Tietoja OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä. Päivityksen voi ladata ja asentaa ohjelmiston päivityksen tai Applen lataussivun kautta.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Mountain Lion 10.8.4 ja suojauspäivitys 2013-002
Huomautus: OS X Mountain Lion 10.8.4 sisältää Safari 6.0.5:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.5:n turvallisuussisällöstä.
CFNetwork
Saatavuus: OS X Mountain Lion 10.8–10.8.3
Vaikutus: hyökkääjä, jolla oli pääsy käyttäjän istuntoon, saattoi pystyä kirjautumaan sisään aiemmin käytetyille sivustoille, vaikka yksityinen selaus oli käytössä
Kuvaus: Safarin sulkemisen jälkeen tallennettiin pysyviä evästeitä, vaikka yksityinen selaus oli käytössä. Ongelma on ratkaistu parantamalla evästeiden käsittelyä.
CVE-ID
CVE-2013-0982: Alexander Traud (www.traud.de)
CoreAnimation
Saatavuus: OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen sivuston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.
Kuvaus: tekstiglyyfien käsittelyssä oli rajattoman pinon varauksen ongelma. Ongelman pystyi tuottamaan haitallisilla URL-osoitteilla Safarissa. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0983: David Fifield (Stanford University), Ben Syverson
CoreMedia Playback
Saatavuus: Mac OS X 10.7–10.7.5, Mac OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: tekstiraitojen käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu tekstiraitojen lisätarkistuksella.
CVE-ID
CVE-2013-1024: Richard Kuo ja Billy Suguitan (Triemt Corporation)
CUPS
Saatavuus: OS X Mountain Lion 10.8–10.8.3
Vaikutus: paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla
Kuvaus: CUPS-kokoonpanon käsittelyssä CUPS-verkkokäyttöliittymässä oli käyttöoikeuksien eskalaation ongelma. Paikallinen käyttäjä, joka kuuluu lpadmin-ryhmään, saattoi pystyä lukemaan tai kirjoittamaan mielivaltaisiin tiedostoihin järjestelmän käyttöoikeuksilla. Ongelma ratkaistiin siirtämällä joitakin kokoonpanokäskyjä cups-files.conf-tiedostoon, jota ei voi muokata CUPS-verkkokäyttöliittymässä.
CVE-ID
CVE-2012-5519
Directory Service
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Vaikutus: etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla järjestelmissä, joissa hakemistopalvelu on käytössä
Kuvaus: hakemistopalvelimen viestien käsittelyssä verkosta oli ongelma. Etähyökkääjä saattoi pystyä aiheuttamaan hakemistopalvelimen sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla lähettämällä haitallisen viestin. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Tämä ongelma ei vaikuta OS X Lion ja OS X Mountain Lion -järjestelmiin.
CVE-ID
CVE-2013-0984: Nicolas Economou (Core Security)
Disk Management
Saatavuus: OS X Mountain Lion 10.8–10.8.3
Vaikutus: paikallinen käyttäjä pystyi poistamaan FileVaultin käytöstä
Kuvaus: paikallinen käyttäjä, joka ei ole järjestelmänvalvoja, pystyi poistamaan FileVaultin käytöstä komentorivillä. Ongelma on ratkaistu lisäämällä varmennuksia.
CVE-ID
CVE-2013-0985
OpenSSL
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: hyökkääjä saattoi pystyä purkamaan SSL-suojatun datan suojauksen.
Kuvaus: TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun pakkaus oli käytössä. Ongelma on ratkaistu poistamalla pakkaus käytöstä OpenSSL:ssä.
CVE-ID
CVE-2012-4929: Juliano Rizzo ja Thai Duong
OpenSSL
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: useita haavoittuvuuksia OpenSSL:ssä
Kuvaus: OpenSSL päivitettiin versioon 0.9.8x useiden haavoittuvuuksien ratkaisemiseksi. Haavoittuvuudet saattoivat aiheuttaa palvelunestoon tai yksityisen avaimen paljastumisen. Lisätietoja on saatavilla OpenSSL-verkkosivustolla osoitteessa http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 ja OS X Mountain Lion 10.8–10.8.2
Vaikutus: haitallisen PICT-kuvatiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: PICT-kuvien käsittelyssä oli puskuriylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0975: HP:n Zero Day Initiativen parissa työskentelevä Tobias Klein
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen videotiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: enof-atomien käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0986: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen QTIF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: QTIF-tiedostojen käsittelyssä oli muistinvioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0987: iDefense VCP:n parissa työskentelevä roob
QuickTime
Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen FPX-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen koodin suorittamisen.
Kuvaus: FPX-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0988: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev
QuickTime
Saatavuus: OS X Mountain Lion 10.8–10.8.3
Vaikutus: haitallisen MP3-tiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen.
Kuvaus: MP3-tiedostojen käsittelyssä oli puskurin ylivuoto-ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2013-0989: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev
Ruby
Saatavuus: Mac OS X 10.6.8 ja Mac OS X Server 10.6.8
Vaikutus: useita haavoittuvuuksia Ruby on Railsissa.
Kuvaus: Ruby on Railsissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmissä, joissa käytetään Ruby on Rails -appeja. Nämä ongelmat ratkaistiin päivittämällä Ruby on Rails versioon 2.3.18. Ongelma saattaa vaikuttaa OS X Lion tai OS X Mountain Lion -järjestelmiin, jotka päivitettiin Mac OS X 10.6.8:sta tai aiemmasta. Käyttäjät voivat päivittää gemit, joihin tämä vaikuttaa näissä järjestelmissä, käyttämällä /usr/bin/gem -työkalua.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3
Vaikutus: todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle
Kuvaus: jos tiedostojen jako SMB:llä oli käytössä, todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja jaetun kansion ulkopuolelle. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-ID
CVE-2013-0990: Ward van Wanrooij
Huomaa: OS X 10.8.4 -versiosta alkaen internetistä ladattavien Java Web Start -appien (esim. JNLP) on oltava Developer ID -varmenteella allekirjoitettuja. Gatekeeper tarkistaa ladatut Java Web Start -appien allekirjoituksen ja estää appien käynnistymisen, jos niissä ei ole asianmukaista allekirjoitusta.
Voit allekirjoittaa JNLP-tiedoston codesign-työkalulla, joka liittää koodin allekirjoituksen JNLP-tiedostoon lisämääritteinä. Lisämääritteiden säilyttämiseksi JNLP-tiedoston voi pakata ZIP-, XIP- tai DMG-tiedostoon. Ole varovainen, kun käytät ZIP-tiedostomuotoa, sillä jotkin kolmansien osapuolten työkalut eivät välttämättä käsittele vaadittuja lisämääritteitä oikein.
Lue lisää asiakirjasta Technical Note TN2206: OS X Code Signing In Depth.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.