Over de beveiligingsinhoud van OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001 beschreven.

OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001 kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Opmerking: OS X Mountain Lion v10.8.3 bevat de inhoud van Safari 6.0.3. Voor meer informatie raadpleeg je Over de beveiligingsinhoud van Safari 6.0.3.

OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001

• Apache

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een aanvaller heeft mogelijk toegang tot directories die zijn beveiligd met een identiteitscontrole via HTTP zonder de juiste inloggegevens te kennen

  Beschrijving: er was een canonicalisatieprobleem bij de verwerking van URI's met negeerbare Unicode-tekenreeksen. Dit probleem is verholpen door mod_hfs_apple zo bij te werken dat de toegang tot URI's met negeerbare Unicode-tekenreeksen verboden is.

  CVE-ID

  CVE-2013-0966: Clint Ruoho van Laconic Security

• CoreTypes

  Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat een Java Web Start-programma automatisch wordt gestart zelfs als de Java-plugin is uitgeschakeld

  Beschrijving: Java Web Start-programma's worden gestart zelfs als de Java-plugin is uitgeschakeld. Dit probleem is verholpen door JNLP-bestanden te verwijderen uit de lijst met veilige bestandstypen van CoreTypes zodat het Web Start-programma niet wordt gestart tenzij de gebruiker het opent in de map Downloads.

  CVE-ID

  CVE-2013-0967

• ICU

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval

  Beschrijving: er was een canonicalisatieprobleem bij de verwerking van de EUC-JP-codering, wat kan leiden tot een cross-site scripting-aanval op websites met EUC-JP-codering. Dit probleem is verholpen door de EUC-JP-toewijzingstabel bij te werken.

  CVE-ID

  CVE-2011-3058: Masato Kinugawa

• Identiteitsvoorzieningen

  Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een identiteitscontrole die steunt op de identiteitscontrole van een Apple ID op basis van een certificaat, wordt mogelijk genegeerd

  Beschrijving: er was een probleem met een foutieve afhandeling in Identiteitsvoorzieningen. Als het certificaat van de Apple ID van de gebruiker niet was gevalideerd, werd de Apple ID van de gebruiker beschouwd als de lege tekenreeks. Als deze status wordt aangenomen door meerdere systemen die behoren tot verschillende gebruikers, kunnen programma's die steunen op deze identiteitsbepaling mogelijk de identiteit ten onrechte vertrouwen. Dit probleem is verholpen door ervoor te zorgen dat NULL het resultaat is en niet een lege tekenreeks.

  CVE-ID

  CVE-2013-0963

• ImageIO

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij de verwerking van TIFF-bestanden door libtiff. Dit probleem is verholpen door een extra validatie van TIFF-afbeeldingen.

  CVE-ID

  CVE-2012-2088

• IOAcceleratorFamily

  Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht uitzetten van het systeem of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van grafische gegevens. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0976: een anonieme onderzoeker

• Kernel

  Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: kwaadwillig vervaardigde of aangetaste programma's kunnen adressen in de kernel bepalen

  Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API's gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.

  CVE-ID

  CVE-2012-3749: Mark Dowd van Azimuth Security, Eric Monti van Square en andere anonieme onderzoekers

• Inlogvenster

  Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een aanvaller met toegang tot het toetsenbord kan de systeemconfiguratie wijzigen

  Beschrijving: er was een logische fout bij de verwerking van het inlogvenster door VoiceOver waarbij een aanvaller met toegang tot het toetsenbord Systeemvoorkeuren kan starten en de systeemconfiguratie kan wijzigen. Dit probleem is verholpen door te vermijden dat VoiceOver programma's kan starten in het inlogvenster.

  CVE-ID

  CVE-2013-0969: Eric A. Schulman van Purpletree Labs

• Berichten

  Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: klikken op een koppeling in Berichten kan een FaceTime-oproep starten zonder dat dit wordt gevraagd

  Beschrijving: door te klikken op een specifieke FaceTime://-URL in Berichten, kan de standaard bevestigingsprompt worden overgeslagen. Dit probleem is verholpen door een extra validatie van FaceTime://-URL's.

  CVE-ID

  CVE-2013-0970: Aaron Sigel van vtty.com

• Server voor Berichten

  Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan federatieve Jabber-berichten omleiden

  Beschrijving: er was een probleem met de verwerking van dialback-resultaatberichten op de Jabber-server. Een aanvaller kan ervoor zorgen dat de Jabber-server informatie vrijgeeft die bedoeld is voor gebruikers van federatieve servers. Dit probleem is verholpen door een verbeterde verwerking van dialback-resultaatberichten.

  CVE-ID

  CVE-2012-3525

• PDFKit

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was 'use after free'-probleem bij de verwerking van handgeschreven annotaties in pdf-bestanden. Dit probleem is verholpen door een verbeterd geheugenbeer.

  CVE-ID

  CVE-2013-0971: Tobias Klein in samenwerking met het Zero Day Initiative van HP TippingPoint

• Podcast Producer-server

  Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Podcast Producer-server.

  CVE-ID

  CVE-2013-0156

• Podcast Producer-server

  Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van JSON-gegevens door Ruby on Rails. Dit probleem is verholpen door over te schakelen naar de JSONGem-back-end voor JSON-parsering in de Rails-implementatie die wordt gebruikt door Podcast Producer-server.

  CVE-ID

  CVE-2013-0333

• PostgreSQL

  Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5

  Impact: meerdere kwetsbaarheden in PostgreSQL

  Beschrijving: PostgreSQL is bijgewerkt naar versie 9.1.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste ervoor kunnen zorgen dat gebruikers bestanden uit het bestandssysteem kunnen lezen met de bevoegdheden van de account van de databaseserverfunctie. Je vindt meer informatie op de website van PostgreSQL op http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

  CVE-ID

  CVE-2012-3488

  CVE-2012-3489

• Profielbeheer

  Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Profielbeheer.

  CVE-ID

  CVE-2013-0156

• QuickTime

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een bufferoverloop bij de verwerking van 'met'-vakken in mp4-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2012-3756: Kevin Szkudlapski van QuarksLab

• Ruby

  Beschikbaar voor: Mac OS X Server 10.6.8

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken als een Rails-programma wordt uitgevoerd

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door YAML en symbolen in XML-parameters in Rails uit te schakelen.

  CVE-ID

  CVE-2013-0156

• Beveiliging

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen

  Beschrijving: meerdere intermediaire CA-certificaten zijn onterecht uitgereikt door TURKTRUST. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem is verholpen door de onjuiste SSL-certificaten niet toe te staan.

• Software-update

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5

  Impact: een aanvaller in een geprivilegieerde netwerkpositie kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: Software-update stond een man-in-the-middle-aanvaller toe om plugininhoud in te voegen in de marketingtekst van updates. Zo kan een kwetsbare plugin worden gebruikt of social engineering-aanvallen via plugins worden vereenvoudigd. Dit probleem is niet van invloed op systemen met OS X Mountain Lion. Dit probleem is verholpen door te voorkomen dat plugins worden geladen in de marketingtekst WebView van Software-update.

  CVE-ID

  CVE-2013-0973: Emilio Escobar

• Wiki Server

  Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Wiki Server.

  CVE-ID

  CVE-2013-0156

• Wiki Server

  Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5

  Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

  Beschrijving: er was een probleem met de conversie van typen bij de verwerking van JSON-gegevens door Ruby on Rails. Dit probleem is verholpen door over te schakelen naar de JSONGem-back-end voor JSON-parsering in de Rails-implementatie die wordt gebruikt door Wiki Server.

  CVE-ID

  CVE-2013-0333

• Malware verwijderen

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

  Beschrijving: deze update voert een hulpprogramma voor malwareverwijdering uit dat de meest voorkomende varianten van malware verwijdert. Als malware wordt aangetroffen, toont het hulpprogramma de gebruiker een bericht met de melding dat de malware is verwijderd. De gebruiker ziet geen bericht als er geen malware wordt aangetroffen.

FaceTime is niet in alle landen of regio's beschikbaar.