Tietoja OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä. Päivityksen voi ladata ja asentaa ohjelmiston päivityksen tai Applen lataussivun kautta.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Mountain Lion 10.8.4 ja suojauspäivitys 2013-002

Huomautus: OS X Mountain Lion 10.8.4 sisältää Safari 6.0.5:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.5:n turvallisuussisällöstä.

  • CFNetwork

    Saatavuus: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: hyökkääjä, jolla oli pääsy käyttäjän istuntoon, saattoi pystyä kirjautumaan sisään aiemmin käytetyille sivustoille, vaikka yksityinen selaus oli käytössä

    Kuvaus: Safarin sulkemisen jälkeen tallennettiin pysyviä evästeitä, vaikka yksityinen selaus oli käytössä. Ongelma on ratkaistu parantamalla evästeiden käsittelyä.

    CVE-ID

    CVE-2013-0982: Alexander Traud (www.traud.de)

  • CoreAnimation

    Saatavuus: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen sivuston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

    Kuvaus: tekstiglyyfien käsittelyssä oli rajattoman pinon varauksen ongelma. Ongelman pystyi tuottamaan haitallisilla URL-osoitteilla Safarissa. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0983: David Fifield (Stanford University), Ben Syverson

  • CoreMedia Playback

    Saatavuus: Mac OS X 10.7–10.7.5, Mac OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: tekstiraitojen käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu tekstiraitojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1024: Richard Kuo ja Billy Suguitan (Triemt Corporation)

  • CUPS

    Saatavuus: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla

    Kuvaus: CUPS-kokoonpanon käsittelyssä CUPS-verkkokäyttöliittymässä oli käyttöoikeuksien eskalaation ongelma. Paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla. Ongelma ratkaistiin siirtämällä joitakin kokoonpanokäskyjä cups-files.conf-tiedostoon, jota ei voi muokata CUPS-verkkokäyttöliittymässä.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Vaikutus: etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla järjestelmissä, joissa hakemistopalvelu on käytössä

    Kuvaus: hakemistopalvelimen viestien käsittelyssä verkosta oli ongelma. Etähyökkääjä saattoi pystyä aiheuttamaan hakemistopalvelimen sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla lähettämällä haitallisen viestin. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Tämä ongelma ei vaikuta OS X Lion ja OS X Mountain Lion -järjestelmiin.

    CVE-ID

    CVE-2013-0984: Nicolas Economou (Core Security)

  • Disk Management

    Saatavuus: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: paikallinen käyttäjä pystyi poistamaan FileVaultin käytöstä

    Kuvaus: paikallinen käyttäjä, joka ei ole järjestelmänvalvoja, pystyi poistamaan FileVaultin käytöstä komentorivillä. Ongelma on ratkaistu lisäämällä varmennuksia.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: hyökkääjä saattoi pystyä purkamaan SSL-suojatun datan suojauksen.

    Kuvaus: TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun pakkaus oli käytössä. Ongelma on ratkaistu poistamalla pakkaus käytöstä OpenSSL:ssä.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo ja Thai Duong

  • OpenSSL

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: useita haavoittuvuuksia OpenSSL:ssä

    Kuvaus: OpenSSL päivitettiin versioon 0.9.8x useiden haavoittuvuuksien ratkaisemiseksi. Haavoittuvuudet saattoivat aiheuttaa palvelunestoon tai yksityisen avaimen paljastumisen. Lisätietoja on saatavilla OpenSSL-verkkosivustolla osoitteessa http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 ja OS X Mountain Lion 10.8–10.8.2

    Vaikutus: haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: PICT-kuvien käsittelyssä oli puskuriylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0975: HP:n Zero Day Initiativen parissa työskentelevä Tobias Klein

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: enof-atomien käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0986: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen QTIF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: QTIF-tiedostojen käsittelyssä oli muistinvioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0987: iDefense VCP:n parissa työskentelevä roob

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen FPX-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.

    Kuvaus: FPX-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0988: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

  • QuickTime

    Saatavuus: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: haitallisen MP3-tiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.

    Kuvaus: MP3-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0989: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

  • Ruby

    Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8

    Vaikutus: useita haavoittuvuuksia Ruby on Railsissa.

    Kuvaus: Ruby on Railsissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmissä, joissa käytetään Ruby on Rails -appeja. Nämä ongelmat ratkaistiin päivittämällä Ruby on Rails versioon 2.3.18. Ongelma saattaa vaikuttaa OS X Lion tai OS X Mountain Lion -järjestelmiin, jotka päivitettiin Mac OS X 10.6.8:sta tai aiemmasta. Käyttäjät voivat päivittää gemit, joihin tämä vaikuttaa näissä järjestelmissä, käyttämällä /usr/bin/gem -työkalua.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle

    Kuvaus: jos tiedostojen jako SMB:llä oli käytössä, todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle. Ongelma on ratkaistu parantamalla käyttörajoituksia.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Huomaa: OS X 10.8.4 -versiosta alkaen internetistä ladattavien Java Web Start -appien (esim. JNLP) on oltava Developer ID -varmenteella allekirjoitettuja. Gatekeeper tarkistaa ladatut Java Web Start -appien allekirjoituksen ja estää appien käynnistymisen, jos niissä ei ole asianmukaista allekirjoitusta.

    Voit allekirjoittaa JNLP-tiedoston codesign-työkalulla, joka liittää koodin allekirjoituksen JNLP-tiedostoon lisämääritteinä. Lisämääritteiden säilyttämiseksi JNLP-tiedoston voi pakata ZIP-, XIP- tai DMG-tiedostoon. Ole varovainen, kun käytät ZIP-tiedostomuotoa, sillä jotkin kolmansien osapuolten työkalut eivät välttämättä käsittele vaadittuja lisämääritteitä oikein.

    Lue lisää asiakirjasta Technical Note TN2206: OS X Code Signing In Depth.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: