OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004'ün güvenlik içeriği hakkında
Bu belgede OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004'ün güvenlik içeriği açıklanmaktadır.
Bunlar Yazılım Güncelleme tercihlerinden veya Apple İndirilenler sayfasından indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004
Apache
İlgili sürümler: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Apache'de birden fazla güvenlik açığı
Açıklama: Apache'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, siteler arası komut dosyası oluşturmaya neden olabiliyordu. Apache 2.2.24 sürümüne güncellenerek bu sorunlar giderildi.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: BIND'de birden fazla güvenlik açığı
Açıklama: BIND'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, servis reddine neden olabiliyordu. BIND sürümünün 9.8.5-P1'e güncellenmesiyle bu sorunlar giderildi. Mac OS X v10.7 sistemleri, CVE-2012-5688'den etkilenmemiştir.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Kök sertifikalar güncellendi
Açıklama: Çeşitli sertifikalar sistem kökleri listesine eklendi veya listeden kaldırıldı. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması aracılığıyla görüntülenebilir.
ClamAV
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Etki: ClamAV'de birden fazla güvenlik açığı
Açıklama: ClamAV'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, rastgele kod yürütülmesine neden olabiliyordu. ClamAV 0.97.8 sürümüne güncellenerek bu sorunlar giderildi.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını görüntülemek bir uygulamanın beklenmeyen biçimde sonlandırılmasına veya rastgele kod yürütmeye neden olabilir
Açıklama: PDF dosyalarındaki JBIG2 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.
CVE-ID
CVE-2013-1025: Google Güvenlik Ekibi'nden Felix Groebert
ImageIO
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını görüntülemek bir uygulamanın beklenmeyen biçimde sonlandırılmasına veya rastgele kod yürütmeye neden olabilir
Açıklama: PDF dosyalarındaki JPEG2000 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.
CVE-ID
CVE-2013-1026: Google Güvenlik Ekibi'nden Felix Groebert
Installer
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Sertifika iptalinden sonra paketler açılabiliyordu
Açıklama: Yükleyici iptal edilmiş bir sertifikayla karşılaştığında devam etme seçeneğinin bulunduğu bir iletişim kutusu sunuyordu. İletişim kutusu kaldırılarak ve iptal edilen paketler reddedilerek sorun giderildi.
CVE-ID
CVE-2013-1027
IPSec
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Bir saldırgan, IPSec Hybrid Auth ile korunan verileri ele geçirebilir
Açıklama: Bir IPSec Hybrid Auth sunucusunun DNS adı, sertifikayla eşleştirilmiyordu. Bu durum, herhangi bir sunucunun sertifikasına sahip bir saldırganın, başka sunucularda sertifika sahteciliği yapmasına olanak tanıyordu. Sertifika doğru şekilde kontrol edilerek bu sorun giderildi.
CVE-ID
CVE-2013-1028: www.traud.de'den Alexander Traud
Kernel
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4
Etki: Bir yerel ağ kullanıcısı servis reddine neden olabilir
Açıklama: Çekirdekteki IGMP paket ayrıştırma kodundaki hatalı bir denetim, sisteme IGMP paketleri gönderebilen bir kullanıcının çekirdek hatası oluşturmasına neden oluyordu. Denetim kaldırılarak bu sorun giderildi.
CVE-ID
CVE-2013-1029: PROTECTSTAR INC. şirketinden Christopher Bohn
Mobile Device Management
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Parolalar diğer yerel kullanıcılara ifşa edilebilir
Açıklama: Komut satırında mdmclient'a bir parola iletilebiliyordu. Bu durum, parolanın aynı sistemdeki diğer kullanıcılar tarafından görülebilmesine sebep oluyordu. Parolanın bir kanal aracılığıyla iletilmesiyle sorun giderildi.
CVE-ID
CVE-2013-1030: Göteborg Üniversitesi'nden Per Olofsson
OpenSSL
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, kullanıcı verilerinin açığa çıkmasına neden olabiliyordu. OpenSSL 0.9.8y sürümüne güncellenerek bu sorunlar giderildi.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: PHP'de birden fazla güvenlik açığı
Açıklama: PHP'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, rastgele kod yürütülmesine neden olabiliyordu. PHP 5.3.26 sürümüne güncellenerek bu sorunlar giderildi.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: PostgreSQL'de birden fazla güvenlik açığı
Açıklama: PostgreSQL'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, veri bozulmasına veya ayrıcalık yönlendirmesine neden olabiliyordu. OS X Lion sistemleri, CVE-2013-1901'den etkilenmemiştir. Bu güncelleme, PostgreSQL'i OS X Mountain Lion sistemlerinde 9.1.9 ve OS X Lion sistemlerinde 9.0.4 sürümüne güncelleyerek sorunları giderir.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4
Etki: Ekran koruyucu belirtilen süre sonunda başlamayabilir
Açıklama: Bir güç doğrulama kilidi sorunu vardı. Bu sorun, kilidin işlenmesi iyileştirilerek giderildi.
CVE-ID
CVE-2013-1031
QuickTime
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: QuickTime film dosyalarının "idsc" atomlarının işlenmesinde bir bellek bozulması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.
CVE-ID
CVE-2013-1032: iDefense VCP ile birlikte çalışan Jason Kratzer
Screen Lock
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4
Etki: Ekran paylaşımı erişimi olan bir kullanıcı, başka bir kullanıcı oturum açtığında ekran kilidini atlayabilir
Açıklama: Ekran kilidinin ekran paylaşımı oturumlarını işlemesinde bir oturum yönetimi sorunu vardı. Bu sorun, iyileştirilmiş oturum takibiyle giderildi.
CVE-ID
CVE-2013-1033: Atos IT Solutions'tan Jeff Grisso, Sébastien Stormacq
sudo
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4
Etki: Yönetici kullanıcının hesabını kontrol eden bir saldırgan, kullanıcının şifresini bilmeden kök ayrıcalıkları elde edebilir
Açıklama: Bir saldırgan, sistem saatini ayarlayarak daha önce sudo'nun kullanıldığı sistemlerde kök ayrıcalıkları kazanmak için sudo'yu kullanabilir. OS X'te sistem saatini yalnızca yönetici kullanıcılar değiştirebilir. Geçersiz zaman damgası olup olmadığı kontrol edilerek bu sorun giderildi.
CVE-ID
CVE-2013-1775
Not: OS X Mountain Lion v10.8.5'te, belirli Unicode dizelerinin uygulamaların beklenmedik şekilde kapanmasına neden olabileceği bir sorun da giderilmiştir.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.