kunne oppstå kjernepanikk når en ugyldig brukerlevert iovec-struktur ble oppdaget. Problemet ble løst med forbedret validering av iovec-strukturer.

  CVE-ID

  CVE-2013-5177: CESG

• Kjerne

  Virkning: Prosesser uten rettigheter kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

  Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av argumenter til posix_spawn-APIen. Dette problemet ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2013-3954: Stefan Esser

• Kjerne

  Virkning: Et kildespesifikt multicastprogram kan føre til at et system avsluttes uventet når det brukes et Wi-Fi-nettverk

  Beskrivelse: Det var et problem med feilkontroll ved håndtering av multicastpakker. Problemet ble løst ved forbedret håndtering av multicastpakker.

  CVE-ID

  CVE-2013-5184: Octoshape

• Kjerne

  Virkning: En angriper på et lokalt nettverk kan forårsake nekting av tjenester

  Beskrivelse: En angriper på et lokalt nettverk kan sende spesielt utformede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst ved å hastighetsbegrense ICMP-pakker før sjekksummen deres verifiseres.

  CVE-ID

  CVE-2011-2391: Marc Heuse

• Kjerne

  Virkning: Et skadelig lokalt program kunne forårsake at et system henger

  Beskrivelse: En var et problem med avkorting av heltall i kjernesocketgrensesnittet, som kan forårsake at CPUen tvinges inn i en uendelig sløyfe. Problemet ble løst ved å bruke en større variabel.

  CVE-ID

  CVE-2013-5141: CESG

• Kext-administrasjon

  Virkning: En uautorisert prosess kan deaktivere enkelte innlastede kjerneutvidelser

  Beskrivelse: Det var et problem med kext-administrasjonens håndtering av IPC-meldinger fra uautoriserte sendere. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.

  CVE-ID

  CVE-2013-5145: "Rainbow PRISM"

• LaunchServices

  Virkning: En fil kunne vise feil filendelse

  Beskrivelse: Det var et problem med håndteringen av enkelte Unicode-tegn som kunne tillate at filnavn viste feil filendelser. Problemet ble løst ved å filtrere usikre Unicode-tegn slik at de ikke ble vist i filnavn.

  CVE-ID

  CVE-2013-5178: Jesse Ruderman hos Mozilla Corporation, Stephane Sudre hos Intego

• Libc

  Virkning: Under uvanlige omstendigheter kunne enkelte tilfeldige tall være forutsigbare

  Beskrivelse: Hvis generatoren for tilfeldige tall ikke var tilgjengelig for srandomdev(), brukte funksjonen en alternativ metode som hadde blitt fjernet ved optimalisering, og det førte til mangel på tilfeldighet. Problemet ble løst ved å endre koden til å være riktig under optimalisering.

  CVE-ID

  CVE-2013-5180: Xi Wang

• Mail-kontoer

  Virkning: Det er ikke sikkert Mail velger den sikreste godkjenningsmetoden som er tilgjengelig

  Beskrivelse: Ved automatisk konfigurering av en e-postkonto på enkelte e-posttjenere, ville Mail velge godkjenning i ren tekst i stedet for CRAM-MD5-godkjenning. Problemet ble løst med forbedret logisk håndtering.

  CVE-ID

  CVE-2013-5181

• Meldingshodevisning

  Virkning: En usignert melding kan vise seg å være gyldig signert

  Beskrivelse: Det var et logisk problem i Mails håndtering av usignerte meldinger som likevel inneholdt en flerdelt/signert del. Problemet ble løst gjennom forbedret håndtering av usignerte meldinger.

  CVE-ID

  CVE-2013-5182: Michael Roitzsch ved Technische Universität Dresden

• Mail-nettverk

  Virkning: Informasjon kan en kort stund overføres som ren tekst når ikke-TLS-kryptering er konfigurert

  Beskrivelse: Når Kerberos-godkjenning var aktivert og TLS (Transport Layer Security) var deaktivert, ville Mail sende enkelte ikke-krypterte data til e-posttjeneren, og det førte til en uventet avslutning av tilkoblingen. Problemet ble løst ved forbedret håndtering av denne konfigurasjonen.

  CVE-ID

  CVE-2013-5183: Richard E. Silverman hos www.qoxp.net

• OpenLDAP

  Virkning: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen

  Beskrivelse: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen, og det kunne føre til at svak kryptering uventet ble tillatt. Problemet ble løst med forbedret håndtering av minssf-konfigurasjonen.

  CVE-ID

  CVE-2013-5185

• perl

  Virkning: Perl-skript kan være sårbare for nekting av tjeneste

  Beskrivelse: rehash-merkanismen i utdaterte versjoner av Perl kan være sårbare for nekting av tjeneste i skript som bruker ikke godkjente inndata som hash-nøkler. Problemet ble løst ved å oppdatere til Perl 5.16.2.

  CVE-ID

  CVE-2013-1667

• Strømstyring

  Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode

  Beskrivelse: Det var et låseproblem i strømstyring. Problemet ble løst ved forbedret låshåndtering.

  CVE-ID

  CVE-2013-5186: David Herman hos Sensible DB Design

• python

  Virkning: Flere sårbarheter i python 2.7

  Beskrivelse: Det er mange sårbarheter i python 2.7.2, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere python til versjon 2.7.5. Ytterligere informasjon er tilgjengelig via python-nettstedet på http://www.python.org/download/releases/

  CVE-ID

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• python

  Virkning: Flere sårbarheter i python 2.6

  Beskrivelse: Det er mange sårbarheter i python 2.6.7, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere phyton til versjon 2.6.8 og bruke oppdateringsfilen for CVE-2011-4944 fra python-prosjektet. Ytterligere informasjon kan fås på nettstedet for python på http://www.python.org/download/releases/

  CVE-ID

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• ruby

  Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

  Beskrivelse: Det var et valideringsproblem for vertsnavn i Rubys håndtering av SSL-sertifikater. Problemet ble løst ved å oppdatere Ruby til versjon 2.0.0p247.

  CVE-ID

  CVE-2013-4073

• Sikkerhet

  Virkning: Støtte for X.509-sertifikater med MD5-hash-koder kan usette brukere for forfalsking og avdekking av informasjon etter hvert som angrep forbedres

  Beskrivelse: Sertifikater som var signert med MD5 hash-algoritmen ble godtatt av OS X. Denne algoritmen har kjente kryptografiske svakheter. Videre undersøkelser eller en feilkonfigurert sertifikatautoritet kunne ha tillatt oppretting av X.509-sertifikater med angriperstyrte verdier som ville blitt godkjent av systemet. Dette ville ha utsatt X.509-baserte protokoller for forfalskning, Man-in-the-Middle-angrep og avdekking av informasjon. Denne oppdateringen deaktiverer støtte for et X.509-sertifikat med MD5-«hash» for all annen bruk enn som et godkjent rotsertifikat.

  CVE-ID

  CVE-2011-3427

• Sikkerhet - godkjenning

  Virkning: Sikkerhetsvalgene for en administrator respekteres kanskje ikke

  Beskrivelse: Innstillingen "Krev administratorpassord for tilgang til systemvalg med låssymboler" tillater at administratorer legger til et ekstra lag med beskyttelse på sensitive systeminnstillinger. I enkelte tilfeller der en administrator hadde aktivert denne innstillingen, kunne en programvareoppdatering eller -oppgradering ført til deaktivering av innstillingen. Problemet ble løst ved forbedret håndtering av godkjenningsrettigheter.

  CVE-ID

  CVE-2013-5189: Greg Onufer

• Sikkerhet - smartkorttjenester

  Virkning: Smartkorttjenester kan være utilgjengelige når sertifikattilbakekallingskontroller er aktivert

  Beskrivelse: Det var et logikkproblem i OS Xs håndtering av sertifikattilbakekallingskontroller for smartkort. Problemet ble løst med forbedret sertifikattilbakekallingsstøtte.

  CVE-ID

  CVE-2013-5190: Yongjun Jeon hos Centrify Corporation

• Skjermlås

  Virkning: Det kan hende Lås skjerm-kommandoen ikke trer i kraft umiddelbart

  Beskrivelse: Lås skjerm-kommandoen i menylinjeobjektet Nøkkelringstatus ble ikke tatt i bruk før etter at innstillingen "Krev passord [tid] etter aktivering av dvale eller skjermsparer" hadde utløpt.

  CVE-ID

  CVE-2013-5187: Michael Kisor hos OrganicOrb.com, Christian Knappskog hos NTNU (Norges teknisk-naturvitenskapelige universitet), Stefan Grönke (CCC Trier), Patrick Reed

• Skjermlås

  Virkning: En Mac-maskin i dvalemodus med Automatisk pålogging krever kanskje ikke et passord for å kunne vekkes

  Beskrivelse: En Mac-maskin i dvalemodus og automatisk pålogging aktivert kan tillate vekking fra dvale uten at det bes om et passord. Dette problemet er løst gjennom forbedret låshåndtering.

  CVE-ID

  CVE-2013-5188: Levi Musters

• Skjermdelingstjener

  Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

  Beskrivelse: Det var en formatstrengsårbarhet i skjermdelingstjenerens håndtering av VNC-brukernavnet.

  CVE-ID

  CVE-2013-5135: SilentSignal som arbeider med iDefense VCP

• syslog

  Virkning: En Gjest-bruker kan se loggmeldinger fra tidligere gjester

  Beskrivelse: Konsolloggen var synlig for Gjest-brukeren og inneholdt meldinger fra tidligere Gjest-brukerøkter. Problemet ble løst ved å gjøre konsolloggen for Gjest-brukere synlig bare for administratorer.

  CVE-ID

  CVE-2013-5191: Sven-S. Porst hos earthlingsoft

• USB

  Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

  Beskrivelse: USB-hubkontrolleren kontrollerte ikke porten og portnummeret til forespørsler. Problemet ble løst ved å legge til kontroller for porten og portnummeret.

  CVE-ID

  CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Merk: OS X Mavericks inkluderer Safari 7.0, som inkluderer sikkerhetsinnholdet til Safari 6.1. Hvis du vil vite mer, kan du se "Om sikkerhetsinnholdet i Safari 6.1" på http://support.apple.com/kb/HT6000?viewlocale=no_NO