Om sikkerhedsindholdet i OS X Mavericks v10.9

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du gå ind på webstedet Apple Produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Mavericks v10.9

• Programfirewall

  Effekt: socketfilterfw --blockApp blokerer muligvis ikke, så programmerne ikke kan modtage netværksforbindelser

  Beskrivelse: Muligheden "--blockApp" i kommandolinjeværktøjet socketfilterfw sikrede ikke pålidelig blokering af modtagelse af netværksforbindelser. Problemet er løst ved forbedret behandling af muligheden "--blockApp".

  CVE-id

  CVE-2013-5165: Alexander Frangis fra PopCap Games

• App'en Sandbox

  Effekt: Programmet Sandbox kan omgås

  Beskrivelse: Brugerfladen LaunchServices til åbning af et program gjorde det muligt for programmer med Sandbox-funktion at angive den liste med argumenter, der blev sendt til den nye proces. Et Sandbox-program med sikkerhedsproblemer kunne bruge muligheden til at gå uden om Sandbox. Problemet er løst ved at forbyde Sandbox-programmer at angive argumenterne.

  CVE-id

  CVE-2013-5179: Friedrich Graeter fra The Soulmen GbR

• Bluetooth

  Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

  Beskrivelse: Bluetooth USB-værtscontrolleren slettede brugerflader, der skulle bruges ved senere operationer. Problemet er løst ved at bibeholde brugerfladen, indtil der ikke længere er behov for den.

  CVE-id

  CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori fra Computer and Network Security Lab (LaSER), Università degli Studi di Milano

• CFNetwork

  Effekt: Sessions-cookies bliver liggende efter nulstilling af Safari

  Beskrivelse: Ved nulstilling af Safari blev session-cookies ikke altid slettet, før Safari blev lukket. Problemet er løst ved forbedret behandling af session-cookies.

  CVE-id

  CVE-2013-5167: Graham Bennett, Rob Ansaldo fra Amherst College

• CFNetwork SSL

  Effekt: En hacker kan dekryptere dele af en SSL-forbindelse

  Beskrivelse: Kun SSL-versionerne SSLv3- og TLS 1.0 blev anvendt. Versionerne har en protokolsvaghed, når der bruges blokkodning. En MITM-hacker kunne have indsat ugyldige data, hvilket ville få forbindelsen til at blive afbrudt, men det ville også afsløre nogle oplysninger om de tidligere data. Hvis samme forbindelse blev angrebet gentagne gange, kan hackeren have været i stand til at dekryptere de sendte data – f.eks. en adgangskode. Problemet er løst ved at aktivere TLS 1.2.

  CVE-id

  CVE-2011-3389

• Console

  Effekt: Et klik på et skadeligt protokolelement kan medføre pludselig lukning af programmet

  Beskrivelse: Med denne opdatering ændres funktionsmåden i Console ved klik på et protokolelement med vedhæftet URL-adresse. I stedet for at åbne URL-adressen sørger Console for eksempelvisning af URL-adressen via Quick Look.

  CVE-id

  CVE-2013-5168: Aaron Sigel fra vtty.com

• CoreGraphics

  Effekt: Der kan være synlige vinduer på låseskærmen, når skærmen har været på vågeblus

  Beskrivelse: Der var et logisk problem i CoreGraphics's behandling af skærmvågeblus, hvilket medfører beskadigelse af data, så der er synlige vinduer på låseskærmen. Problemet løses ved forbedret håndtering af skærmvågeblus.

  CVE-id

  CVE-2013-5169

• CoreGraphics

  Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et bufferunderløbsproblem ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-5170: Will Dormann fra CERT/CC

• CoreGraphics

  Effekt: Et program uden rettigheder kan registrere tastaturtryk i andre programmer, selv om funktionen til sikker indtastning er slået til.

  Beskrivelse: Ved at tilmelde sig en genvejstasthændelse kan et program uden rettigheder registrere tastaturtryk i andre programmer, selv om funktionen til sikker indtastning er slået til. Problemet er løst ved yderligere godkendelse af genvejstasthændelser.

  CVE-id

  CVE-2013-5171

• curl

  Effekt: Flere sikkerhedsrisici i curl

  Beskrivelse: Der opstod flere sikkerhedsrisici i curl, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Problemerne er løst ved at opdatere curl til version 7.30.0.

  CVE-id

  CVE-2013-0249

  CVE-2013-1944

• dyld

  Effekt: En hacker, som kører vilkårlig kode på en enhed, kan være i stand til at fortsætte med køre programkode efter genstart

  Beskrivelse: Der var flere bufferoverløb i dylds openSharedCacheFile()-funktion. Disse problemer er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-3950: Stefan Esser

• IOKitUser

  Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

  Beskrivelse: Der var en reference til en null-pointer i IOCatalogue. Problemet er løst ved yderligere kontrol af typer.

  CVE-id

  CVE-2013-5138: Will Estes

• IOSerialFamily

  Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode i kernen

  Beskrivelse: Der var et problem med out-of-bounds-systemadgang i IOSerialFamily-driveren. Problemet er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-5139: @dent1zt

• Kernel

  Effekt: Brug af SHA-2 digest-funktioner i kernen kan medføre pludselig systemlukning

  Beskrivelse: Der blev anvendt forkert output-længde til SHA-2-familien af digest-funktioner, hvilket medførte kernelpanik, når disse funktioner blev brugt – primært ved IPSec-forbindelser. Problemet er løst ved at anvende den forventede output-længde.

  CVE-id

  CVE-2013-5172: Christoph Nadig fra Lobotomo Sfratware

• Kernel

  Effekt: Kernestakhukommelsen kan være tilgængelig for lokale brugere

  Beskrivelse: Der var problemer med afsløring af oplysninger i API'erne msgctl og segctl. Problemet blev løst ved at initialisere datastrukturer, der returneres fra kernen.

  CVE-id

  CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

• Kernel

  Effekt: En lokal bruger kan udløse DoS (Denial of Service)

  Beskrivelse: Kernens generator af vilkårlige tal holdt en lås, mens en anmodning fra userspace blev behandlet. Det gav en lokal bruger mulighed for at sende en stor anmodning og holde låsen i lang tid, således at andre brugere af generatoren af vilkårlige tal ikke kunne bruge tjenesten. Problemet er løst ved oftere at frigive og tildele låsen til større anmodninger.

  CVE-id

  CVE-2013-5173: Jaakko Pero fra Aalto University

• Kernel

  Effekt: En lokal bruger uden rettigheder kan udløse et pludseligt systemnedbrud

  Beskrivelse: Der var et problem med signering af heltal ved behandling af tty-reads. Problemet er løst ved forbedret behandling af tty-reads.

  CVE-id

  CVE-2013-5174: CESG

• Kernel

  Effekt: En lokal bruger kan muligvis udløse visning af oplysninger fra kernehukommelsen eller udløse et pludseligt systemnedbrud

  Beskrivelse: Der var et læseproblem med "out of bounds" ved behandling af Mach-O-arkiver. Problemet er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-5175

• Kernel

  Effekt: En lokal bruger kan muligvis få computeren til at sidde fast

  Beskrivelse: Der var et problem med trunkering af heltal ved behandling af tty-enheder. Problemet er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-5176: CESG

• Kernel

  Effekt: En lokal bruger kan muligvis udløse et pludseligt systemnedbrud

  Beskrivelse: Der opstod panik i kernen, hvis der blev registreret en ugyldig iovec-struktur fra brugeren. Problemet er løst ved forbedret godkendelse af iovec-strukturer.

  CVE-id

  CVE-2013-5177: CESG

• Kernel

  Effekt: Uprivilegerede processer kan medføre pludselig systemlukning eller kørsel af vilkårlig kode i kernen

  Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af argumenter til API'en posix_spawn. Problemet er løst ved forbedret kontrol af grænser.

  CVE-id

  CVE-2013-3954: Stefan Esser

• Kernel

  Effekt: Et kildespecifikt multicast-program kan medføre pludselig systemlukning ved brug af Wi-Fi-netværk

  Beskrivelse: Der var et problem med fejlkontrol ved behandling multicast-pakker. Problemet er løst ved forbedret behandling af multicast-pakker.

  CVE-id

  CVE-2013-5184: Octoshape

• Kernel

  Effekt: En hacker på et lokalt netværk kan udføre et DoS-angreb (Denial-of-Service)

  Beskrivelse: En hacker på et lokalt netværk kan sende specialudviklede IPv6 ICMP-pakker og forårsage høj CPU-belastning. Problemet blev løst ved at begrænse antallet af ICMP-pakker inden verificering af deres kontrolsum.

  CVE-id

  CVE-2011-2391: Marc Heuse

• Kernel

  Effekt: Et skadeligt lokalt program kan medføre, at computeren sidder fast

  Beskrivelse: Der var et problem med trunkering af heltal i kernesokkelgrænsefladen, hvilket kan udnyttes til at tvinge CPU'en ind i en endeløs sløjfe. Problemet blev løst ved at anvende en større variabel.

  CVE-id

  CVE-2013-5141: CESG

• Kext Management

  Effekt: En proces uden tilladelse kan deaktivere nogle indlæste kerneudvidelser

  Beskrivelse: Der var et problem med kext managements håndtering af IPC-meddelser fra ikke-godkendte afsendere. Problemet er løst ved at tilføje yderligere godkendelseskontroller.

  CVE-id

  CVE-2013-5145: "Rainbow PRISM"

• LaunchServices

  Effekt: Et arkiv kunne blive vist med den forkerte arkivendelse

  Beskrivelse: Der var et problem med behandling af bestemte unicode-tegn, som medførte, at arkivnavnene kunne blive vist med forkert arkivendelse. Problemet er løst ved at filtrere usikre unicode-tegn, så de ikke vises i arkivnavne.

  CVE-id

  CVE-2013-5178: Jesse Ruderman fra Mozilla Corporation, Stephane Sudre fra Intego

• Libc

  Effekt: Under særlige omstændigheder kunne nogle vilkårlige tal forudsiges

  Beskrivelse: Hvis srandomdev() ikke havde adgang til kernens generator af vilkårlige tal, skiftede funktionen til en anden metode, som var fjernet ved optimering, hvilket medførte manglende vilkårlighed. Problemet er løst ved at ændre koden, så den er korrekt under optimering.

  CVE-id

  CVE-2013-5180: Xi Wang

• Mail-konti

  Effekt: Mail vælger muligvis ikke den mest sikre tilgængelige godkendelsesmetode

  Beskrivelse: Ved automatisk konfiguration af e-mailkonti på nogle e-mailservere valgte programmet Mail plaintext frem for CRAM-MD5-godkendelse. Problemet er løst ved forbedret behandling af logikken.

  CVE-id

  CVE-2013-5181

• Visning af e-mailheader

  Effekt: En ikke-signeret besked kan se ud til at være signeret korrekt

  Beskrivelse: Der var et logisk problem med Mails behandling af ikke-signerede beskeder, der alligevel indeholdte et afsnit af typen multipart/signed. Problemet er løst ved forbedret behandling af ikke-signerede beskeder.

  CVE-id

  CVE-2013-5182: Michael Roitzsch fra Technische Universität Dresden

• Mail-netværk

  Effekt: Der kan kortvarigt blive sendt oplysninger som almindelig tekst, hvis der er konfigureret andet end TLS-kryptering

  Beskrivelse: Hvis Kerberos-godkendelse er slået til, og Transport Layer Security er slået fra, sendte Mail nogle ukrypterede data til e-mailserveren, hvilket medførte pludselig afbrydelse af forbindelsen. Problemet er løst ved forbedret behandling af denne konfiguration.

  CVE-id

  CVE-2013-5183: Richard E. Silverman fra www.qoxp.net

• OpenLDAP

  Effekt: Kommandolinjeværktøjet ldapsearch kunne ikke anvende minssf-konfigurationen

  Beskrivelse: Kommandolinjeværktøjet ldapsearch kunne ikke anvende minssf-konfigurationen, hvilket kunne medføre, at der pludselig var mulighed for svag kryptering. Problemet er løst ved forbedret behandling af minssf-konfigurationen.

  CVE-id

  CVE-2013-5185

• perl

  Effekt: Perl-scripts kan være sårbare over for DoS (Denial of Service)

  Beskrivelse: Rehash-mekanismen i forældede versioner af Perl kan være sårbare over for DoS-scripts, som bruger input, der ikke er tillid til, som hash-nøgler. Problemet er løst ved at opdatere til Perl 5.16.2.

  CVE-id

  CVE-2013-1667

• Strømstyring

  Effekt: Skærmlåsen aktiveres muligvis ikke efter det angivne tidsrum

  Beskrivelse: Der var et låseproblem i strømstyringen. Problemet er løst ved forbedret behandling af låsen.

  CVE-id

  CVE-2013-5186: David Herman fra Sensible DB Design

• python

  Effekt: Flere sikkerhedsrisici i python 2.7

  Beskrivelse: Der var flere sikkerhedsrisici i 2.7.2, hvoraf de alvorligste kan medføre dekryptering af indholdet af en SSL-forbindelse. Denne opdatering løser problemerne ved at opdatere python til version 2.7.5. Yderligere oplysninger kan ses på pythons websted på http://www.python.org/download/releases/

  CVE-id

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• python

  Effekt: Flere sikkerhedsrisici i python 2.6

  Beskrivelse: Der var flere sikkerhedsrisici i 2.6.7, hvoraf de alvorligste kan medføre dekryptering af indholdet af en SSL-forbindelse. Denne opdatering løser problemerne ved at opdatere python til version 2.6.8 og anvende rettelsen til CVE-2011-4944 fra Python-projektet. Du kan finde flere oplysninger på webstedet for python på http://www.python.org/download/releases/

  CVE-id

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• ruby

  Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

  Beskrivelse: Der var et problem med godkendelse af hostname i Rubys behandling af SSL-certifikater. Problemet er løst ved at opdatere Ruby til version 2.0.0.

  CVE-id

  CVE-2013-4073

• Sikkerhed

  Effekt: Understøttelse af X.509-certifikater med MD5-hashes kan udsætte brugeren for svindel og offentliggørelse af oplysninger, når angrebene udvikles

  Beskrivelse: Certifikater, der er signeret ved hjælp af MD5 hash-algoritmen, blev godkendt af OS X. Det er almindeligt kendt, at algoritmen er behæftet med kryptografiske svagheder. Yderligere undersøgelser eller en forkert konfigureret certifikatmyndighed kunne have tilladt oprettelse af X.509-certifikater med hacker-kontrollerede værdier, der ville være blevet godkendt af systemet. Dette kunne have udsat X.509-baserede protokoller for spoofing, MITM-angreb og afsløring af oplysninger. Opdateringen deaktiverer understøttelse af X.509-certifikater med en MD5-hash ved brug som andet end et godkendt rodcertifikat.

  CVE-id

  CVE-2011-3427

• Sikkerhed – godkendelse

  Effekt: En administrators sikkerhedsindstillinger overholdes muligvis ikke

  Beskrivelse: Indstillingen "Der kræves en administrators adgangskode for at åbne låste indstillinger" giver en administrator mulighed for at lægge et ekstra lag beskyttelse på vigtige systemindstillinger. I nogle tilfælde, hvor en administrator havde slået indstillingen til, blev indstillingen slået fra efter installering af en softwareopdatering eller -opgradering. Problemet er løst ved forbedret behandling af godkendelsesrettigheder.

  CVE-id

  CVE-2013-5189: Greg Onufer

• Sikkerhed – Smart Card-tjenester

  Effekt: Der er muligvis ikke adgang til Smart Card-tjenester, hvis tilbagekaldelseskontrol er slået til for certifikater

  Beskrivelse: Der var et logisk problem med behandlingen af tilbagekaldelseskontrol af Smart Card-certifikater i OS X. Problemet er løst ved forbedret understøttelse af certifikattilbagekaldelse.

  CVE-id

  CVE-2013-5190: Yongjun Jeon fra Centrify Corporation

• Skærmlås

  Effekt: Kommandoen "Låseskærm" udføres muligvis ikke omgående

  Beskrivelse: Kommandoen "Låseskærm" i menulinjeelementet for status for nøglering udføres ikke, før det angivne tidsrum i indstillingen "Bed om adgangskode [tidsperiode] efter vågeblus eller skærmskåner starter" er gået.

  CVE-id

  CVE-2013-5187: Michael Kisor fra OrganicOrb.com, Christian Knappskog fra NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

• Skærmlås

  Effekt: En Mac-computer på vågeblus med automatisk log ind beder muligvis ikke om adgangskode, når vågeblus afbrydes

  Beskrivelse: På en Mac-computer, hvor vågeblus og automatisk log ind er slået til, kan der være mulighed for at afbryde vågeblus uden at skulle indtaste en adgangskode. Problemet er løst ved forbedret behandling af låsen.

  CVE-id

  CVE-2013-5188: Levi Musters

• Skærmdelingsserver

  Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

  Beskrivelse: Der var en sikkerhedsrisiko i forbindelse med formatstrenge ved skærmdelingsserverens håndtering af VNC-brugernavnet.

  CVE-id

  CVE-2013-5135: SilentSignal, som arbejder for iDefense VCP

• syslog

  Effekt: En gæstebruger kan muligvis se protokolbeskeder fra tidliger gæster

  Beskrivelse: Konsolprotokollen kunne ses af gæstebrugeren, og den indeholdt beskeder fra tidligere gæstebrugersessioner. Problemet er løst ved, at konsolprotokollen for gæstebrugere kun er synlig for administratorerne.

  CVE-id

  CVE-2013-5191: Sven-S. Porst fra earthlingsoft

• USB

  Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

  Beskrivelse: USB-samlingspunkt-controlleren kontrollerede ikke port og portnummer ved forespørgsler. Problemet er løst ved at indføre kontrol af port og portnummer.

  CVE-id

  CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori fra Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Bemærk: OS X Mavericks indeholder Safari 7.0, som sikkerhedsindholdet fra Safari 6.1 er integreret i. Yderligere oplysninger kan ses i artiklen "Om sikkerhedsindholdet i Safari 6.1" på http://support.apple.com/kb/HT6000?viewlocale=da_DK