O bezpečnostním obsahu OS X Mountain Lionu 10.8.5 a aktualizace zabezpečení 2013-004

Tento dokument popisuje bezpečnostní obsah OS X Mountain Lionu 10.8.5 a aktualizace zabezpečení 2013-004.

Aktualizace lze stáhnout a nainstalovat pomocí předvoleb Aktualizace softwaru nebo stránky produktů Apple ke stažení.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

OS X Mountain Lion 10.8.5 a aktualizace zabezpečení 2013-004

  • Apache

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Několik možností ohrožení zabezpečení Apache.

    Popis: Aplikace Apache obsahovala několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit skriptový útok napříč weby. Problémy byly vyřešeny aktualizací na Apache 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Několik bezpečnostních slabin v softwaru BIND.

    Popis: Software BIND obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést k odmítnutí služby. Problémy byly vyřešeny aktualizací na BIND 9.8.5-P1. Problém CVE-2012-5688 se netýkal Maců se systémem OS X 10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Zásady důvěryhodnosti certifikátů

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Kořenové certifikáty byly aktualizovány.

    Popis: Do seznamu kořenových certifikátů systému byly přidány nové certifikáty a jiné byly odebrány. Úplný seznam rozeznávaných kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.

  • ClamAV

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Dopad: Několik bezpečnostních slabin v softwaru ClamAV.

    Popis: Software ClamAV obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit svévolné spuštění kódu. Problémy byly vyřešeny aktualizací na ClamAV 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    K dispozici pro: OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracování dat zakódovaných ve formátu JBIG2 v souborech PDF existoval problém s přetečením zásobníku. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1025 : Felix Groebert z týmu Google Security

  • ImageIO

    K dispozici pro: OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Zobrazení škodlivého PDF souboru mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracování dat zakódovaných ve formátu JPEG2000 v souborech PDF existoval problém s přetečením zásobníku. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1026 : Felix Groebert z týmu Google Security

  • Instalátor

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Instalační balíčky bylo možné otevírat i s odvolaným certifikátem.

    Popis: Když instalátor narazil na certifikát s odvolanou platností, nabídl dialogové okno s možností pokračovat. Problém byl vyřešen odebráním dialogového okna a odmítnutím balíčků s odvolanými certifikáty.

    CVE-ID

    CVE-2013-1027

  • IPSec

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Útočník mohl zachytit data chráněná hybridní autorizací IPSec.

    Popis: DNS název hybridního autorizačního serveru IPSec se neověřoval s certifikátem, takže útočník s certifikátem z jednoho serveru mohl předstírat, že má certifikát z jiného. Problém byl vyřešen zavedením správné kontroly certifikátu.

    CVE-ID

    CVE-2013-1028 : Alexander Traud z www.traud.de

  • Jádro

    K dispozici pro: OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Uživatel v místní síti mohl způsobit odmítnutí služby.

    Popis: Kód jádra sloužící ke zpracování IGMP paketů používal nesprávnou kontrolu, takže uživatelé mohli systému zasílat IGMP pakety a tím způsobit chybu „kernel panic“. Problém byl vyřešen odebráním nesprávné kontroly.

    CVE-ID

    CVE-2013-1029: Christopher Bohn z PROTECTSTAR INC.

  • Správa mobilních zařízení

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Hesla mohla být vyzrazena jiným místním uživatelům.

    Popis: Příkaz mdmclient vypisoval heslo na příkazovém řádku, kde ho mohli viděl ostatní uživatelé stejného systému. Problém byl vyřešen zasíláním hesla přes pipe.

    CVE-ID

    CVE-2013-1030: Per Olofsson z Univerzity Gothenburgu

  • OpenSSL

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Několik bezpečnostních slabin v knihovně OpenSSL.

    Popis: Software OpenSSL obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést k vyzrazení uživatelských údajů. Problémy byly vyřešeny aktualizováním na OpenSSL 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Několik bezpečnostních slabin v PHP.

    Popis: Software PHP obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit svévolné spuštění kódu. Problém byl vyřešen aktualizováním PHP na verzi 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Několik bezpečnostních slabin v PostgreSQL.

    Popis: Software PostgreSQL obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést k poškození dat nebo k eskalaci oprávnění. CVE-2013-1901 se netýká systémů OS X Lion. Aktualizace vyřešila tyto problémy aktualizováním PostgreSQL na verzi 9.1.9 (v systémech OS X Mountain Lion) nebo na verzi 9.0.4 (v systémech OS X Lion).

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Řízení spotřeby

    K dispozici pro: OS X Mountain Lion 10.8 až 10.8.4

    Popis: Spořič obrazovky se někdy po uplynutí zadané doby nespustil.

    Popis: Existoval problém se zámkem údržby napájení. Problém byl vyřešen lepší správou zámku.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    K dispozici pro: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání atomů „idsc“ v souborech videí QuickTime existoval problém s poškozením paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2013-1032: Jason Kratzer spolupracující s iDefense VCP

  • Zámek obrazovky

    K dispozici pro: OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Uživatel s přístupem ke sdílení obrazovky mohl obejít zámek obrazovky, pokud byl přihlášen jiný uživatel.

    Popis: Ve způsobu, jakým zámek obrazovky zpracovával sdílené relace, existoval problém ve správě relace. Problém byl vyřešen vylepšeným sledováním relací.

    CVE-ID

    CVE-2013-1033: Jeff Grisso ze společnosti Atos IT Solutions, Sébastien Stormacq

  • sudo

    K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 až 10.8.4

    Dopad: Útočník ovládající účet správce mohl získat přístupová oprávnění účtu root, aniž by potřeboval znát uživatelovo heslo.

    Popis: Útočník mohl nastavit systémový čas a potom pomocí programu sudo získat oprávnění root k systémům, na kterých už byl příkaz sudo použit dřív. V OS X smí systémový čas měnit jenom správce. Problém byl vyřešen zavedením kontroly nesprávných časových známek.

    CVE-ID

    CVE-2013-1775

 

  • Poznámka: OS X Mountain Lion 10.8.5 řeší také problém s tím, že některé řetězce Unicode mohly způsobit neočekávané vypnutí aplikace.

 

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: