Σχετικά με περιεχόμενο ασφάλειας του OS X Mountain Lion 10.8.5 και της Ενημέρωσης ασφάλειας 2013-004

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του OS X Mountain Lion 10.8.5 και της Ενημέρωσης ασφάλειας 2013-004.

Μπορείτε να κατεβάστε και να εγκαταστήσετε τα παραπάνω μέσω των προτιμήσεων της Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.

Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, διαβάστε το άρθρο "Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple".

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE, για την αναφορά σε συγκεκριμένες ευπάθειες για περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, διαβάστε το άρθρο "Ενημερώσεις ασφάλειας Apple". 

OS X Mountain Lion 10.8.5 και ενημέρωση ασφάλειας 2013-004

  • Apache

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Πολλές ευπάθειες στο Apache

    Περιγραφή: Υπήρχαν πολλές ευπάθειες στο Apache, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίου. Αυτά τα θέματα αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.2.24.

    Αναγνωριστικό CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Διατίθεται για: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Πολλές ευπάθειες στο BIND

    Περιγραφή: Υπήρχαν πολλές ευπάθειες στο BIND, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίου. Αυτά τα θέματα αντιμετωπίστηκαν με την ενημέρωση του BIND στην έκδοση 9.8.5-P1. Το CVE-2012-5688 δεν επηρέασε τα συστήματα Mac OS X 10.7.

    Αναγνωριστικό CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Πολιτική αξιοπιστίας πιστοποιητικού

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Τα πιστοποιητικά ρίζας ενημερώθηκαν

    Περιγραφή: Αρκετά πιστοποιητικά προστέθηκαν στην λίστα των ριζών συστήματος ή αφαιρέθηκαν από αυτήν. Η προβολή ολόκληρης της λίστας αναγνωρισμένων ριζών συστήματος μπορεί να γίνει μέσω της εφαρμογής Keychain Access.

  • ClamAV

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Αποτέλεσμα: Πολλές ευπάθειες στο ClamAV

    Περιγραφή: Υπάρχουν πολλές ευπάθειες στο ClamAV, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το ζήτημα ενημερώνοντας το ClamAV στην έκδοση 0.97.8.

    Αναγνωριστικό CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Διατίθεται για: OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer στο χειρισμό δεδομένων με κωδικοποίηση JBIG2 σε αρχεία PDF. Το θέμα αντιμετωπίστηκε με πρόσθετο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2013-1025 : Felix Groebert της Ομάδας ασφάλειας της Google

  • ImageIO

    Διατίθεται για: OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Η προβολή κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε υπερχείλιση buffer στο χειρισμό δεδομένων με κωδικοποίηση JPEG2000 σε αρχεία PDF. Το θέμα αντιμετωπίστηκε με πρόσθετο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2013-1026 : Felix Groebert της Ομάδας ασφάλειας της Google

  • Πρόγραμμα εγκατάστασης

    Διατίθεται για: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Τα πακέτα μπορούσαν να ανοιχτούν μετά από ανάκληση του πιστοποιητικού

    Περιγραφή: Όταν το πρόγραμμα εγκατάστασης αντιμετώπιζε ένα ανακληθέν πιστοποιητικό, παρουσίαζε ένα παράθυρο διαλόγου με την επιλογή για συνέχεια. Αυτό το ζήτημα αντιμετωπίστηκε με την αφαίρεση του παράθυρου διαλόγου και την άρνηση κάθε πακέτου που έχει ανακληθεί.

    Αναγνωριστικό CVE

    CVE-2013-1027

  • IPSec

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Ένας εισβολέας μπορεί να υποκλέψει δεδομένα προστατευμένα με τη μέθοδο IPSec Hybrid Auth

    Περιγραφή: Δεν γινόταν αντιστοίχιση του ονόματος DNS ενός διακομιστή IPSec Hybrid Auth σε σχέση με το πιστοποιητικό, με αποτέλεσμα να επιτρέπεται σε έναν εισβολέα με πιστοποιητικό για κάποιο διακομιστή να μιμείται οποιονδήποτε άλλον. Αυτό το ζήτημα αντιμετωπίστηκε με κατάλληλο έλεγχο του πιστοποιητικού.

    Αναγνωριστικό CVE

    CVE-2013-1028 : Alexander Traud από το www.traud.de

  • Πυρήνας

    Διατίθεται για: OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Ένας χρήστης τοπικού δικτύου μπορεί να προκαλέσει άρνηση υπηρεσίας

    Περιγραφή: Ένας λανθασμένος έλεγχος στον κωδικό ανάλυσης πακέτου IGMP του πυρήνα, επέτρεπε σε έναν χρήστη να στείλει πακέτα IGMP στο σύστημα για να προκαλέσει πανικό πυρήνα. Αυτό το θέμα αντιμετωπίστηκε με την κατάργηση του ελέγχου.

    Αναγνωριστικό CVE

    CVE-2013-1029 : Christopher Bohn της PROTECTSTAR INC.

  • Διαχείριση κινητών συσκευών

    Διατίθεται για: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Οι κωδικοί μπορεί να αποκαλύπτονται σε άλλους τοπικούς χρήστες

    Περιγραφή: Ένας κωδικός πρόσβασης περνούσε στη γραμμή εντολών του mdmclient, με αποτέλεσμα την εμφάνιση του κωδικού σε άλλους χρήστες του ίδιου συστήματος. Αυτό το ζήτημα αντιμετωπίστηκε με την επικοινωνία του κωδικού πρόσβασης μέσω ενός διαύλου.

    Αναγνωριστικό CVE

    CVE-2013-1030 : Per Olofsson στο University of Gothenburg

  • OpenSSL

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Πολλές ευπάθειες OpenSSL

    Περιγραφή: Υπήρχαν πολλές ευπάθειες στο OpenSSL, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε αποκάλυψη δεδομένων του χρήστη. Αυτά τα θέματα αντιμετωπίστηκαν με την ενημέρωση του OpenSSL στην έκδοση 0.9.8y.

    Αναγνωριστικό CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Πολλές ευπάθειες στο PHP

    Περιγραφή: Υπήρχαν πολλές ευπάθειες στο PHP, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Αυτά τα θέματα αντιμετωπίστηκαν με την ενημέρωση του PHP στην έκδοση 5.3.26.

    Αναγνωριστικό CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Διατίθεται για: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Πολλές ευπάθειες στο PostgreSQL

    Περιγραφή: Υπάρχουν πολλές ευπάθειες στο PostgreSQL, εκ των οποίων, η σημαντικότερη μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα. Το CVE-2013-1901 δεν επηρεάζει τα συστήματα OS X Lion. Αυτή η ενημέρωση αντιμετωπίζει τα ζητήματα ενημερώνοντας το PostgreSQL στην έκδοση 9.1.9 σε συστήματα OS X Mountain Lion και στην έκδοση 9.0.4 σε συστήματα OS X Lion.

    Αναγνωριστικό CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Διαχείριση ενέργειας

    Διατίθεται για: OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Η προφύλαξη οθόνης μπορεί να μην ξεκινήσει μετά την καθορισμένη χρονική περίοδο

    Περιγραφή: Υπήρχε ένα ζήτημα κλειδώματος διεκδίκησης ισχύος. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένο χειρισμό κλειδώματος.

    Αναγνωριστικό CVE

    CVE-2013-1031

  • QuickTime

    Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

    Περιγραφή: Υπήρχε ένα θέμα αλλοίωσης μνήμης στο χειρισμό ατόμων "idsc" σε αρχεία ταινίας QuickTime. Το θέμα αντιμετωπίστηκε με πρόσθετο έλεγχο ορίων.

    Αναγνωριστικό CVE

    CVE-2013-1032 : Jason Kratzer σε συνεργασία με το iDefense VCP

  • Κλείδωμα οθόνης

    Διατίθεται για: OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Ένας χρήστης με πρόσβαση σε κοινή χρήση οθόνης ενδεχομένως να μπορεί να παρακάμψει το κλείδωμα οθόνης όταν ένας άλλος χρήστης είναι συνδεδεμένος

    Περιγραφή: Υπήρχε ένα θέμα διαχείρισης περιόδου λειτουργίας στον τρόπο με τον οποίο το κλείδωμα οθόνης χειρίζεται τις περιόδους λειτουργίας κοινής χρήσης οθόνης. Αυτό το θέμα αντιμετωπίστηκε με τη βελτίωση της παρακολούθησης της περιόδου λειτουργίας.

    Αναγνωριστικό CVE

    CVE-2013-1033 : Jeff Grisso της Atos IT Solutions, Sébastien Stormacq

  • sudo

    Διατίθεται για: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 έως 10.8.4

    Αποτέλεσμα: Ένας εισβολέας με έλεγχο του λογαριασμού ενός διαχειριστή ενδεχομένως να μπορεί να αποκτήσει δικαιώματα "root" χωρίς να γνωρίζει τον κωδικό πρόσβασης του χρήστη

    Περιγραφή: Ορίζοντας το ρολόι συστήματος, ένας εισβολέας ενδεχομένως να μπορεί να χρησιμοποιήσει την εντολή "sudo" για να αποκτήσει δικαιώματα "root" σε συστήματα όπου έχει χρησιμοποιηθεί ξανά η εντολή "sudo". Στο OS X, μόνο οι διαχειριστές μπορούν να αλλάξουν το ρολόι συστήματος. Αυτό το θέμα αντιμετωπίστηκε ελέγχοντας για μη έγκυρη σήμανση χρόνου.

    Αναγνωριστικό CVE

    CVE-2013-1775

 

  • Σημείωση: Το OS X Mountain Lion 10.8.5 αντιμετωπίζει ένα θέμα κατά το οποίο ορισμένες συμβολοσειρές Unicode μπορούσαν να προκαλέσουν τον απρόσμενο τερματισμό εφαρμογών.

 

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: