Om sikkerhedsindholdet i OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004

I dette dokument beskrives sikkerhedsindholdet i OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004.

Disse kan hentes og installeres via Softwareopdatering eller via Apples side med supportoverførsler.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Mountain Lion v10.8.5 og sikkerhedsopdatering 2013-004

  • Apache

    Fås til: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sikkerhedsrisici i Apache

    Beskrivelse: Der fandtes flere sikkerhedshuller i Apache, hvoraf det alvorligste kan muliggøre angreb med scripting på tværs af websteder. Problemerne løses ved at opdatere til Apache-version 2.2.24.

    CVE-id

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sikkerhedsrisici i BIND

    Beskrivelse: Der opstod flere sikkerhedsrisici i BIND, hvoraf de alvorligste kan muliggøre et DoS-angreb (Denial-of-Service). Disse problemer blev løst ved at opdatere BIND til version 9.8.5-P1. CVE-2012-5688 påvirkede ikke computere med Mac OS X v10.7.

    CVE-id

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Politik for certifikatgodkendelse

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Rodcertifikaterne er blevet opdateret

    Beskrivelse: Adskillige certifikater er føjet til eller fjernet fra listen over systemrødder. Den komplette liste over genkendte systemrødder kan ses via programmet Hovednøglering.

  • ClamAV

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5 og OS X Lion Server v10.7.5

    Effekt: Flere sikkerhedshuller i ClamAV

    Beskrivelse: Der er flere sikkerhedshuller i ClamAV , hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere ClamAV til version 0.97.8.

    CVE-id

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af JBIG2-data i PDF-arkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1025: Felix Groebert fra Google Security Team

  • ImageIO

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i forbindelse med håndtering af JPEG2000-data i PDF-arkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1026: Felix Groebert fra Google Security Team

  • Installeringsprogram

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Pakkerne kan åbnes efter tilbagekaldelse af certifikater

    Beskrivelse: Når installeringsprogrammet stødte på et tilbagekaldt certifikat, blev der vist en dialog med mulighed for at fortsætte. Problemet blev løst ved at fjerne dialogen og afvise alle tilbagekaldte pakker.

    CVE-id

    CVE-2013-1027

  • IPSec

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En hacker kan opfange data beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-server blev ikke matchet mod certifikatet, hvilket gjorde det muligt for en hacker med et certifikat til enhver server at efterligne andre. Problemet er løst ved at kontrollere certifikatet korrekt.

    CVE-id

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kernel

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En lokal netværksbruger kan udføre et DoS-angreb (Denial-of-Service)

    Beskrivelse: En forkert kontrol i IGMP-pakkens parsingkode i kernel gjorde det muligt for en bruger, som kunne sende IGMP-pakker til systemet, at forårsage en kernelpanik. Problemet er løst ved at fjerne kontrollen.

    CVE-id

    CVE-2013-1029: Christopher Bohn fra PROTECTSTAR INC.

  • Administration af mobile enheder

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Adgangskoder kan videregives til andre lokale brugere

    Beskrivelse: Der blev sendt en adgangskode til mdmclient på kommandolinjen, hvilket gjorde den synlig for andre brugere i samme system. Problemet er løst ved at sende adgangskoden gennem en "pipe".

    CVE-id

    CVE-2013-1030: Per Olofsson på Göteborgs Universitet

  • OpenSSL

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sikkerhedshuller i OpenSSL

    Beskrivelse: OpenSSL havde flere sikkerhedsrisici, hvoraf de alvorligste kan muliggøre videregivelse af brugerdata. Problemerne løses ved at opdatere OpenSSL til version 0.9.8y.

    CVE-id

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sikkerhedsrisici i PHP

    Beskrivelse: Der opstod flere sikkerhedsrisici i PHP, hvoraf de alvorligste kan muliggøre kørsel af vilkårlig kode. Disse problemer blev løst ved at opdatere PHP til version 5.3.26.

    CVE-id

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Flere sårbarheder i PostgreSQL

    Beskrivelse: Der er flere sikkerhedshuller i PostgreSQL, hvoraf de alvorligste kan føre til beskadigelse af data eller eskalering af rettigheder. CVE-2013-1901 påvirker ikke OS X Lion-computere. Problemerne løses i denne opdatering ved at opdatere PostgreSQL til 9.1.9 på OS X Lion-computere og 9.0.4 på OS X Lion-computere.

    CVE-id

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Strømstyring

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Skærmskåneren starter muligvis ikke efter det angivne tidsrum

    Beskrivelse: Der var et problem med strømlåsen. Problemet er løst ved forbedret behandling af låsen.

    CVE-id

    CVE-2013-1031

  • QuickTime

    Fås til: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var en hukommelsesfejl i forbindelse med håndteringen af 'idsc'-atomer i QuickTime-filmarkiver. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2013-1032: Jason Kratzer, som arbejder for iDefense VCP

  • Skærmlås

    Fås til: OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En bruger med adgang til skærmdeling kan muligvis omgå skærmlåsen, når en anden bruger er logget ind

    Beskrivelse: Der opstod et sessionsadministrationsproblem ved skærmlåsens behandling af skærmdelingssessioner. Problemet er løst ved forbedret sessionssporing.

    CVE-id

    CVE-2013-1033: Jeff Grisso fra Atos IT Solutions, Sébastien Stormacq

  • sudo

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5 og OS X Mountain Lion v10.8 til v10.8.4

    Effekt: En hacker med kontrol over en administratorkonto kan være i stand til at opnå rodrettigheder uden at kende brugerens adgangskode

    Beskrivelse: Ved at indstille systemuret kan en hacker ved hjælp af sudo opnå rodrettigheder på systemer, hvor sudo tidligere er blevet anvendt. I OS X er det kun muligt for administratorer at ændre systemuret. Problemet er løst ved at kontrollere, om tidsstemplet er ugyldigt.

    CVE-id

    CVE-2013-1775

 

  • Bemærk: I OS X Mountain Lion v10.8.5 er det også løst et problem, hvor visse Unicode-strenge kan forårsage uventet afslutning af programmer.

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: