Informace o bezpečnostním obsahu OS X Mountain Lionu v10.8.5 a bezpečnostní aktualizace 2013-004
Tento dokument popisuje bezpečnostní obsah OS X Mountain Lionu v10.8.5 a bezpečnostní aktualizaci 2013-004.
Tyto aktualizace jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
OS X Mountain Lion v10.8.5 a bezpečnostní aktualizace 2013-004
Apache
K dispozici pro: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Několik bezpečnostních slabin v softwaru Apache.
Popis: V softwaru Apache existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke skriptování napříč weby. Problémy byly vyřešeny aktualizací Apache na verzi 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Několik bezpečnostních slabin v softwaru BIND.
Popis: V softwaru BIND existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést k odmítnutí služby. Problémy byly vyřešeny aktualizací softwaru BIND na verzi 9.8.5-P1. Problém CVE-2012-5688 se netýká systémů Mac OS X v10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Kořenové certifikáty byly aktualizovány.
Popis: Několik certifikátů bylo přidáno na seznam systémových kořenových certifikátů nebo bylo z tohoto seznamu odebráno. Úplný seznam uznávaných systémových kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.
ClamAV
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Dopad: Několik bezpečnostních slabin v nástroji ClamAV.
Popis: V ClamAV existuje několik bezpečnostních slabin. Nejzávažnější z nich může vést ke spuštění libovolného kódu. Aktualizace problémy řeší aktualizací nástroje ClamAV na verzi 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4
Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracování dat s kódováním JBIG2 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-1025: Felix Groebert z týmu Google Security
ImageIO
K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4
Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
Popis: Při zpracování dat s kódováním JPEG2000 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-1026: Felix Groebert z týmu Google Security
Installer
K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Balíčky lze otevřít po odvolání certifikátu.
Popis: Pokud Installer zjistí odvolaný certifikát, zobrazí dialogové okno s možností pokračovat. Problém byl vyřešen odstraněním dialogového okna a odmítnutím odvolaných balíčků.
CVE-ID
CVE-2013-1027
IPSec
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Útočník může zachytit data chráněná pomocí serveru IPSec Hybrid Auth.
Popis: Název DNS pro server IPSec Hybrid Auth nebyl porovnán s certifikátem, což může útočníkovi s certifikátem pro libovolný sever umožnit vydávat se za jiný server. Problém byl vyřešen řádnou kontrolou certifikátu.
CVE-ID
CVE-2013-1028: Alexander Traud z www.traud.de
Kernel
K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4
Dopad: Uživatel místní sítě může způsobit odmítnutí služby.
Popis: Nesprávná kontrola v kódu parsování balíčku IGMP v jádru umožnila uživateli, který by mohl odeslat balíčky IGMP do systému, způsobit chybu jádra. Problém byl vyřešen odebráním kontroly.
CVE-ID
CVE-2013-1029: Christopher Bohn ze společnosti PROTECTSTAR INC.
Mobile Device Management
K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Hesla mohou být prozrazena dalším místním uživatelům.
Popis: Na příkazovém řádku bylo do klienta mdmclient předáno heslo, které pak bylo viditelné ostatním uživatelům ve stejném systému. Problém byl vyřešen předáním hesla prostřednictvím kanálu.
CVE-ID
CVE-2013-1030: Per Olofsson z univerzity v Göteborgu
OpenSSL
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Několik bezpečnostních slabin v OpenSSL.
Popis: V softwaru OpenSSL existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke zveřejnění dat uživatelů. Problémy byly vyřešeny aktualizací OpenSSL na verzi 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
OpenSSL
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Několik bezpečnostních slabin v PHP.
Popis: V PHP existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke spuštění libovolného kódu. Problémy byly vyřešeny aktualizací PHP na verzi 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Několik bezpečnostních slabin v PostgreSQL.
Popis: V PostgreSQL existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést k poškození dat nebo navýšení oprávnění. Problém CVE-2013-1901 se netýká systémů OS X Lion. Aktualizace problém řeší aktualizací PostgreSQL na verzi 9.1.9 v systémech OS X Mountain Lion a na verzi 9.0.4 v systémech OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4
Dopad: Spořič obrazovky se nemusí spustit po zadané době.
Popis: Docházelo k problému se zámkem převzetí řízení. Problém byl vyřešen vylepšením správy zámku.
CVE-ID
CVE-2013-1031
QuickTime
K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracování atomů „idsc“ ve videosouborech QuickTime docházelo k poškození paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2013-1032: Jason Kratzer pracující pro iDefense VCP
Screen Lock
K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4
Dopad: Uživatel s přístupem ke sdílení obrazovky může být schopen obejít zámek obrazovky, když je přihlášený jiný uživatel.
Popis: Při zpracování relací sdílení obrazovky zámkem obrazovky docházelo k problému se správou relace. Problém byl vyřešen vylepšením sledováním relací.
CVE-ID
CVE-2013-1033: Jeff Grisso ze společnosti Atos IT Solutions, Sébastien Stormacq
sudo
K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4
Dopad: Útočník, který ovládá účet uživatele správce, může být schopen získat kořenová oprávnění, aniž by znal heslo uživatele.
Popis: Nastavením systémových hodin může být útočník schopen použít příkaz sudo k získání kořenových oprávnění v systémech, kde byl příkaz sudo již použit. V systému OS X mohou systémové hodiny změnit pouze uživatelé s oprávněními správce. Problém byl vyřešen kontrolou neplatného časového razítka.
CVE-ID
CVE-2013-1775
Poznámka: OS X Mountain Lion v10.8.5 dále řeší problém, kdy určité řetězce Unicode mohly způsobit neočekávané ukončení aplikací.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.