OS X Mavericks 10.9 sürümündeki güvenlik içeriği hakkında
Bu belge OS X Mavericks 10.9 sürümündeki güvenlik içeriğini açıklar.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
OS X Mavericks 10.9
Uygulama Güvenlik Duvarı
Etki: socketfilterfw --blockApp uygulamaların ağ bağlantıları almalarını engellemeyebilir
Açıklama: socketfilterfw komut satırı araçlarındaki --blockApp seçeneği uygulamaların ağ bağlantıları almalarını düzgün bir şekilde engellemedi. Bu sorun --blockApp seçeneklerinin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5165: Alexander Frangis, PopCap Games
Uygulama Korumalı Alanı
Etki: Uygulama Korumalı Alanı atlanabilir
Açıklama: Bir uygulamayı başlatmak için kullanılan LaunchServices arabirimi, korumalı alandaki uygulamaların yeni işleme geçirilecek bağımsız değişkenler listesi belirtmesine izin verdi. Gizliliği ihlal edilen bir korumalı alan uygulaması korumalı alanı atlayabiliyordu. Bu sorun korumalı alanda çalışan uygulamaların bağımsız değişken belirtmesine izin verilmeyerek giderildi.
CVE kimliği
CVE-2013-5179: Friedrich Graeter, The Soulmen GbR
Bluetooth
Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: Bluetooth USB ana bilgisayar denetleyicisi daha sonraki işlemler için gereken arabirimleri sildi. Bu sorun arabirimin artık gerekmeyinceye kadar korunmasıyla giderildi.
CVE kimliği
CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano
CFNetwork
Etki: Oturum çerezleri Safari sıfırlandıktan sonra bile kalabiliyor
Açıklama: Safari'nin sıfırlanması Safari kapatılmadıkça oturum çerezlerinin silinmesini her zaman sağlamıyordu. Bu sorun oturum çerezlerinin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5167: Graham Bennett, Rob Ansaldo, Amherst College
CFNetwork SSL
Etki: SSL bağlantısının parçasının şifresi saldırgan tarafından çözülebilir
Açıklama: SSL'nin yalnızca SSLv3 ve TLS 1.0 sürümleri kullanıldı. Bu sürümler blok şifreler kullanıldığında protokolün zayıflamasına neden olur. Bağlantıyı izinsiz izleyen saldırgan geçersiz veriler ekleyebilir ve bu da bağlantının kapanmasına ve bu sırada önceki verilerle ilgili bazı bilgilerin açığa çıkmasına neden olur. Aynı bağlantı saldırgan tarafından tekrar tekrar hedeflendiyse, saldırgan gönderilmekte olan parola gibi verilerin şifresini zaman içinde çözmüş olabilir. Bu sorun TLS 1.2 etkinleştirilerek giderildi.
CVE kimliği
CVE-2011-3389
Konsol
Etki: Kötü amaçlı günlük girdisine tıklanması uygulamanın beklenmeyen şekilde yürütülmesine neden olabilir
Açıklama: Bu güncelleme ekli URL'si olan günlük girdisine tıklanması durumundaki Konsol davranışını değiştirmiştir. Şimdi Konsol URL'yi açmak yerine URL'yi Göz At ile önizler.
CVE kimliği
CVE-2013-5168: Aaron Sigel, vtty.com
CoreGraphics
Etki: Ekran uykuya geçtikten sonra pencereler kilitli ekranda görülebiliyor
Açıklama: CoreGraphics'te bulunan, ekranın uyku modunda işlenmesiyle ilgili bir mantıksal hata verilerde bozulmaya yol açarak pencerelerin kilitli ekranda görülebilmesine neden oluyordu. Bu sorun ekranın uyku modunda işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5169
CoreGraphics
Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyaları işlenirken arabellek yetersizliği oluşuyordu. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5170: Will Dormann, CERT/CC
CoreGraphics
Etki: Ayrıcalığı olmayan bir uygulama güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyor
Açıklama: Ayrıcalığı olmayan bir uygulama bir kısayol tuşu olayına kaydolarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Bu sorun kısayol tuşu olaylarına doğrulama eklenerek giderildi.
CVE kimliği
CVE-2013-5171
curl
Etki: Curl içinde birden çok güvenlik açığı
Açıklama: Curl'de birden çok güvenlik açığı vardı, içlerinde en önemli olanı rastgele kod yürütülmesine neden olmuş olabilir. Bu sorunlar curl'nin 7.30.0 sürümüne güncellenmesiyle giderildi
CVE kimliği
CVE-2013-0249
CVE-2013-1944
dyld
Etki: Bir aygıt üzerinde rastgele kod yürüten bir saldırgan kod yürütmeyi yeniden başlatmalarda sürdürebilir
Açıklama: dyld'nin openSharedCacheFile() işlevinde birden çok önbellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-3950: Stefan Esser
IOKitUser
Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: IOCatalogue içinde null işaretçi dereferansı vardı. Bu sorun ek tür denetimi yapılarak giderildi.
CVE kimliği
CVE-2013-5138: Will Estes
IOSerialFamily
Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir
Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5139: @dent1zt
Çekirdek
Etki: Çekirdekteki SHA-2 özet işlevleri sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: SHA-2 ailesi özet işlevleri için hatalı bir çıkış uzunluğu kullanıldığından bu işlevler özellikle IPSec bağlantıları sırasında çalıştırıldığında çekirdek hatasına neden oldu. Sorun beklenen çıkış uzunluğu kullanılarak giderildi.
CVE kimliği
CVE-2013-5172: Christoph Nadig, Lobotomo Software
Çekirdek
Etki: Çekirdek yığın belleği yerel kullanıcıların kullanımına açılabilir
Açıklama: msgctl ve segctl API'lerinde bilgilerin kullanıma açılması sorunu vardı. Bu sorun çekirdekten döndürülen veri yapılarının başlatılmasıyla giderildi.
CVE kimliği
CVE-2013-5142: Kenx Technology, Inc şirketinden Kenzley Alphonse
Çekirdek
Etki: Yerel kullanıcı servis reddine neden olabilir
Açıklama: Çekirdek rastgele sayı üreticisi kullanıcı alanındaki bir isteği yerine getirirken bir kilidi tutarak yerel kullanıcının büyük bir istek yapmasına ve kilidi uzun süre tutmasına izin verebilir ve dolayısıyla servisin diğer rastgele sayı üreticisi kullanıcıları için reddedilmesine neden olabilir. Bu sorun büyük isteklere ilişkin kilidin daha sık serbest bırakılıp yeniden alınmasıyla giderildi.
CVE kimliği
CVE-2013-5173: Jaakko Pero, Aalto University
Çekirdek
Etki: Yerel, ayrıcalığı olmayan bir kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: Tty okumalarının işlenmesinde bir tamsayı işareti sorunu vardı. Bu sorun tty okumalarının işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5174: CESG
Çekirdek
Etki: Yerel kullanıcı çekirdek belleği bilgilerinin kullanıma açılmasına veya sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: Mach-O dosyalarının işlenmesinde sınırların dışında okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5175
Çekirdek
Etki: Yerel kullanıcı sistemin kilitlenmesine neden olabilir
Açıklama: Tty aygıtlarının işlenmesinde bir tamsayı yuvarlama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5176: CESG
Çekirdek
Etki: Yerel kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: Kullanıcı tarafından sağlanan geçersiz bir iovec yapısı algılanırsa çekirdek hatası oluşabilir. Bu sorun iovec yapılarının doğrulanması iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5177: CESG
Çekirdek
Etki: Ayrıcalığı olmayan işlemler sistemin beklenmeyen şekilde sonlanmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: posix_spawn API'sine geçirilen bağımsız değişkenlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-3954: Stefan Esser
Çekirdek
Etki: Kaynağa özgü çok noktaya gönderme programı Wi-Fi ağı kullanılırken sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: Çok noktaya gönderme paketlerinin işlenmesinde bir hata denetimi sorunu vardı. Bu sorun çok noktaya gönderme paketlerinin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5184: Octoshape
Çekirdek
Etki: Yerel ağdaki bir saldırgan bir servisin reddine neden olabilir
Açıklama: Yerel ağdaki bir saldırgan özel olarak oluşturulmuş IPv6 ICMP paketleri gönderebilir ve yüksek düzeyde CPU yüküne neden olabilir. Bu sorun, sağlama toplamlarını doğrulamadan önce ICMP paketlerine hız sınırlaması uygulayarak giderildi.
CVE kimliği
CVE-2011-2391: Marc Heuse
Çekirdek
Etki: Kötü amaçlı yerel bir uygulama sistemin kilitlenmesine neden olabilir
Açıklama: Çekirdek yuvası arabirimindeki bir tamsayı yuvarlama sorunu CPU'yu sonsuz bir döngüye girmeye zorlamak için kullanılabilirdi. Bu sorun daha büyük boyutlu bir değişken kullanılarak giderildi.
CVE kimliği
CVE-2013-5141: CESG
Kext Yönetimi
Etki: Yetkisiz bir işlem yüklü bazı çekirdek uzantılarını etkisizleştirebilir
Açıklama: Kext yönetiminin, kimliği doğrulanmamış gönderenlerden gelen IPC mesajlarını işlemesinde bir sorun vardı. Bu sorun başka yetki denetimleri eklenerek giderildi.
CVE kimliği
CVE-2013-5145: "Rainbow PRISM"
LaunchServices
Etki: Dosya yanlış uzantı gösterebilirdi.
Açıklama: Belirli unicode karakterlerin işlenmesindeki sorun dosya adlarının hatalı uzantılar göstermesine neden olabilirdi. Sorun güvenli olmayan unicode karakterleri dosya adlarında gösterilmeyecek şekilde filtrelenerek giderildi.
CVE kimliği
CVE-2013-5178: Mozilla Corporation'dan Jesse Ruderman, Intego'dan Stephane Sudre
Libc
Etki: Olağan olmayan durumlarda bazı rastgele sayılar öngörülebilir
Açıklama: Çekirdek rastgele sayı üreticisi srandomdev() işlevine ulaşamadıysa, işlev optimizasyon amacıyla kaldırılan bir alternatif yöntemi kullanarak rastgele olma durumunu ortadan kaldırıyordu. Bu sorun kod optimizasyon çerçevesinde doğru olacak şekilde değiştirilerek giderildi.
CVE kimliği
CVE-2013-5180: Xi Wang
Mail Hesapları
Etki: Mail uygulaması kullanılabilen en güvenli kimlik doğrulama yöntemini seçemeyebilir
Açıklama: Belirli posta sunucularında bir posta hesabı otomatik olarak yapılandırılırken Mail uygulaması CRAM-MD5 kimlik doğrulaması üzerinden düz metin kimlik doğrulamasını seçebilir. Bu sorun işlem mantığı geliştirilerek giderildi.
CVE kimliği
CVE-2013-5181
Mail Başlık Ekranı
Etki: İmzasız bir ileti geçerli bir şekilde imzalanmış gibi görünebilir.
Açıklama: Mail uygulamasının içinde birden çok bölüm/imzalı bölüm olsa da imzasız olan iletileri işlemesinde bir sorun vardı. Bu sorun imzasız iletilerin işlenmesi geliştirilerek giderildi.
CVE kimliği
CVE-2013-5182: Michael Roitzsch, Technische Universität Dresden
Mail Ağı
Etki: TLS olmayan şifreleme yapılandırıldığında bilgiler düz metinde kısa olarak aktarılabilir.
Açıklama: Kerberos kimlik doğrulaması etkinleştirildiğinde ve Aktarım Katmanı Güvenliği etkisizleştirildiğinde, Mail uygulaması posta sunucusuna şifrelenmemiş veriler göndererek bağlantının beklenmeyen şekilde sonlanmasına neden olabiliyordu. Bu sorun bu yapılandırmanın işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5183: Richard E. Silverman, www.qoxp.net
OpenLDAP
Etki: ldapsearch komut satırı aracı minssf yapılandırmasını tanımıyordu
Açıklama: ldapsearch komut satırı aracı minssf yapılandırmasını tanımadığından zayıf şifrelemeye beklenmeyen şekilde izin verilmesine neden olabiliyordu. Bu sorun minssf yapılandırmasının işlenmesi geliştirilerek giderildi.
CVE kimliği
CVE-2013-5185
perl
Etki: Perl betikleri servis reddi açısından savunmasız olabilir.
Açıklama: Güncel olmayan Perl sürümlerindeki yeniden özet oluşturma mekanizması özet anahtarları gibi güvenilmeyen giriş kullanan betiklerde servis reddi açısından savunmasız olabilir. Bu sorun Perl 5.16.2 sürümüne güncellenerek giderildi.
CVE kimliği
CVE-2013-1667
Güç Yönetimi
Etki: Belirtilen süreden sonra ekran kilidi tutulamayabilir
Açıklama: Güç ayırma yönetiminde bir kilitleme sorunu vardı. Sorun kilidin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5186: David Herman, Sensible DB Design
python
Etki: Python 2.7 sürümünde birden çok güvenlik açığı
Açıklama: Python 2.7.2 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.7.5 sürümüne güncelleyerek giderildi. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/
CVE kimliği
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Etki: Python 2.6 sürümünde birden çok güvenlik açığı
Açıklama: Python 2.6.7 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.6.8 sürümüne güncelleyerek ve Python projesinden CVE-2011-4944 yamasını uygulayarak bu sorunu giderir. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/
CVE kimliği
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir
Açıklama: Ruby'nin SSL sertifikalarını işlemesinde bir ana bilgisayar adı doğrulama sorunu vardı. Bu sorun Ruby 2.0.0p247 sürümüne güncellenerek giderildi.
CVE kimliği
CVE-2013-4073
Güvenlik
Etki: MD5 özetleri olan X.509 sertifikalarına yönelik destek, saldırılar geliştikçe kullanıcıları yanıltmalara açık hale getirebilir ve bilgilerin kullanıma açılmasına neden olabilir
Açıklama: MD5 özet algoritması kullanılarak imzalanan sertifikalar OS X tarafından kabul edildiler. Bu algoritmada bilinen şifreleme zayıflıkları vardır. Saldırgan tarafından kontrol edilen değerlerle X.509 sertifikaları oluşturmasına izin verilmiş olabilecek başka araştırma yetkilisine veya yanlış yapılandırılan bir sertifika yetkilisine sistem tarafından güvenilmiş olabilir. Bu, X.509 temelli protokollerini yanıltmaya, bağlantıları izleyen saldırılara ve bilgilerin kullanıma açılmasına karşı savunmasız hale getirebilir. Bu güncelleme MD5 özeti olan X.509 sertifikasının güvenilen kök sertifika olarak kullanımı dışında hiç bir kullanımını desteklemez.
CVE kimliği
CVE-2011-3427
Güvenlik - Yetki Verme
Etki: Yöneticinin güvenlik tercihleri göz önüne alınmayabilir
Açıklama: "Kilit simgeli sistem tercihlerine erişmek için bir yönetici parolası gerektir" ayarları yöneticilerin hassas sistem ayarlarına bir koruma katmanı daha eklemesine olanak tanır. Yönetici bu ayarı etkinleştirdiğinde, bir yazılım güncellemesi veya yükseltmesi uygulanması bazı durumlarda daha sonra bu ayarı etkisizleştirebiliyordu. Bu sorun kimlik doğrulama haklarının işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5189: Greg Onufer
Güvenlik - Akıllı Kart Servisleri
Etki: Akıllı Kart Servisleri sertifika iptali denetimleri etkinleştirildiğinde kullanılamayabilir
Açıklama: OS X'in Akıllı Kart sertifika iptali denetimlerini işlemesinde bir mantıksal hata vardı. Sorun sertifika iptali desteği iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5190: Yongjun Jeon, Centrify Corporation
Ekran Kilidi
Etki: "Ekranı Kilitle" komutu anında etkili olmayabiliyor
Açıklama: Anahtar Zinciri Durumu menü çubuğu öğesindeki "Ekranı Kilitle" komutu "Uyuduktan veya ekran koruyucu başladıktan [süre] sonra parola gereksin" ayarının süresi geçinceye kadar etkili olmuyordu.
CVE kimliği
CVE-2013-5187: Michael Kisor, OrganicOrb.com, Christian Knappskog, NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed
Ekran Kilidi
Etki: Otomatik oturum açması olan, hazırda bekletilen Mac uyanmak için parola gerektirmeyebilir
Açıklama: Hazırda bekletme ve otomatik oturum açma etkinleştirilmiş bir Mac parola istemeden hazırda bekletme modundan uyanabilir. Bu sorun kilidin işlenmesi iyileştirilerek giderildi.
CVE kimliği
CVE-2013-5188: Levi Musters
Ekran Paylaşımı Sunucusu
Etki: Uzak bir saldırgan zorunlu bir kodun yürütülmesine neden olabilir
Açıklama: Ekran Paylaşımı Sunucusu'nun VNC kullanıcı adını işlemesinde bir biçim dizesi güvenlik açığı vardı.
CVE kimliği
CVE-2013-5135: iDefense VCP ile çalışan SilentSignal
syslog
Etki: Konuk kullanıcı önceki Konukların günlük mesajlarını görebilir
Açıklama: Konuk kullanıcı konsol günlüğünü ve günlükteki önceki Konuk kullanıcı oturumlarına ait mesajları görebiliyordu. Bu sorun Konuk kullanıcıların konsol günlüğünü yalnızca yöneticilerin görebilmesi sağlanarak giderildi.
CVE kimliği
CVE-2013-5191: Sven-S. Porst, earthlingsoft
USB
Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir
Açıklama: USB hub denetleyicisi isteklerin bağlantı noktasını ve bağlantı noktası numarasını denetlemedi. Sorun bağlantı noktası ve bağlantı noktası numarası denetimleri eklenerek giderildi.
CVE kimliği
CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano
Not: OS X Mavericks'te Safari 6.1'in güvenlik içeriğini bulunduran Safari 7.0 vardır. Ayrıntılı bilgi için "Safari 6.1'in güvenlik içeriği hakkında" başlıklı makaleye bakın: http://support.apple.com/kb/HT6000?viewlocale=tr_TR
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.