Informace o bezpečnostním obsahu OS X Mountain Lionu v10.8.5 a bezpečnostní aktualizace 2013-004

Tento dokument popisuje bezpečnostní obsah OS X Mountain Lionu v10.8.5 a bezpečnostní aktualizaci 2013-004.

Tyto aktualizace jde stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo z webu Apple se soubory ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

OS X Mountain Lion v10.8.5 a bezpečnostní aktualizace 2013-004

  • Apache

    K dispozici pro: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Několik bezpečnostních slabin v softwaru Apache.

    Popis: V softwaru Apache existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke skriptování napříč weby. Problémy byly vyřešeny aktualizací Apache na verzi 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Několik bezpečnostních slabin v softwaru BIND.

    Popis: V softwaru BIND existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést k odmítnutí služby. Problémy byly vyřešeny aktualizací softwaru BIND na verzi 9.8.5-P1. Problém CVE-2012-5688 se netýká systémů Mac OS X v10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Kořenové certifikáty byly aktualizovány.

    Popis: Několik certifikátů bylo přidáno na seznam systémových kořenových certifikátů nebo bylo z tohoto seznamu odebráno. Úplný seznam uznávaných systémových kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.

  • ClamAV

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Dopad: Několik bezpečnostních slabin v nástroji ClamAV.

    Popis: V ClamAV existuje několik bezpečnostních slabin. Nejzávažnější z nich může vést ke spuštění libovolného kódu. Aktualizace problémy řeší aktualizací nástroje ClamAV na verzi 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracování dat s kódováním JBIG2 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025: Felix Groebert z týmu Google Security

  • ImageIO

    K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Zobrazení škodlivého souboru PDF může vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Při zpracování dat s kódováním JPEG2000 v souborech PDF existovala možnost přetečení vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026: Felix Groebert z týmu Google Security

  • Installer

    K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Balíčky lze otevřít po odvolání certifikátu.

    Popis: Pokud Installer zjistí odvolaný certifikát, zobrazí dialogové okno s možností pokračovat. Problém byl vyřešen odstraněním dialogového okna a odmítnutím odvolaných balíčků.

    CVE-ID

    CVE-2013-1027

  • IPSec

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Útočník může zachytit data chráněná pomocí serveru IPSec Hybrid Auth.

    Popis: Název DNS pro server IPSec Hybrid Auth nebyl porovnán s certifikátem, což může útočníkovi s certifikátem pro libovolný sever umožnit vydávat se za jiný server. Problém byl vyřešen řádnou kontrolou certifikátu.

    CVE-ID

    CVE-2013-1028: Alexander Traud z www.traud.de

  • Kernel

    K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Uživatel místní sítě může způsobit odmítnutí služby.

    Popis: Nesprávná kontrola v kódu parsování balíčku IGMP v jádru umožnila uživateli, který by mohl odeslat balíčky IGMP do systému, způsobit chybu jádra. Problém byl vyřešen odebráním kontroly.

    CVE-ID

    CVE-2013-1029: Christopher Bohn ze společnosti PROTECTSTAR INC.

  • Mobile Device Management

    K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Hesla mohou být prozrazena dalším místním uživatelům.

    Popis: Na příkazovém řádku bylo do klienta mdmclient předáno heslo, které pak bylo viditelné ostatním uživatelům ve stejném systému. Problém byl vyřešen předáním hesla prostřednictvím kanálu.

    CVE-ID

    CVE-2013-1030: Per Olofsson z univerzity v Göteborgu

  • OpenSSL

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Několik bezpečnostních slabin v OpenSSL.

    Popis: V softwaru OpenSSL existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke zveřejnění dat uživatelů. Problémy byly vyřešeny aktualizací OpenSSL na verzi 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • OpenSSL

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Několik bezpečnostních slabin v PHP.

    Popis: V PHP existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést ke spuštění libovolného kódu. Problémy byly vyřešeny aktualizací PHP na verzi 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Několik bezpečnostních slabin v PostgreSQL.

    Popis: V PostgreSQL existovalo několik bezpečnostních slabin. Nezávažnější z nich může vést k poškození dat nebo navýšení oprávnění. Problém CVE-2013-1901 se netýká systémů OS X Lion. Aktualizace problém řeší aktualizací PostgreSQL na verzi 9.1.9 v systémech OS X Mountain Lion a na verzi 9.0.4 v systémech OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Spořič obrazovky se nemusí spustit po zadané době.

    Popis: Docházelo k problému se zámkem převzetí řízení. Problém byl vyřešen vylepšením správy zámku.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Při zpracování atomů „idsc“ ve videosouborech QuickTime docházelo k poškození paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1032: Jason Kratzer pracující pro iDefense VCP

  • Screen Lock

    K dispozici pro: OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Uživatel s přístupem ke sdílení obrazovky může být schopen obejít zámek obrazovky, když je přihlášený jiný uživatel.

    Popis: Při zpracování relací sdílení obrazovky zámkem obrazovky docházelo k problému se správou relace. Problém byl vyřešen vylepšením sledováním relací.

    CVE-ID

    CVE-2013-1033: Jeff Grisso ze společnosti Atos IT Solutions, Sébastien Stormacq

  • sudo

    K dispozici pro: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 až v10.8.4

    Dopad: Útočník, který ovládá účet uživatele správce, může být schopen získat kořenová oprávnění, aniž by znal heslo uživatele.

    Popis: Nastavením systémových hodin může být útočník schopen použít příkaz sudo k získání kořenových oprávnění v systémech, kde byl příkaz sudo již použit. V systému OS X mohou systémové hodiny změnit pouze uživatelé s oprávněními správce. Problém byl vyřešen kontrolou neplatného časového razítka.

    CVE-ID

    CVE-2013-1775

  • Poznámka: OS X Mountain Lion v10.8.5 dále řeší problém, kdy určité řetězce Unicode mohly způsobit neočekávané ukončení aplikací.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: