Σχετικά με περιεχόμενο ασφάλειας του OS X Mountain Lion v10.8.5 και της Ενημέρωσης ασφάλειας 2013-004

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του OS X Mountain Lion v10.8.5 και της Ενημέρωσης ασφάλειας 2013-004.

Μπορείτε να κατεβάστε και να εγκαταστήσετε τα παραπάνω μέσω των προτιμήσεων της Ενημέρωσης λογισμικού ή από τις Λήψεις Apple.

H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.

Για περισσότερες πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο «Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple».

Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.

Για να ενημερωθείτε σχετικά με άλλες Ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο «Ενημερώσεις ασφάλειας Apple».

OS X Mountain Lion v10.8.5 και ενημέρωση ασφάλειας 2013-004

• Apache

  Διατίθεται για: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Πολλές ευπάθειες στο Apache

  Περιγραφή: Υπήρχαν πολλές ευπάθειες στο Apache, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε διατοποθεσιακή εκτέλεση σεναρίου. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.2.24.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Πολλές ευπάθειες στο BIND

  Περιγραφή: Υπήρχαν πολλές ευπάθειες στο BIND, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε άρνηση υπηρεσίας. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του BIND στην έκδοση 9.8.5-P1. Το CVE-2012-5688 δεν επηρέασε τα συστήματα Mac OS X v10.7.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Τα πιστοποιητικά ρίζας ενημερώθηκαν

  Περιγραφή: Αρκετά πιστοποιητικά προστέθηκαν στην λίστα των ριζών συστήματος ή αφαιρέθηκαν από αυτή. Η προβολή ολόκληρης της λίστας αναγνωρισμένων ριζών συστήματος μπορεί να γίνει μέσω της εφαρμογής Keychain Access.

• ClamAV

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

  Αποτέλεσμα: Πολλές ευπάθειες στο ClamAV

  Περιγραφή: Υπάρχουν πολλές ευπάθειες στο ClamAV, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτή η ενημέρωση αντιμετωπίζει αυτό το πρόβλημα με την ενημέρωση του ClamAV στην έκδοση 0.97.8.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  AΔιατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε υπερχείλιση buffer κατά τον χειρισμό δεδομένων με κωδικοποίηση JBIG2 σε αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.

  CVE-ID

  CVE-2013-1025: Felix Groebert της Ομάδας ασφάλειας της Google

• ImageIO

  Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου PDF μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε υπερχείλιση buffer κατά τον χειρισμό δεδομένων με κωδικοποίηση JPEG2000 σε αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.

  CVE-ID

  CVE-2013-1026: Felix Groebert της Ομάδας ασφάλειας της Google

• Installer

  Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Τα πακέτα μπορούσαν να ανοιχτούν μετά από ανάκληση του πιστοποιητικού

  Περιγραφή: Όταν το πρόγραμμα εγκατάστασης αντιμετώπιζε ένα ανακληθέν πιστοποιητικό, παρουσίαζε ένα παράθυρο διαλόγου με την επιλογή για συνέχεια. Αυτό το πρόβλημα αντιμετωπίστηκε με την αφαίρεση του παράθυρου διαλόγου και την άρνηση κάθε πακέτου που έχει ανακληθεί.

  CVE-ID

  CVE-2013-1027

• IPSec

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Ένας εισβολέας μπορεί να υποκλέψει δεδομένα προστατευμένα με τη μέθοδο IPSec Hybrid Auth

  Περιγραφή: Δεν γινόταν αντιστοίχιση του ονόματος DNS ενός διακομιστή IPSec Hybrid Auth σε σχέση με το πιστοποιητικό, με αποτέλεσμα να επιτρέπεται σε έναν εισβολέα με πιστοποιητικό για κάποιο διακομιστή να μιμείται οποιονδήποτε άλλον. Αυτό το πρόβλημα αντιμετωπίστηκε με κατάλληλο έλεγχο του πιστοποιητικού.

  CVE-ID

  CVE-2013-1028: Alexander Traud της www.traud.de

• Kernel

  Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Ένας χρήστης τοπικού δικτύου μπορεί να προκαλέσει άρνηση υπηρεσίας

  Περιγραφή: Ένας λανθασμένος έλεγχος στον κωδικό ανάλυσης πακέτου IGMP του πυρήνα, επέτρεπε σε έναν χρήστη να στείλει πακέτα IGMP στο σύστημα για να προκαλέσει πανικό πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του ελέγχου.

  CVE-ID

  CVE-2013-1029: Christopher Bohn της PROTECTSTAR INC.

• Mobile Device Management

  Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Μπορεί να αποκαλυφθούν συνθηματικά σε άλλους τοπικούς χρήστες

  Περιγραφή: Ένα συνθηματικό περνούσε στη γραμμή εντολών του mdmclient, με αποτέλεσμα την εμφάνιση του συνθηματικού σε άλλους χρήστες του ίδιου συστήματος. Αυτό το πρόβλημα αντιμετωπίστηκε με την επικοινωνία του συνθηματικού μέσω ενός διαύλου.

  CVE-ID

  CVE-2013-1030: Per Olofsson του University of Gothenburg

• OpenSSL

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Πολλές ευπάθειες στο OpenSSL

  Περιγραφή: Υπήρχαν πολλές ευπάθειες στο OpenSSL, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε αποκάλυψη δεδομένων του χρήστη. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του OpenSSL στην έκδοση 0.9.8y.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Πολλές ευπάθειες στο PHP

  Περιγραφή: Υπήρχαν πολλές ευπάθειες στο PHP εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση του PHP στην έκδοση 5.3.26.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Πολλές ευπάθειες στο PostgreSQL

  Περιγραφή: Υπάρχουν πολλές ευπάθειες στο PostgreSQL, εκ των οποίων η σοβαρότερη μπορεί να οδηγήσει σε καταστροφή δεδομένων ή κλιμάκωση προνομίων. Το CVE-2013-1901 δεν επηρεάζει τα συστήματα OS X Lion. Αυτή η ενημέρωση αντιμετωπίζει τα προβλήματα ενημερώνοντας το PostgreSQL στην έκδοση 9.1.9 σε συστήματα OS X Mountain Lion και στην έκδοση 9.0.4 σε συστήματα OS X Lion.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Η προφύλαξη οθόνης μπορεί να μην ξεκινήσει μετά την καθορισμένη χρονική περίοδο

  Περιγραφή: Υπήρχε ένα πρόβλημα κλειδώματος διεκδίκησης ισχύος. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού του κλειδώματος.

  CVE-ID

  CVE-2013-1031

• QuickTime

  Διατίθεται για: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου ταινίας ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την εκτέλεση αυθαίρετου κώδικα

  Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στο χειρισμό ατόμων «idsc» σε αρχεία ταινίας QuickTime. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετου ελέγχου ορίων.

  CVE-ID

  CVE-2013-1032: Jason Kratzer σε συνεργασία με την iDefense VCP

• Screen Lock

  Διατίθεται για: OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Ένας χρήστης με πρόσβαση σε κοινή χρήση οθόνης ενδεχομένως να μπορεί να παρακάμψει το κλείδωμα οθόνης όταν ένας άλλος χρήστης είναι συνδεδεμένος

  Περιγραφή: Υπήρχε ένα πρόβλημα διαχείρισης συνεδρίας στον χειρισμό συνεδριών κοινής χρήσης οθόνης από το κλείδωμα οθόνης. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτίωσης της παρακολούθησης συνεδρίας.

  CVE-ID

  CVE-2013-1033: Jeff Grisso της Atos IT Solutions, Sébastien Stormacq

• sudo

  Διατίθεται για: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 έως v10.8.4

  Αποτέλεσμα: Ένας εισβολέας με έλεγχο του λογαριασμού ενός διαχειριστή ενδεχομένως να μπορεί να αποκτήσει δικαιώματα «root» χωρίς να γνωρίζει το συνθηματικό του χρήστη

  Περιγραφή: Ρυθμίζοντας το ρολόι συστήματος, ένας εισβολέας ενδεχομένως να μπορεί να χρησιμοποιήσει την εντολή «sudo» για να αποκτήσει δικαιώματα «root» σε συστήματα όπου έχει χρησιμοποιηθεί ξανά η εντολή «sudo». Στο OS X, μόνο οι διαχειριστές μπορούν να αλλάξουν το ρολόι συστήματος. Αυτό το πρόβλημα αντιμετωπίστηκε ελέγχοντας για μη έγκυρη σήμανση χρόνου.

  CVE-ID

  CVE-2013-1775

• Σημείωση: Το OS X Mountain Lion v10.8.5 αντιμετωπίζει ένα πρόβλημα κατά το οποίο ορισμένες συμβολοσειρές Unicode μπορούσαν να προκαλέσουν τον απρόσμενο τερματισμό εφαρμογών.