Om sikkerhedsindholdet i OS X Mavericks v10.9

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du gå ind på webstedet Apple Produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Mavericks v10.9

  • Programfirewall

    Effekt: socketfilterfw --blockApp blokerer muligvis ikke, så programmerne ikke kan modtage netværksforbindelser

    Beskrivelse: Muligheden "--blockApp" i kommandolinjeværktøjet socketfilterfw sikrede ikke pålidelig blokering af modtagelse af netværksforbindelser. Problemet er løst ved forbedret behandling af muligheden "--blockApp".

    CVE-id

    CVE-2013-5165: Alexander Frangis fra PopCap Games

  • App'en Sandbox

    Effekt: Programmet Sandbox kan omgås

    Beskrivelse: Brugerfladen LaunchServices til åbning af et program gjorde det muligt for programmer med Sandbox-funktion at angive den liste med argumenter, der blev sendt til den nye proces. Et Sandbox-program med sikkerhedsproblemer kunne bruge muligheden til at gå uden om Sandbox. Problemet er løst ved at forbyde Sandbox-programmer at angive argumenterne.

    CVE-id

    CVE-2013-5179: Friedrich Graeter fra The Soulmen GbR

  • Bluetooth

    Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

    Beskrivelse: Bluetooth USB-værtscontrolleren slettede brugerflader, der skulle bruges ved senere operationer. Problemet er løst ved at bibeholde brugerfladen, indtil der ikke længere er behov for den.

    CVE-id

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori fra Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Effekt: Sessions-cookies bliver liggende efter nulstilling af Safari

    Beskrivelse: Ved nulstilling af Safari blev session-cookies ikke altid slettet, før Safari blev lukket. Problemet er løst ved forbedret behandling af session-cookies.

    CVE-id

    CVE-2013-5167: Graham Bennett, Rob Ansaldo fra Amherst College

  • CFNetwork SSL

    Effekt: En hacker kan dekryptere dele af en SSL-forbindelse

    Beskrivelse: Kun SSL-versionerne SSLv3- og TLS 1.0 blev anvendt. Versionerne har en protokolsvaghed, når der bruges blokkodning. En MITM-hacker kunne have indsat ugyldige data, hvilket ville få forbindelsen til at blive afbrudt, men det ville også afsløre nogle oplysninger om de tidligere data. Hvis samme forbindelse blev angrebet gentagne gange, kan hackeren have været i stand til at dekryptere de sendte data – f.eks. en adgangskode. Problemet er løst ved at aktivere TLS 1.2.

    CVE-id

    CVE-2011-3389

  • Console

    Effekt: Et klik på et skadeligt protokolelement kan medføre pludselig lukning af programmet

    Beskrivelse: Med denne opdatering ændres funktionsmåden i Console ved klik på et protokolelement med vedhæftet URL-adresse. I stedet for at åbne URL-adressen sørger Console for eksempelvisning af URL-adressen via Quick Look.

    CVE-id

    CVE-2013-5168: Aaron Sigel fra vtty.com

  • CoreGraphics

    Effekt: Der kan være synlige vinduer på låseskærmen, når skærmen har været på vågeblus

    Beskrivelse: Der var et logisk problem i CoreGraphics's behandling af skærmvågeblus, hvilket medfører beskadigelse af data, så der er synlige vinduer på låseskærmen. Problemet løses ved forbedret håndtering af skærmvågeblus.

    CVE-id

    CVE-2013-5169

  • CoreGraphics

    Effekt: Visning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferunderløbsproblem ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-5170: Will Dormann fra CERT/CC

  • CoreGraphics

    Effekt: Et program uden rettigheder kan registrere tastaturtryk i andre programmer, selv om funktionen til sikker indtastning er slået til.

    Beskrivelse: Ved at tilmelde sig en genvejstasthændelse kan et program uden rettigheder registrere tastaturtryk i andre programmer, selv om funktionen til sikker indtastning er slået til. Problemet er løst ved yderligere godkendelse af genvejstasthændelser.

    CVE-id

    CVE-2013-5171

  • curl

    Effekt: Flere sikkerhedsrisici i curl

    Beskrivelse: Der opstod flere sikkerhedsrisici i curl, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode. Problemerne er løst ved at opdatere curl til version 7.30.0.

    CVE-id

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Effekt: En hacker, som kører vilkårlig kode på en enhed, kan være i stand til at fortsætte med køre programkode efter genstart

    Beskrivelse: Der var flere bufferoverløb i dylds openSharedCacheFile()-funktion. Disse problemer er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

    Beskrivelse: Der var en reference til en null-pointer i IOCatalogue. Problemet er løst ved yderligere kontrol af typer.

    CVE-id

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode i kernen

    Beskrivelse: Der var et problem med out-of-bounds-systemadgang i IOSerialFamily-driveren. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-5139: @dent1zt

  • Kernel

    Effekt: Brug af SHA-2 digest-funktioner i kernen kan medføre pludselig systemlukning

    Beskrivelse: Der blev anvendt forkert output-længde til SHA-2-familien af digest-funktioner, hvilket medførte kernelpanik, når disse funktioner blev brugt – primært ved IPSec-forbindelser. Problemet er løst ved at anvende den forventede output-længde.

    CVE-id

    CVE-2013-5172: Christoph Nadig fra Lobotomo Sfratware

  • Kernel

    Effekt: Kernestakhukommelsen kan være tilgængelig for lokale brugere

    Beskrivelse: Der var problemer med afsløring af oplysninger i API'erne msgctl og segctl. Problemet blev løst ved at initialisere datastrukturer, der returneres fra kernen.

    CVE-id

    CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

  • Kernel

    Effekt: En lokal bruger kan udløse DoS (Denial of Service)

    Beskrivelse: Kernens generator af vilkårlige tal holdt en lås, mens en anmodning fra userspace blev behandlet. Det gav en lokal bruger mulighed for at sende en stor anmodning og holde låsen i lang tid, således at andre brugere af generatoren af vilkårlige tal ikke kunne bruge tjenesten. Problemet er løst ved oftere at frigive og tildele låsen til større anmodninger.

    CVE-id

    CVE-2013-5173: Jaakko Pero fra Aalto University

  • Kernel

    Effekt: En lokal bruger uden rettigheder kan udløse et pludseligt systemnedbrud

    Beskrivelse: Der var et problem med signering af heltal ved behandling af tty-reads. Problemet er løst ved forbedret behandling af tty-reads.

    CVE-id

    CVE-2013-5174: CESG

  • Kernel

    Effekt: En lokal bruger kan muligvis udløse visning af oplysninger fra kernehukommelsen eller udløse et pludseligt systemnedbrud

    Beskrivelse: Der var et læseproblem med "out of bounds" ved behandling af Mach-O-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-5175

  • Kernel

    Effekt: En lokal bruger kan muligvis få computeren til at sidde fast

    Beskrivelse: Der var et problem med trunkering af heltal ved behandling af tty-enheder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-5176: CESG

  • Kernel

    Effekt: En lokal bruger kan muligvis udløse et pludseligt systemnedbrud

    Beskrivelse: Der opstod panik i kernen, hvis der blev registreret en ugyldig iovec-struktur fra brugeren. Problemet er løst ved forbedret godkendelse af iovec-strukturer.

    CVE-id

    CVE-2013-5177: CESG

  • Kernel

    Effekt: Uprivilegerede processer kan medføre pludselig systemlukning eller kørsel af vilkårlig kode i kernen

    Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af argumenter til API'en posix_spawn. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2013-3954: Stefan Esser

  • Kernel

    Effekt: Et kildespecifikt multicast-program kan medføre pludselig systemlukning ved brug af Wi-Fi-netværk

    Beskrivelse: Der var et problem med fejlkontrol ved behandling multicast-pakker. Problemet er løst ved forbedret behandling af multicast-pakker.

    CVE-id

    CVE-2013-5184: Octoshape

  • Kernel

    Effekt: En hacker på et lokalt netværk kan udføre et DoS-angreb (Denial-of-Service)

    Beskrivelse: En hacker på et lokalt netværk kan sende specialudviklede IPv6 ICMP-pakker og forårsage høj CPU-belastning. Problemet blev løst ved at begrænse antallet af ICMP-pakker inden verificering af deres kontrolsum.

    CVE-id

    CVE-2011-2391: Marc Heuse

  • Kernel

    Effekt: Et skadeligt lokalt program kan medføre, at computeren sidder fast

    Beskrivelse: Der var et problem med trunkering af heltal i kernesokkelgrænsefladen, hvilket kan udnyttes til at tvinge CPU'en ind i en endeløs sløjfe. Problemet blev løst ved at anvende en større variabel.

    CVE-id

    CVE-2013-5141: CESG

  • Kext Management

    Effekt: En proces uden tilladelse kan deaktivere nogle indlæste kerneudvidelser

    Beskrivelse: Der var et problem med kext managements håndtering af IPC-meddelser fra ikke-godkendte afsendere. Problemet er løst ved at tilføje yderligere godkendelseskontroller.

    CVE-id

    CVE-2013-5145: "Rainbow PRISM"

  • LaunchServices

    Effekt: Et arkiv kunne blive vist med den forkerte arkivendelse

    Beskrivelse: Der var et problem med behandling af bestemte unicode-tegn, som medførte, at arkivnavnene kunne blive vist med forkert arkivendelse. Problemet er løst ved at filtrere usikre unicode-tegn, så de ikke vises i arkivnavne.

    CVE-id

    CVE-2013-5178: Jesse Ruderman fra Mozilla Corporation, Stephane Sudre fra Intego

  • Libc

    Effekt: Under særlige omstændigheder kunne nogle vilkårlige tal forudsiges

    Beskrivelse: Hvis srandomdev() ikke havde adgang til kernens generator af vilkårlige tal, skiftede funktionen til en anden metode, som var fjernet ved optimering, hvilket medførte manglende vilkårlighed. Problemet er løst ved at ændre koden, så den er korrekt under optimering.

    CVE-id

    CVE-2013-5180: Xi Wang

  • Mail-konti

    Effekt: Mail vælger muligvis ikke den mest sikre tilgængelige godkendelsesmetode

    Beskrivelse: Ved automatisk konfiguration af e-mailkonti på nogle e-mailservere valgte programmet Mail plaintext frem for CRAM-MD5-godkendelse. Problemet er løst ved forbedret behandling af logikken.

    CVE-id

    CVE-2013-5181

  • Visning af e-mailheader

    Effekt: En ikke-signeret besked kan se ud til at være signeret korrekt

    Beskrivelse: Der var et logisk problem med Mails behandling af ikke-signerede beskeder, der alligevel indeholdte et afsnit af typen multipart/signed. Problemet er løst ved forbedret behandling af ikke-signerede beskeder.

     

    CVE-id

    CVE-2013-5182: Michael Roitzsch fra Technische Universität Dresden

  • Mail-netværk

    Effekt: Der kan kortvarigt blive sendt oplysninger som almindelig tekst, hvis der er konfigureret andet end TLS-kryptering

    Beskrivelse: Hvis Kerberos-godkendelse er slået til, og Transport Layer Security er slået fra, sendte Mail nogle ukrypterede data til e-mailserveren, hvilket medførte pludselig afbrydelse af forbindelsen. Problemet er løst ved forbedret behandling af denne konfiguration.

    CVE-id

    CVE-2013-5183: Richard E. Silverman fra www.qoxp.net

  • OpenLDAP

    Effekt: Kommandolinjeværktøjet ldapsearch kunne ikke anvende minssf-konfigurationen

    Beskrivelse: Kommandolinjeværktøjet ldapsearch kunne ikke anvende minssf-konfigurationen, hvilket kunne medføre, at der pludselig var mulighed for svag kryptering. Problemet er løst ved forbedret behandling af minssf-konfigurationen.

    CVE-id

    CVE-2013-5185

  • perl

    Effekt: Perl-scripts kan være sårbare over for DoS (Denial of Service)

    Beskrivelse: Rehash-mekanismen i forældede versioner af Perl kan være sårbare over for DoS-scripts, som bruger input, der ikke er tillid til, som hash-nøgler. Problemet er løst ved at opdatere til Perl 5.16.2.

    CVE-id

    CVE-2013-1667

  • Strømstyring

    Effekt: Skærmlåsen aktiveres muligvis ikke efter det angivne tidsrum

    Beskrivelse: Der var et låseproblem i strømstyringen. Problemet er løst ved forbedret behandling af låsen.

    CVE-id

    CVE-2013-5186: David Herman fra Sensible DB Design

  • python

    Effekt: Flere sikkerhedsrisici i python 2.7

    Beskrivelse: Der var flere sikkerhedsrisici i 2.7.2, hvoraf de alvorligste kan medføre dekryptering af indholdet af en SSL-forbindelse. Denne opdatering løser problemerne ved at opdatere python til version 2.7.5. Yderligere oplysninger kan ses på pythons websted på http://www.python.org/download/releases/

    CVE-id

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Effekt: Flere sikkerhedsrisici i python 2.6

    Beskrivelse: Der var flere sikkerhedsrisici i 2.6.7, hvoraf de alvorligste kan medføre dekryptering af indholdet af en SSL-forbindelse. Denne opdatering løser problemerne ved at opdatere python til version 2.6.8 og anvende rettelsen til CVE-2011-4944 fra Python-projektet. Du kan finde flere oplysninger på webstedet for python på http://www.python.org/download/releases/

    CVE-id

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Der var et problem med godkendelse af hostname i Rubys behandling af SSL-certifikater. Problemet er løst ved at opdatere Ruby til version 2.0.0.

    CVE-id

    CVE-2013-4073

  • Sikkerhed

    Effekt: Understøttelse af X.509-certifikater med MD5-hashes kan udsætte brugeren for svindel og offentliggørelse af oplysninger, når angrebene udvikles

    Beskrivelse: Certifikater, der er signeret ved hjælp af MD5 hash-algoritmen, blev godkendt af OS X. Det er almindeligt kendt, at algoritmen er behæftet med kryptografiske svagheder. Yderligere undersøgelser eller en forkert konfigureret certifikatmyndighed kunne have tilladt oprettelse af X.509-certifikater med hacker-kontrollerede værdier, der ville være blevet godkendt af systemet. Dette kunne have udsat X.509-baserede protokoller for spoofing, MITM-angreb og afsløring af oplysninger. Opdateringen deaktiverer understøttelse af X.509-certifikater med en MD5-hash ved brug som andet end et godkendt rodcertifikat.

    CVE-id

    CVE-2011-3427

  • Sikkerhed – godkendelse

    Effekt: En administrators sikkerhedsindstillinger overholdes muligvis ikke

    Beskrivelse: Indstillingen "Der kræves en administrators adgangskode for at åbne låste indstillinger" giver en administrator mulighed for at lægge et ekstra lag beskyttelse på vigtige systemindstillinger. I nogle tilfælde, hvor en administrator havde slået indstillingen til, blev indstillingen slået fra efter installering af en softwareopdatering eller -opgradering. Problemet er løst ved forbedret behandling af godkendelsesrettigheder.

    CVE-id

    CVE-2013-5189: Greg Onufer

  • Sikkerhed – Smart Card-tjenester

    Effekt: Der er muligvis ikke adgang til Smart Card-tjenester, hvis tilbagekaldelseskontrol er slået til for certifikater

    Beskrivelse: Der var et logisk problem med behandlingen af tilbagekaldelseskontrol af Smart Card-certifikater i OS X. Problemet er løst ved forbedret understøttelse af certifikattilbagekaldelse.

    CVE-id

    CVE-2013-5190: Yongjun Jeon fra Centrify Corporation

  • Skærmlås

    Effekt: Kommandoen "Låseskærm" udføres muligvis ikke omgående

    Beskrivelse: Kommandoen "Låseskærm" i menulinjeelementet for status for nøglering udføres ikke, før det angivne tidsrum i indstillingen "Bed om adgangskode [tidsperiode] efter vågeblus eller skærmskåner starter" er gået.

    CVE-id

    CVE-2013-5187: Michael Kisor fra OrganicOrb.com, Christian Knappskog fra NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Skærmlås

    Effekt: En Mac-computer på vågeblus med automatisk log ind beder muligvis ikke om adgangskode, når vågeblus afbrydes

    Beskrivelse: På en Mac-computer, hvor vågeblus og automatisk log ind er slået til, kan der være mulighed for at afbryde vågeblus uden at skulle indtaste en adgangskode. Problemet er løst ved forbedret behandling af låsen.

    CVE-id

    CVE-2013-5188: Levi Musters

  • Skærmdelingsserver

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var en sikkerhedsrisiko i forbindelse med formatstrenge ved skærmdelingsserverens håndtering af VNC-brugernavnet.

    CVE-id

    CVE-2013-5135: SilentSignal, som arbejder for iDefense VCP

  • syslog

    Effekt: En gæstebruger kan muligvis se protokolbeskeder fra tidliger gæster

    Beskrivelse: Konsolprotokollen kunne ses af gæstebrugeren, og den indeholdt beskeder fra tidligere gæstebrugersessioner. Problemet er løst ved, at konsolprotokollen for gæstebrugere kun er synlig for administratorerne.

    CVE-id

    CVE-2013-5191: Sven-S. Porst fra earthlingsoft

  • USB

    Effekt: Et skadeligt lokalt program kan medføre pludselig systemlukning

    Beskrivelse: USB-samlingspunkt-controlleren kontrollerede ikke port og portnummer ved forespørgsler. Problemet er løst ved at indføre kontrol af port og portnummer.

    CVE-id

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori fra Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Bemærk: OS X Mavericks indeholder Safari 7.0, som sikkerhedsindholdet fra Safari 6.1 er integreret i. Yderligere oplysninger kan ses i artiklen "Om sikkerhedsindholdet i Safari 6.1" på http://support.apple.com/kb/HT6000?viewlocale=da_DK

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: