Om sikkerhedsindholdet i OS X Mountain Lion v10.8.4 og sikkerhedsopdatering 2013-002

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Mountain Lion v10.8.4 og sikkerhedsopdatering 2013-002, som kan hentes og installeres via indstillingerne for Softwareopdatering eller via Apples side med supportoverførsler.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen "Apple-sikkerhedsopdateringer".
 

OS X Mountain Lion v10.8.4 og sikkerhedsopdatering 2013-002

Bemærk: Indholdet i Safari 6.0.5 indgår i OS X Mountain Lion v10.8.4. Yderligere oplysninger kan ses i artiklen Sikkerhedsindholdet i Safari 6.0.5.

  • CFNetwork

    Fås til: OS X Mountain Lion v10.8 til v10.8.3

    Beskrivelse: En hacker med adgang til en brugers session kan muligvis logge på tidligere indlæste sider, selv om funktionen Privat browser er anvendt.

    Beskrivelse: Der lagres permanente cookies efter lukning af Safari, selv om funktionen Privat browser er anvendt. Problemet er løst ved forbedret behandling af cookies.

    CVE-id

    CVE-2013-0982: Alexander Traud fra www.traud.de

  • CoreAnimation

    Fås til: OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var at problem med ubegrænset stakallokering ved behandling af tekstglyffer. Problemet kan udløses af skadelige URL-adresser i Safari. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0983: David Fifield fra Stanford University, Ben Syverson

  • Afspilning af CoreMedia

    Fås til: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.3

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved håndtering af tekstspor. Problemet er løst ved yderligere godkendelse af tekstspor.

    CVE-id

    CVE-2013-1024: Richard Kuo og Billy Suguitan fra Triemt Corporation

  • CUPS

    Fås til: OS X Mountain Lion v10.8 til v10.8.3

    Effekt: En lokal bruger i lpadmin-gruppen kan muligvis læse eller skrive i vilkårlige arkiver med systemrettigheder.

    Beskrivelse: Der var et problem med rettighedsvideresendelse ved håndtering af CUPS-konfiguration via CUPS-webgrænsefladen. En lokal bruger i lpadmin-gruppen kan muligvis læse eller skrive i vilkårlige arkiver med systemrettigheder. Problemet er løst ved at flytte bestemte konfigurationskommandoer til cups-files.conf, som ikke kan ændres fra CUPS-webgrænsefladen.

    CVE-id

    CVE-2012-5519

  • Directory-service

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: En hacker kan muligvis køre vilkårlig kode med systemrettigheder på systemer med Directory Service aktiveret

    Beskrivelse: Der var et problem med directory-serverens håndtering af meddelelser fra netværket. Ved at sende en skadelig besked kan en hacker få directory-serveren til at lukke eller køre vilkårlig kode med systemrettigheder. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Lion og OS X Mountain Lion.

    CVE-id

    CVE-2013-0984: Nicolas Economou fra Core Security

  • Diskadministration

    Fås til: OS X Mountain Lion v10.8 til v10.8.3

    Effekt: En lokal bruger kan slå FileVault fra

    Beskrivelse: En lokal bruger, der ikke er administrator, kan slå FileVault fra ved hjælp af kommandolinjen. Problemet er løst ved at indsætte yderligere godkendelse.

    CVE-id

    CVE-2013-0985

  • OpenSSL

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er konstateret angreb på fortroligheden i TLS 1.0, når komprimering var slået til. Problemet er løst ved at deaktivere komprimering i OpenSSL.

    CVE-id

    CVE-2012-4929: Juliano Rizzo og Thai Duong

  • OpenSSL

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Flere sikkerhedshuller i OpenSSL

    Beskrivelse: OpenSSL blev opdateret til version 0.9.8x for at fjerne flere sikkerhedhedshuller, som kunne medføre "denial of service" eller afsløring af en privat nøgle. Yderligere oplysninger kan ses på OpenSSL-webstedet på adressen http://www.openssl.org/news/

    CVE-id

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Fås til: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.2

    Effekt: Åbning af et skadeligt PICT-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af PICT-billeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0975: Tobias Klein, der arbejder med HP's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af 'enof'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0986: Tom Gallagher (Microsoft) og Paul Bates (Microsoft), der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Visning af et skadeligt QTIF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af QTIF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0987: roob, som arbejder for iDefense VCP

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Visning af et skadeligt FPX-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af FPX-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0988: G. Geshev, der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: OS X Mountain Lion v10.8 til v10.8.3

    Effekt: Afspilning af et skadeligt MP3-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af MP3-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-0989: G. Geshev, der arbejder for HP's Zero Day Initiative

  • Ruby

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Effekt: Flere sikkerhedshuller i Ruby on Rails

    Beskrivelse: Der er konstateret flere sikkerhedshuller i Ruby on Rails, hvoraf de mest alvorlige kunne medføre kørsel af vilkårlig kode på computere, der kørte Ruby on Rails-programmer. Problemerne er løst ved at opdatere Ruby on Rails til version 2.3.18. Problemet kan berøre computere med OS X Lion eller OS X Mountain Lion, som er opgraderet fra Mac OS X 10.6.8 eller en ældre version. Brugerne kan opdatere berørte "gems" ved at bruge værktøjet /usr/bin/gem.

    CVE-id

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Fås til: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 og v10.8.3

    Effekt: En godkendt bruger kan skrive i arkiver uden for det delte bibliotek

    Beskrivelse: Hvis SMB-arkivdeling er slået til, kan en godkendt bruger muligvis skrive i arkiver uden for det delte bibliotek. Problemet er løst ved forbedret adgangkontrol.

    CVE-id

    CVE-2013-0990: Ward van Wanrooij

  • Bemærk: Fra og med OS X v10.8.4 skal Java Web Start-programmer (dvs. JNLP-programmer), der overføres fra internettet, signeres med et udvikler-id-certifikat. Gatekeeper kontrollerer, om der er en signatur i overførte Java Web Start-programmer, og blokerer start af programmer, hvis de ikke er signeret korrekt.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: