Tietoja OS X Mountain Lion 10.8.5:n ja suojauspäivitys 2013-004:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mountain Lion 10.8.5:n ja suojauspäivitys 2013-004:n turvallisuussisällöstä.

Ne voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohauista.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset

OS X Mountain Lion 10.8.5 ja suojauspäivitys 2013-004

  • Apache

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia Apachessa.

    Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa sivustojenväliseen komentosarjahyökkäykseen. Nämä ongelmat on ratkaistu päivittämällä Apache versioon 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia BINDissä.

    Kuvaus: BINDissä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Nämä ongelmat on ratkaistu päivittämällä BIND versioon 9.8.5-P1. CVE-2012-5688 ei koskenut Mac OS X 10.7 -järjestelmiä.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Varmenteiden luottamuskäytäntö

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Juurivarmenteet on päivitetty.

    Vaikutus: Useita varmenteita lisättiin järjestelmäjuurten luetteloon tai poistettiin siitä. Tunnistettujen järjestelmäjuurten koko luettelon näkee Avainnipun käyttö -ohjelmasta.

  • ClamAV

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Vaikutus: ClamAV:ssä oli useita haavoittuvuuksia.

    Kuvaus: ClamAV:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä ClamAV versioon 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1025: Google Security Teamin Felix Groebert

  • ImageIO

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1026: Google Security Teamin Felix Groebert

  • Asentaja

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Paketit saattoivat olla avattavissa varmenteen kumoamisen jälkeen.

    Kuvaus: Kun asentaja kohtasi kumotun varmenteen, näkyviin tuli valintaikkuna, jossa annettiin mahdollisuus jatkaa. Ongelma on ratkaistu poistamalla valintaikkuna ja estämällä kumottujen pakettien käyttö.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Hyökkääjä saattoi siepata IPSec Hybrid Authilla suojattuja tietoja.

    Kuvaus: IPSec Hybrid Auth -palvelimen DNS-nimen vastaavuutta varmenteeseen ei tarkistettu. Tämän vuoksi hyökkääjä, jolla oli jonkun palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on ratkaistu tarkistamalla varmenne asianmukaisesti.

    CVE-ID

    CVE-2013-1028: www.traud.de:n Alexander Traud

  • Kernel

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Lähiverkon käyttäjä saattoi aiheuttaa palveluneston.

    Kuvaus: Virheellinen tarkistus IGMP-paketin jäsentämiskoodissa kernelissä salli käyttäjän, joka pystyi lähettämään IGMP-paketteja järjestelmään, aiheuttaa kernel-paniikin. Ongelma on korjattu poistamalla tarkistus.

    CVE-ID

    CVE-2013-1029: PROTECTSTAR INC:n Christopher Bohn

  • Mobiililaitteen hallinta

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Paikallinen käyttäjä saattoi saada muiden salasanoja haltuunsa.

    Kuvaus: Salasana välitettiin komentoriviltä mdmclientiin, jolloin muut saman järjestelmän käyttäjät pystyivät näkemään sen. Ongelma on ratkaistu välittämällä salasana putken kautta.

    CVE-ID

    CVE-2013-1030: Göteborgin yliopiston Per Olofsson

  • OpenSSL

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

    Kuvaus: OpenSSL:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa käyttäjätietojen paljastumiseen. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: PostgreSQL:ssa oli useita haavoittuvuuksia.

    Kuvaus: PostgreSQL:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa tietojen vioittumiseen tai käyttöoikeuksien laajentumiseen. CVE-2013-1901 ei koske OS X Lion -järjestelmiä. Ongelmat on ratkaistu tässä päivityksessä päivittämällä PostgreSQL versioon 9.1.9 OS X Mountain Lion -järjestelmissä ja versioon 9.0.4 OS X Lion -järjestelmissä.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Virranhallinta

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Näytönsäästäjä ei joskus käynnistynyt määritetyn ajanjakson jälkeen.

    Kuvaus: Käyttöjärjestelmässä oli virran vahvistuksen lukitusongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: QuickTime-elokuvatiedostojen idsc-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2013-1032: iDefense VCP:n parissa työskentelevä Jason Kratzer

  • Näytön lukitus

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä ohittamaan näytön lukituksen, kun toinen käyttäjä oli kirjautuneena sisään.

    Kuvaus: Näytön lukituksen tavassa käsitellä näytönjakoistuntoja oli istunnon hallintaongelma. Ongelma on ratkaistu parantamalla istunnon seurantaa.

    CVE-ID

    CVE-2013-1033: Atos IT Solutionsin Jeff Grisso sekä Sébastien Stormacq

  • sudo

    Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Vaikutus: Hyökkääjä, jolla oli pääsy ylläpitäjän käyttäjätilille, saattoi saada pääkäyttöoikeudet tietämättä käyttäjän salasanaa.

    Kuvaus: Asettamalla järjestelmän kellon hyökkääjä saattoi käyttää sudoa saadakseen pääkäyttöoikeudet järjestelmissä, joissa sudoa oli käytetty aiemmin. OS X:ssä vain ylläpitäjäkäyttäjät voivat muuttaa järjestelmän kelloa. Ongelma on ratkaistu tarkistamalla, onko aikaleima virheellinen.

    CVE-ID

    CVE-2013-1775

 

  • Huomautus: OS X Mountain Lion 10.8.5:ssä on myös ratkaistu ongelma, jossa tietyt Unicode-merkkijonot voivat aiheuttaa ohjelman odottamattoman sulkeutumisen.

 

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: