Om sikkerhedsindholdet i OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004

I dette dokument beskrives sikkerhedsindholdet i OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004.

Disse kan hentes og installeres via præferencerne for Softwareopdatering eller fra Apple Overførsler.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet om Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004

  • Apache

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i Apache

    Beskrivelse: Der var flere sårbarheder i Apache. Den mest alvorlige kan medføre scripting på tværs af websteder. Problemerne er løst ved at opdatere Apache til version 2.2.24.

    CVE-id

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i BIND

    Beskrivelse: Der fandtes flere sårbarheder i BIND. Den mest alvorlige kan medføre et Denial of Service-angreb. Problemerne er løst ved at opdatere BIND til version 9.8.5-P1. CVE-2012-5688 havde ingen effekt på systemer med Mac OS X v10.7.

    CVE-id

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Rodcertifikater er blevet opdateret

    Beskrivelse: Flere certifikater blev føjet til eller fjernet fra listen over systemrødder. Du kan se en komplet liste over registrerede systemrødder via appen Hovednøglering.

  • ClamAV

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Effekt: Flere sårbarheder i ClamAV

    Beskrivelse: Der findes flere sårbarheder i ClamAV. Den mest alvorlige kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere ClamAV til version 0.97.8.

    CVE-id

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8 to v10.8.4

    Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandlingen af JBIG2-kodede data i PDF-arkiver. Problemet er løst via yderligere kontrol af grænser.

    CVE-ID

    CVE-2013-1025: Felix Groebert fra Google Security Team

  • ImageIO

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Visning af et skadeligt udformet PDF-arkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandlingen af JPEG2000-kodede data i PDF-arkiver. Problemet er løst via yderligere kontrol af grænser.

    CVE-ID

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • Installer

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Pakker kunne åbnes, efter at certifikatet var afvist

    Beskrivelse: Når Installer registrerede et afvist certifikat, ville det vise en dialogboks med muligheden for at fortsætte. Problemet er løst ved at fjerne dialogboksen og ikke tillade afviste pakker.

    CVE-id

    CVE-2013-1027

  • IPSec

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En hacker kan muligvis opfange data, der er beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på IPSec Hybrid Auth-serveren svarede ikke til certifikatet, hvilket gjorde det muligt for en hacker med et certifikat til en hvilket som helst server at efterligne andre. Problemet er løst ved korrekt kontrol af certifikatet.

    CVE-id

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kernel

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En lokal netværksbruger kan forårsage et Denial of Service-angreb

    Beskrivelse: En forkert kontrol i koden til parsing af IGMP-pakker i kernen tillod, at en bruger, der sender IGMP-pakker til systemet, kunne forårsag panik i kernen. Problemet er løst ved at fjerne kontrollen.

    CVE-id

    CVE-2013-1029: Christopher Bohn fra PROTECTSTAR INC.

  • Mobile Device Management

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Adgangskoder kan blive afsløret for andre lokale brugere

    Beskrivelse: En adgangskode, der blev overført til mdmclient via kommandolinjen, blev synlig for andre brugere på samme system. Problemet er løst ved at sende adgangskoden via et pipe-tegn.

    CVE-id

    CVE-2013-1030: Per Olofsson fra Göteborgs Universitet

  • OpenSSL

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i OpenSSL

    Beskrivelse: Der fandtes flere sårbarheder i OpenSSL. Den mest alvorlige kan medføre afsløring af brugerdata. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8y.

    CVE-id

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i PHP

    Beskrivelse: Der fandtes flere sårbarheder i PHP. Den mest alvorlige kan medføre kørsel af vilkårlig kode. Problemerne er løst ved at opdatere PHP til version 5.3.26.

    CVE-id

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i PostgreSQL

    Beskrivelse: Der findes flere sårbarheder i PostgreSQL. Den mest alvorlig kan medføre beskadigelse af data eller eskalering af tilladelser. CVE-2013-1901 har ingen effekt på systemer med OS X Lion. Denne opdatering løser problemerne ved at opdatere PostgreSQL til version 9.1.9 på systemer med OS X Mountain Lion eller 9.0.4 på OS X Lion.

    CVE-id

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Skærmskåneren starter muligvis ikke efter den angivne tidsperiode

    Beskrivelse: Der var et problem med en lås. Problemet er løst ved forbedret behandling af låsning.

    CVE-id

    CVE-2013-1031

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig applukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af 'idsc'-atomer i QuickTime-filmarkiver. Problemet er løst via yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1032: Jason Kratzer, der arbejder med iDefense VCP

  • Screen Lock

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En bruger med adgang til skærmdeling kan tilsidesætte skærmlåsen, når en anden bruger er logget ind

    Beskrivelse: Der var et problem med sessionsstyring i skærmlåsens behandling af sessioner med skærmdeling. Problemet er løst ved forbedret sessionssporing.

    CVE-id

    CVE-2013-1033: Jeff Grisso fra Atos IT Solutions, Sébastien Stormacq

  • sudo

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En hacker, der har kontrol over en administratorbrugers konto, kan muligvis få rodrettigheder uden at kende brugerens adgangskode

    Beskrivelse: Ved at indstille systemuret kan en hacker bruge sudo til at få rodrettigheder på systemer, hvor det er brugt før. På OS X er det kun administratorbrugere, der kan ændre systemuret. Dette problem blev løst ved at kontrollere, om et tidsstempel er ugyldigt.

    CVE-id

    CVE-2013-1775

  • Bemærk: OS X Mountain Lion v10.8.5 løser også et problem, hvor nogle Unicode-strenge kan medføre pludselig applukning.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: