Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004.

Disse kan lastes ned og installeres via valgene i Programvareoppdatering eller Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Hvis du vil ha mer informasjon om andre sikkerhetsoppdateringer, går du til «Sikkerhetsoppdateringer fra Apple

OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004

  • Apache

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i Apache

    Beskrivelse: Det var mange sårbarheter i Apache, og den alvorligste kan føre til skripting mellom nettsteder. Disse problemene ble løst ved å oppdatere Apache til versjon 2.2.24.

    CVE-ID

    CVE-2014-3522

    CVE-2014-3528

    CVE-2014-3580

    CVE-2014-8108

  • Bind

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i BIND

    Beskrivelse: Det var flere sårbarheter i BIND, og de alvorligste kan føre til tjenestenekt. Disse problemene ble løst ved å oppdatere BIND til versjon 9.8.5-P1. CVE-2012-5688 påvirket ikke Mac OS X v10.7-systemer.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over systemrøtter. Den komplette listen over gjenkjente systemrøtter kan vises via Nøkkelringtilgang-programmet.

  • ClamAV

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Virkning: Flere sårbarheter i ClamAV

    Beskrivelse: Det er mange svakheter i ClamAV, og den alvorligste kan forårsake utføring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere ClamAV til versjon 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1025: Felix Groebert fra Google Security Team{

  • ImageIO

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-kodede data i PDF-filer. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • Installer

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Pakker kunne åpnes etter oppheving av sertifikat

    Beskrivelse: Da installeringsprogrammet oppdaget et opphevet sertifikat, presenterte det en dialogrute med et valg for å fortsette. Problemet ble løst ved å fjerne dialogruten og avvise alle opphevede pakker.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En angriper kan fange opp data som er beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-tjener ble ikke sammenholdt med sertifikatet slik at en angriper med et sertifikat for hvilken som helst tjener, kunne utgi seg for å være en annen. Dette problemet ble løst med riktig kontroll av sertifikatet.

    CVE-ID

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kernel

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En lokal nettverksbruker kan forårsake tjenestenekt

    Beskrivelse: En feil sjekk i IGMP-pakkeanalysekoden i kjernen gjorde det mulig for en bruker som kunne sende IGMP-pakker til systemet, å forårsake en kjernepanikk. Problemet ble løst ved å fjerne sjekken.

    CVE-ID

    CVE-2013-1029 : Christopher Bohn fra PROTECTSTAR INC.

  • Mobile Device Management

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Passord kan bli vist til andre lokale brukere

    Beskrivelse: Et passord ble sendt på kommandolinjen til mdmclient, noe som gjorde det synlig for andre brukere i samme system. Problemet ble løst ved å kommunisere passordet gjennom et rør.

    CVE-ID

    CVE-2013-1030 : Per Olofsson fra universitetet i Gøteborg

  • OpenSSL

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: Det var flere sårbarheter i OpenSSL, og den alvorligste kan forårsake fremlegging av brukerdata. Problemene ble løst ved å oppdatere OpenSSL til versjon 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere svakheter i PHP

    Beskrivelse: Det var mange sårbarheter i PHP, og den alvorligste kan forårsake utføring av vilkårlig kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i PostgreSQL

    Beskrivelse: Det er flere sårbarheter i PostgreSQL, og den alvorligste kan føre til dataødeleggelse eller eskalering av rettigheter. CVE-2013-1901 påvirker ikke OS X Lion-systemer. Denne oppdateringen løser problemene ved å oppdatere PostgreSQL til versjon 9.1.9 i OS X Mountain Lion-systemer, og til 9.0.4 i OS X Lion-systemer.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Skjermspareren starter kanskje ikke etter angitt tidsperiode

    Beskrivelse: Det var et problem med strømpåstandslås. Dette problemet er løst gjennom forbedret låshåndtering.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av «idsc»-atomer i QuickTime-filmfiler. Problemet ble løst gjennom ytterligere grenseverdikontroll.

    CVE-ID

    CVE-2013-1032 : Jason Kratzer i samarbeid med iDefense VCP

  • Screen Lock

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En bruker med skjermdelingstilgang kan forbigå skjermlåsen når en annen bruker er logget på

    Beskrivelse: Det var et øktadministrasjonsproblem i skjermlåsens håndtering av skjermdelingsøkter. Problemet ble løst gjennom forbedret sporing av økter.

    CVE-ID

    CVE-2013-1033 : Jeff Grisso fra Atos IT Solutions, Sébastien Stormacq

  • sudo

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En angriper med kontroll over en administratorbrukerkonto kan greie å få rotrettigheter uten å kjenne brukerens passord

    Beskrivelse: Ved å fastsette systemklokken kunne en angriper bruke sudo til å oppnå rotrettigheter i systemer der sudo har vært brukt tidligere. I OS X er det bare administratorbrukere som kan endre systemklokken. Dette problemet ble løst ved å se etter et ugyldig tidsstempel.

    CVE-ID

    CVE-2013-1775

  • Merk: OS X Mountain Lion v10.8.5 løser også et problem der visse Unicode-strenger kunne føre til uventet programavslutning.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: