OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004'ün güvenlik içeriği hakkında

Bu belgede OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004'ün güvenlik içeriği açıklanmaktadır.

Bunlar Yazılım Güncelleme tercihlerinden veya Apple İndirilenler sayfasından indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

OS X Mountain Lion v10.8.5 ve Güvenlik Güncellemesi 2013-004

  • Apache

    İlgili sürümler: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Apache'de birden fazla güvenlik açığı

    Açıklama: Apache'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, siteler arası komut dosyası oluşturmaya neden olabiliyordu. Apache 2.2.24 sürümüne güncellenerek bu sorunlar giderildi.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: BIND'de birden fazla güvenlik açığı

    Açıklama: BIND'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, servis reddine neden olabiliyordu. BIND sürümünün 9.8.5-P1'e güncellenmesiyle bu sorunlar giderildi. Mac OS X v10.7 sistemleri, CVE-2012-5688'den etkilenmemiştir.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Kök sertifikalar güncellendi

    Açıklama: Çeşitli sertifikalar sistem kökleri listesine eklendi veya listeden kaldırıldı. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması aracılığıyla görüntülenebilir.

  • ClamAV

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Etki: ClamAV'de birden fazla güvenlik açığı

    Açıklama: ClamAV'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, rastgele kod yürütülmesine neden olabiliyordu. ClamAV 0.97.8 sürümüne güncellenerek bu sorunlar giderildi.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını görüntülemek bir uygulamanın beklenmeyen biçimde sonlandırılmasına veya rastgele kod yürütmeye neden olabilir

    Açıklama: PDF dosyalarındaki JBIG2 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.

    CVE-ID

    CVE-2013-1025: Google Güvenlik Ekibi'nden Felix Groebert

  • ImageIO

    İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını görüntülemek bir uygulamanın beklenmeyen biçimde sonlandırılmasına veya rastgele kod yürütmeye neden olabilir

    Açıklama: PDF dosyalarındaki JPEG2000 kodlu verilerin işlenmesinde arabellek taşması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.

    CVE-ID

    CVE-2013-1026: Google Güvenlik Ekibi'nden Felix Groebert

  • Installer

    İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Sertifika iptalinden sonra paketler açılabiliyordu

    Açıklama: Yükleyici iptal edilmiş bir sertifikayla karşılaştığında devam etme seçeneğinin bulunduğu bir iletişim kutusu sunuyordu. İletişim kutusu kaldırılarak ve iptal edilen paketler reddedilerek sorun giderildi.

    CVE-ID

    CVE-2013-1027

  • IPSec

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Bir saldırgan, IPSec Hybrid Auth ile korunan verileri ele geçirebilir

    Açıklama: Bir IPSec Hybrid Auth sunucusunun DNS adı, sertifikayla eşleştirilmiyordu. Bu durum, herhangi bir sunucunun sertifikasına sahip bir saldırganın, başka sunucularda sertifika sahteciliği yapmasına olanak tanıyordu. Sertifika doğru şekilde kontrol edilerek bu sorun giderildi.

    CVE-ID

    CVE-2013-1028: www.traud.de'den Alexander Traud

  • Kernel

    İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4

    Etki: Bir yerel ağ kullanıcısı servis reddine neden olabilir

    Açıklama: Çekirdekteki IGMP paket ayrıştırma kodundaki hatalı bir denetim, sisteme IGMP paketleri gönderebilen bir kullanıcının çekirdek hatası oluşturmasına neden oluyordu. Denetim kaldırılarak bu sorun giderildi.

    CVE-ID

    CVE-2013-1029: PROTECTSTAR INC. şirketinden Christopher Bohn

  • Mobile Device Management

    İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Parolalar diğer yerel kullanıcılara ifşa edilebilir

    Açıklama: Komut satırında mdmclient'a bir parola iletilebiliyordu. Bu durum, parolanın aynı sistemdeki diğer kullanıcılar tarafından görülebilmesine sebep oluyordu. Parolanın bir kanal aracılığıyla iletilmesiyle sorun giderildi.

    CVE-ID

    CVE-2013-1030: Göteborg Üniversitesi'nden Per Olofsson

  • OpenSSL

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: OpenSSL'de birden fazla güvenlik açığı

    Açıklama: OpenSSL'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, kullanıcı verilerinin açığa çıkmasına neden olabiliyordu. OpenSSL 0.9.8y sürümüne güncellenerek bu sorunlar giderildi.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: PHP'de birden fazla güvenlik açığı

    Açıklama: PHP'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, rastgele kod yürütülmesine neden olabiliyordu. PHP 5.3.26 sürümüne güncellenerek bu sorunlar giderildi.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: PostgreSQL'de birden fazla güvenlik açığı

    Açıklama: PostgreSQL'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, veri bozulmasına veya ayrıcalık yönlendirmesine neden olabiliyordu. OS X Lion sistemleri, CVE-2013-1901'den etkilenmemiştir. Bu güncelleme, PostgreSQL'i OS X Mountain Lion sistemlerinde 9.1.9 ve OS X Lion sistemlerinde 9.0.4 sürümüne güncelleyerek sorunları giderir.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4

    Etki: Ekran koruyucu belirtilen süre sonunda başlamayabilir

    Açıklama: Bir güç doğrulama kilidi sorunu vardı. Bu sorun, kilidin işlenmesi iyileştirilerek giderildi.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime film dosyalarının "idsc" atomlarının işlenmesinde bir bellek bozulması sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.

    CVE-ID

    CVE-2013-1032: iDefense VCP ile birlikte çalışan Jason Kratzer

  • Screen Lock

    İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.4

    Etki: Ekran paylaşımı erişimi olan bir kullanıcı, başka bir kullanıcı oturum açtığında ekran kilidini atlayabilir

    Açıklama: Ekran kilidinin ekran paylaşımı oturumlarını işlemesinde bir oturum yönetimi sorunu vardı. Bu sorun, iyileştirilmiş oturum takibiyle giderildi.

    CVE-ID

    CVE-2013-1033: Atos IT Solutions'tan Jeff Grisso, Sébastien Stormacq

  • sudo

    İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 - v10.8.4

    Etki: Yönetici kullanıcının hesabını kontrol eden bir saldırgan, kullanıcının şifresini bilmeden kök ayrıcalıkları elde edebilir

    Açıklama: Bir saldırgan, sistem saatini ayarlayarak daha önce sudo'nun kullanıldığı sistemlerde kök ayrıcalıkları kazanmak için sudo'yu kullanabilir. OS X'te sistem saatini yalnızca yönetici kullanıcılar değiştirebilir. Geçersiz zaman damgası olup olmadığı kontrol edilerek bu sorun giderildi.

    CVE-ID

    CVE-2013-1775

  • Not: OS X Mountain Lion v10.8.5'te, belirli Unicode dizelerinin uygulamaların beklenmedik şekilde kapanmasına neden olabileceği bir sorun da giderilmiştir.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: