Σχετικά με περιεχόμενο ασφάλειας του OS X Mountain Lion v10.8.5 και της Ενημέρωσης ασφάλειας 2013-004
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του OS X Mountain Lion v10.8.5 και της Ενημέρωσης ασφάλειας 2013-004.
Μπορείτε να κατεβάστε και να εγκαταστήσετε τα παραπάνω μέσω των προτιμήσεων της Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».
OS X Mountain Lion v10.8.5 και ενημέρωση ασφάλειας 2013-004
Apache
Διατίθεται για: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Πολλές ευπάθειες στο Apache
Περιγραφή: Υπήρχαν πολλές ευπάθειες στο Apache, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίου. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Πολλές ευπάθειες στο BIND
Περιγραφή: Υπήρχαν πολλές ευπάθειες στο BIND, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε άρνηση υπηρεσίας. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του BIND στην έκδοση 9.8.5-P1. Το CVE-2012-5688 δεν επηρέασε τα συστήματα Mac OS X v10.7.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Τα πιστοποιητικά ρίζας ενημερώθηκαν
Περιγραφή: Αρκετά πιστοποιητικά προστέθηκαν στην λίστα των ριζών συστήματος ή αφαιρέθηκαν από αυτή. Η προβολή ολόκληρης της λίστας αναγνωρισμένων ριζών συστήματος μπορεί να γίνει μέσω της εφαρμογής Keychain Access.
ClamAV
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Αποτέλεσμα: Πολλές ευπάθειες στο ClamAV
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο ClamAV, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το πρόβλημα με την ενημέρωση του ClamAV στην έκδοση 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
AΔιατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer κατά τον χειρισμό δεδομένων με κωδικοποίηση JBIG2 σε αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.
CVE-ID
CVE-2013-1025: Felix Groebert της Ομάδας ασφάλειας της Google
ImageIO
Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer κατά τον χειρισμό δεδομένων με κωδικοποίηση JPEG2000 σε αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.
CVE-ID
CVE-2013-1026: Felix Groebert της Ομάδας ασφάλειας της Google
Installer
Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Τα πακέτα μπορούσαν να ανοιχτούν μετά από ανάκληση του πιστοποιητικού
Περιγραφή: Όταν το πρόγραμμα εγκατάστασης αντιμετώπιζε ένα ανακληθέν πιστοποιητικό, παρουσίαζε ένα παράθυρο διαλόγου με την επιλογή για συνέχεια. Αυτό το πρόβλημα αντιμετωπίστηκε με την αφαίρεση του παράθυρου διαλόγου και την άρνηση κάθε πακέτου που έχει ανακληθεί.
CVE-ID
CVE-2013-1027
IPSec
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Ένας εισβολέας μπορεί να υποκλέψει δεδομένα προστατευμένα με τη μέθοδο IPSec Hybrid Auth
Περιγραφή: Δεν γινόταν αντιστοίχιση του ονόματος DNS ενός διακομιστή IPSec Hybrid Auth σε σχέση με το πιστοποιητικό, με αποτέλεσμα να επιτρέπεται σε έναν εισβολέα με πιστοποιητικό για κάποιο διακομιστή να μιμείται οποιονδήποτε άλλον. Αυτό το πρόβλημα αντιμετωπίστηκε με κατάλληλο έλεγχο του πιστοποιητικού.
CVE-ID
CVE-2013-1028: Alexander Traud της www.traud.de
Kernel
Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Ένας χρήστης τοπικού δικτύου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένας λανθασμένος έλεγχος στον κωδικό ανάλυσης πακέτου IGMP του πυρήνα, επέτρεπε σε έναν χρήστη να στείλει πακέτα IGMP στο σύστημα για να προκαλέσει πανικό πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του ελέγχου.
CVE-ID
CVE-2013-1029: Christopher Bohn της PROTECTSTAR INC.
Mobile Device Management
Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Μπορεί να αποκαλυφθούν συνθηματικά σε άλλους τοπικούς χρήστες
Περιγραφή: Ένα συνθηματικό περνούσε στη γραμμή εντολών του mdmclient, με αποτέλεσμα την εμφάνιση του συνθηματικού σε άλλους χρήστες του ίδιου συστήματος. Αυτό το πρόβλημα αντιμετωπίστηκε με την επικοινωνία του συνθηματικού μέσω ενός διαύλου.
CVE-ID
CVE-2013-1030: Per Olofsson του University of Gothenburg
OpenSSL
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Πολλές ευπάθειες στο OpenSSL
Περιγραφή: Υπήρχαν πολλές ευπάθειες στο OpenSSL, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε αποκάλυψη δεδομένων του χρήστη. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του OpenSSL στην έκδοση 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Πολλές ευπάθειες στο PHP
Περιγραφή: Υπήρχαν πολλές ευπάθειες στο PHP εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του PHP στην έκδοση 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Πολλές ευπάθειες στο PostgreSQL
Περιγραφή: Υπάρχουν πολλές ευπάθειες στο PostgreSQL, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε καταστροφή δεδομένων ή κλιμάκωση προνομίων. Το CVE-2013-1901 δεν επηρεάζει τα συστήματα OS X Lion. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα ενημερώνοντας το PostgreSQL στην έκδοση 9.1.9 σε συστήματα OS X Mountain Lion και στην έκδοση 9.0.4 σε συστήματα OS X Lion.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Η προφύλαξη οθόνης μπορεί να μην ξεκινήσει μετά την καθορισμένη χρονική περίοδο
Περιγραφή: Υπήρχε ένα πρόβλημα κλειδώματος διεκδίκησης ισχύος. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού του κλειδώματος.
CVE-ID
CVE-2013-1031
QuickTime
Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στο χειρισμό ατόμων «idsc» σε αρχεία ταινίας QuickTime. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.
CVE-ID
CVE-2013-1032: Jason Kratzer σε συνεργασία με την iDefense VCP
Screen Lock
Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Ένας χρήστης με πρόσβαση σε κοινή χρήση οθόνης ενδεχομένως να μπορεί να παρακάμψει το κλείδωμα οθόνης όταν ένας άλλος χρήστης είναι συνδεδεμένος
Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης συνεδρίας στον χειρισμό συνεδριών κοινής χρήσης οθόνης από το κλείδωμα οθόνης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτίωσης της παρακολούθησης συνεδρίας.
CVE-ID
CVE-2013-1033: Jeff Grisso της Atos IT Solutions, Sébastien Stormacq
sudo
Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4
Αποτέλεσμα: Ένας εισβολέας με έλεγχο του λογαριασμού ενός διαχειριστή ενδεχομένως να μπορεί να αποκτήσει δικαιώματα «root» χωρίς να γνωρίζει το συνθηματικό του χρήστη
Περιγραφή: Ρυθμίζοντας το ρολόι συστήματος, ένας εισβολέας ενδεχομένως να μπορεί να χρησιμοποιήσει την εντολή «sudo» για να αποκτήσει δικαιώματα «root» σε συστήματα όπου έχει χρησιμοποιηθεί ξανά η εντολή «sudo». Στο OS X, μόνο οι διαχειριστές μπορούν να αλλάξουν το ρολόι συστήματος. Αυτό το πρόβλημα αντιμετωπίστηκε ελέγχοντας για μη έγκυρη σήμανση χρόνου.
CVE-ID
CVE-2013-1775
Σημείωση: Το OS X Mountain Lion v10.8.5 αντιμετωπίζει ένα πρόβλημα κατά το οποίο ορισμένες συμβολοσειρές Unicode μπορούσαν να προκαλέσουν τον απρόσμενο τερματισμό εφαρμογών.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.