Tietoja OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.4:n ja suojauspäivitys 2013-002:n turvallisuussisällöstä. Päivitykset voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohaut -sivustosta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
 

OS X Mountain Lion 10.8.4 ja suojauspäivitys 2013-002

Huomautus: OS X Mountain Lion 10.8.4 sisältää Safari 6.0.5:n sisällön. Lisätietoja on artikkelissa Tietoja Safari 6.0.5:n turvallisuussisällöstä.

  • CFNetwork

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Hyökkääjä, jolla oli pääsy käyttäjän istuntoon, saattoi pystyä kirjautumaan aiemmin käytettyihin sivustoihin. Tämä oli mahdollista, vaikka käyttäjä oli käyttänyt yksityistä selausta.

    Kuvaus: Pysyvä eväste tallennettiin Safarin sulkemisen jälkeen, vaikka yksityinen selaus oli käytössä. Ongelma on ratkaistu parantamalla evästeiden käsittelyä.

    CVE-ID

    CVE-2013-0982: www.traud.de:n Alexander Traud

  • CoreAnimation

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisella sivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Tekstimerkkien käsittelyssä oli rajattoman pinon allokointiongelma. Ongelma voitiin laukaista Safarissa käyttämällä haitallista URL-osoitetta. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0983: Stanfordin yliopiston David Fifield sekä Ben Syverson

  • CoreMedia Playback

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Tekstiraitojen käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on ratkaistu tekstiraitojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1024: Triemt Corporationin Richard Kuo ja Billy Suguitan

  • CUPS

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: lpadmin-ryhmään kuuluva paikallinen käyttäjä saattoi pystyä lukemaan tai kirjoittamaan satunnaisia tiedostoja järjestelmän käyttöoikeuksilla.

    Kuvaus: CUPS-verkkokäyttöliittymässä suoritetun CUPS-määrityksen käsittelyssä oli käyttöoikeuksien laajentamiseen liittyvä ongelma. lpadmin-ryhmään kuuluva paikallinen käyttäjä saattoi pystyä lukemaan tai kirjoittamaan satunnaisia tiedostoja järjestelmän käyttöoikeuksilla. Ongelma on ratkaistu siirtämällä tietyt määrityskäskyt cups-files.conf -tiedostoon, jota ei voi muuttaa CUPS-verkkokäyttöliittymästä.

    CVE-ID

    CVE-2012-5519

  • Hakemistopalvelu

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla järjestelmässä, jossa hakemistopalvelut olivat käytössä.

    Kuvaus: Hakemistopalvelimen tavassa käsitellä verkosta tulleita viestejä oli ongelma. Etähyökkääjä saattoi lähettää haitallisen viestin ja siten lopettaa hakemistopalvelimen toiminnan tai suorittaa mielivaltaista koodia järjestelmän käyttöoikeuksilla. Ongelma on korjattu parantamalla rajojen tarkistusta. Ongelma ei koske OS X Lion- tai OS X Mountain Lion -järjestelmiä.

    CVE-ID

    CVE-2013-0984: Core Securityn Nicolas Economou

  • Levynhallinta

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Paikallinen käyttäjä pystyi poistamaan FileVaultin käytöstä.

    Kuvaus: Paikallinen käyttäjä pystyi poistamaan FileVaultin käytöstä komentorivin avulla, vaikka käyttäjällä ei ollut ylläpitäjän käyttöoikeuksia. Ongelma on ratkaistu lisätodennuksen avulla.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun pakkaus oli käytössä. Ongelma on ratkaistu poistamalla pakkaus käytöstä OpenSSL:ssä.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo ja Thai Duong

  • OpenSSL

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

    Kuvaus: OpenSSL:ssä oli useita haavoittuvuuksia, jotka saattoivat johtaa palvelunestoon tai yksityisen avaimen paljastumiseen. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8x. Lisätietoja on OpenSSL:n verkkosivustossa osoitteessa http://www.openssl.org/news/.

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2

    Vaikutus: Haitallisen PICT-kuvan avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PICT-tiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0975: HP:n Zero Day Initiativen parissa työskentelevä Tobias Klein

  • QuickTime

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: enof-atomien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0986: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher (Microsoft) ja Paul Bates (Microsoft)

  • QuickTime

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisen QTIF-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QTIF-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0987: iDefense VCP:n parissa työskentelevä roob

  • QuickTime

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisen FPX-tiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: FPX-tiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0988: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

  • QuickTime

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Haitallisen MP3-tiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: MP3-tiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2013-0989: HP:n Zero Day Initiativen parissa työskentelevä G. Geshev

  • Ruby

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Vaikutus: Useita haavoittuvuuksia Ruby on Railsissa.

    Kuvaus: Ruby on Railsissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmässä, jossa käytettiin Ruby on Rails -ohjelmia. Ongelmat on ratkaistu päivittämällä Ruby on Rails versioon 2.3.18. Ongelma koskee OS X Lion- tai OS X Mountain Lion -järjestelmiä, jotka on päivitetty Mac OS X 10.6.8:sta tai aiemmasta. Kyseisten järjestelmien käyttäjät voivat päivittää ongelmalliset gems-paketit käyttämällä /usr/bin/gem -lisäohjelmaa.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Vaikutus: Todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja, jotka olivat jaetun hakemiston ulkopuolella.

    Kuvaus: Todennettu käyttäjä saattoi pystyä kirjoittamaan tiedostoja, jotka olivat jaetun hakemiston ulkopuolella, jos SMB-tiedostonjako oli käytössä. Ongelma on ratkaistu parantamalla käytönvalvontaa.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Huomautus: Internetistä ladattujen Java Web Start (eli JNLP) -ohjelmien pitää olla allekirjoitettu kehittäjätunnusvarmenteella OS X 10.8.4:stä alkaen. Gatekeeper tarkistaa, onko ladatussa Java Web Start -ohjelmassa varmennetta. Jos ohjelmaa ei ole allekirjoitettu asianmukaisesti, sen käynnistäminen estetään.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: