Tietoja OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n turvallisuussisällöstä.

OS X Mountain Lion 10.8.3:n ja suojauspäivitys 2013-001:n voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Huomautus: OS X Mountain Lion 10.8.3 sisältää Safari 6.0.3:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.3:n turvallisuussisällöstä.

OS X Mountain Lion 10.8.3 ja suojauspäivitys 2013-001

  • Apache

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Hyökkääjä saattoi päästä HTTP-todennuksella suojattuihin hakemistoihin tietämättä oikeita tunnistetietoja.

    Kuvaus: Ohitettavia Unicode-merkkijonoja sisältävien URI:en käsittelyssä oli kanonisointiongelma. Ongelma ratkaistiin päivittämällä mod_hfs_apple kieltämään URI:t, joissa on ohitettavia Unicode-merkkijonoja.

    CVE-ID

    CVE-2013-0966 : Clint Ruoho (Laconic Security)

  • CoreTypes

    Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisella verkkosivustolla käyminen saattoi sallia Java Web Start -sovelluksen automaattisen käynnistymisen, vaikka Java-liitännäinen oli poistettu käytöstä.

    Kuvaus: Java Web Start -sovellukset toimivat, vaikka Java-liitännäinen oli poistettu käytöstä. Ongelma ratkaistiin poistamalla JNLP-tiedostot CoreTypesin turvallisten tiedostotyyppien luettelosta, jolloin Web Start -sovellus ei käynnisty, ellei käyttäjä avaa sitä Lataukset-hakemistosta.

    CVE-ID

    CVE-2013-0967

  • Maakohtaiset Unicode-komponentit

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen.

    Kuvaus: EUC-JP-koodauksessa oli kanonisointiongelma, joka saattoi aiheuttaa sivustojen välisen komentosarjahyökkäyksen EUC-JP-koodatuilla verkkosivustoilla. Ongelma ratkaistiin päivittämällä EUC-JP-kartoitustaulukko.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Identiteettipalvelut

    Saatavuus: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Varmennepohjaiseen Apple ID -todennukseen luottava todennus saatettiin ohittaa.

    Kuvaus: Identiteettipalveluissa oli virheenkäsittelyongelma. Jos käyttäjän Apple ID -varmenteen vahvistus epäonnistui, käyttäjän Apple ID:n oletettiin olevan tyhjä merkkijono. Jos eri käyttäjille kuuluvat useat järjestelmät siirtyivät tähän tilaan, tähän identiteetin määrittämiseen luottavat sovellukset saattoivat virheellisesti luottaa siihen. Ongelma ratkaistiin varmistamalla, että tyhjän merkkijonon sijaan palautettiin NULL-arvo.

    CVE-ID

    CVE-2013-0963

  • ImageIO

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisen TIFF-tiedoston katsominen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: LibTIFF:n tavassa käsitellä TIFF-kuvia oli puskurin ylivuoto. Ongelma on ratkaistu TIFF-kuvien lisätarkistuksella.

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    Saatavuus: OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisen kuvan katsominen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Grafiikkatietojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0976: nimetön tutkija

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitalliset tai vaarantuneet ohjelmat saattoivat pystyä selvittämään osoitteita kernelissä.

    Kuvaus: Kernel-laajennuksiin liittyvien API-ohjelmointirajapintojen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. OSBundleMachOHeaders-avaimen sisältävissä vastauksissa saattoi olla kernel-osoitteita, jotka voivat auttaa ohittamaan osoiteavaruuden asettelun satunnaistamissuojauksen. Ongelma on ratkaistu vapauttamalla osoitteet ennen niiden palauttamista.

    CVE-ID

    CVE-2012-3749: Azimuth Securityn Mark Dowd, Squaren Eric Monti ja muita nimettömiä tutkijoita

  • Kirjautumisikkuna

    Saatavuus: OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Näppäimistöä käyttämään päässyt hyökkääjä saattoi muokata järjestelmän kokoonpanoa.

    Kuvaus: VoiceOverin tavassa käsitellä kirjautumisikkunaa oli logiikkavirhe, jonka takia näppäimistöä käyttämään päässyt hyökkääjä saattoi avata Järjestelmäasetukset ja muokata järjestelmän kokoonpanoa. Ongelma ratkaistiin estämällä VoiceOveria avaamasta ohjelmia kirjautumisikkunassa.

    CVE-ID

    CVE-2013-0969: Eric A. Schulman (Purpletree Labs)

  • Viestit

    Saatavuus: OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Linkin klikkaaminen Viestit-apissa saattoi aloittaa FaceTime-puhelun ilman kehotusta.

    Kuvaus: Erityisesti muotoillun FaceTime:// URL -osoitteen klikkaaminen Viestit-apissa saattoi ohittaa tavallisen vahvistuskehotuksen. Ongelma on ratkaistu FaceTime:// URL -osoitteiden lisätarkistuksella.

    CVE-ID

    CVE-2013-0970: Aaron Sigel (vtty.com)

  • Viestit-palvelin

    Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etähyökkääjä saattoi uudelleenohjata verkostoituja Jabber-viestejä.

    Kuvaus: Jabber-palvelimen tavassa käsitellä dialback-tulosviestejä oli ongelma. Hyökkääjä saattoi saada Jabber-palvelimen luovuttamaan verkostoitujen palvelinten käyttäjille tarkoitettuja tietoja. Ongelma ratkaistiin parantamalla dialback-tulosviestien käsittelyä.

    CVE-ID

    CVE-2012-3525

  • PDFKit

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen kynäkommenttien käsittelyssä oli use after free -ongelma. Ongelma on korjattu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2013-0971: HP TippingPointin Zero Day Initiativen parissa työskentelevä Alexander Gavrun

  • Podcast Producer Server

    Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Podcast Producer Serverin käyttämässä Rails-toteutuksessa.

    CVE-ID

    CVE-2013-0156

  • Podcast Producer Server

    Saatavuus: OS X Lion Server 10.7–10.7.5

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ruby on Railsin tavassa käsitellä JSON-tietoja oli luokitteluongelma. Ongelma ratkaistiin vaihtamalla käyttöön JSONGem-taustasovellus JSON-jäsennystä varten Podcast Producer Serverin käyttämässä Rails-toteutuksessa.

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    Saatavuus: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.

    Vaikutus: PostgreSQL:ssä oli useita haavoittuvuuksia.

    Kuvaus: PostgreSQL päivitettiin versioon 9.1.5 useiden haavoittuvuuksien ratkaisemiseksi. Niistä vakavin saattoi antaa tietokannan käyttäjille mahdollisuuden lukea tiedostoja tiedostojärjestelmästä tietokannan palvelinroolitilin oikeuksilla. Lisätietoja on PostgreSQL-verkkosivustolla osoitteessa http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • Profiilinhallinta

    Saatavuus: OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Profiilinhallinnan käyttämässä Rails-toteutuksessa.

    CVE-ID

    CVE-2013-0156

  • QuickTime

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: MP4-tiedostojen rnet-laatikoiden käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2012-3756: QuarksLabin Kevin Szkudlapski

  • Ruby

    Saatavuus: Mac OS X Server 10.6.8.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa mielivaltaisen koodin suorittamisen, jos Rails-sovellus oli käynnissä.

    Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla YAML ja symbolit käytöstä Railsin XML-parametreissa.

    CVE-ID

    CVE-2013-0156

  • Suojaus

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: TURKTRUST myönsi virheellisesti useita CA-välivarmenteita. Tämä saattoi mahdollistaa sen, että välimieshyökkääjä uudelleenohjasi yhteyksiä ja sai haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja. Ongelma ratkaistiin kieltämällä virheelliset SSL-varmenteet.

  • Ohjelmiston päivitys

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ohjelmiston päivitys salli välihyökkääjän asettaa laajennussisältöä päivitysten markkinointitekstiin. Tämä saattoi sallia haavoittuvaisen laajennuksen hyväksikäytön tai tietojen hankintahyökkäykset, joihin liittyi laajennuksia. Ongelma ei koske OS X Mountain Lion -järjestelmiä. Ongelma ratkaistiin estämällä laajennusten lataaminen Ohjelmiston päivityksen markkinointitekstin WebView'ssa.

    CVE-ID

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Saatavuus: OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ruby on Railsin tavassa käsitellä XML-parametrejä oli luokitteluongelma. Ongelma ratkaistiin poistamalla XML-parametrit käytöstä Wiki Serverin käyttämässä Rails-toteutuksessa.

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    Saatavuus: OS X Lion Server 10.7–10.7.5.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: Ruby on Railsin tavassa käsitellä JSON-tietoja oli luokitteluongelma. Ongelma ratkaistiin vaihtamalla käyttöön JSONGem-taustasovellus JSON-jäsennystä varten Wiki Serverin käyttämässä Rails-toteutuksessa.

    CVE-ID

    CVE-2013-0333

  • Haittaohjelmien poisto

    Saatavuus: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Kuvaus: Tässä päivityksessä on haittaohjelman poistotyökalu, joka poistaa haittaohjelmien useimmat muunnelmat. Jos tietokoneesta löytyy haittaohjelma, näkyviin tulee valintaikkuna, joka ilmoittaa käyttäjälle haittaohjelman poistosta. Käyttäjälle ei näytetä mitään viestiä, jos tietokoneessa ei ole haittaohjelmaa.

 

FaceTime ei ole saatavilla kaikissa maissa tai alueilla.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: