Ne voi ladata ja asentaa Ohjelmiston päivityksen asetuksista tai Applen tuen tiedostohauista.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Mountain Lion 10.8.5 ja suojauspäivitys 2013-004
- 

- 

Apache

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Useita haavoittuvuuksia Apachessa.

Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa sivustojenväliseen komentosarjahyökkäykseen. Nämä ongelmat on ratkaistu päivittämällä Apache versioon 2.2.24.

CVE-ID

CVE-2012-0883

CVE-2012-2687

CVE-2012-3499

CVE-2012-4558

 

- 

- 

Bind

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Useita haavoittuvuuksia BINDissä.

Kuvaus: BINDissä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Nämä ongelmat on ratkaistu päivittämällä BIND versioon 9.8.5-P1. CVE-2012-5688 ei koskenut Mac OS X 10.7 -järjestelmiä.

CVE-ID

CVE-2012-3817

CVE-2012-4244

CVE-2012-5166

CVE-2012-5688

CVE-2013-2266

 

- 

- 

Varmenteiden luottamuskäytäntö

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Juurivarmenteet on päivitetty.

Vaikutus: Useita varmenteita lisättiin järjestelmäjuurten luetteloon tai poistettiin siitä. Tunnistettujen järjestelmäjuurten koko luettelon näkee Avainnipun käyttö -ohjelmasta.

 

- 

- 

ClamAV

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

Vaikutus: ClamAV:ssä oli useita haavoittuvuuksia.

Kuvaus: ClamAV:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä ClamAV versioon 0.97.8.

CVE-ID

CVE-2013-2020

CVE-2013-2021

 

- 

- 

CoreGraphics

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: PDF-tiedostojen JBIG2-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

CVE-ID

CVE-2013-1025: Google Security Teamin Felix Groebert

 

- 

- 

ImageIO

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

Vaikutus: Haitallisen PDF-tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: PDF-tiedostojen JPEG2000-koodattujen tietojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

CVE-ID

CVE-2013-1026: Google Security Teamin Felix Groebert

 

- 

- 

Asentaja

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Paketit saattoivat olla avattavissa varmenteen kumoamisen jälkeen.

Kuvaus: Kun asentaja kohtasi kumotun varmenteen, näkyviin tuli valintaikkuna, jossa annettiin mahdollisuus jatkaa. Ongelma on ratkaistu poistamalla valintaikkuna ja estämällä kumottujen pakettien käyttö.

CVE-ID

CVE-2013-1027

 

- 

- 

IPSec

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Hyökkääjä saattoi siepata IPSec Hybrid Authilla suojattuja tietoja.

Kuvaus: IPSec Hybrid Auth -palvelimen DNS-nimen vastaavuutta varmenteeseen ei tarkistettu. Tämän vuoksi hyökkääjä, jolla oli jonkun palvelimen varmenne, pystyi tekeytymään miksi tahansa muuksi palvelimeksi. Ongelma on ratkaistu tarkistamalla varmenne asianmukaisesti.

CVE-ID

CVE-2013-1028: www.traud.de:n Alexander Traud

 

- 

- 

Kernel

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

Vaikutus: Lähiverkon käyttäjä saattoi aiheuttaa palveluneston.

Kuvaus: Virheellinen tarkistus IGMP-paketin jäsentämiskoodissa kernelissä salli käyttäjän, joka pystyi lähettämään IGMP-paketteja järjestelmään, aiheuttaa kernel-paniikin. Ongelma on korjattu poistamalla tarkistus.

CVE-ID

CVE-2013-1029: PROTECTSTAR INC:n Christopher Bohn

 

- 

- 

Mobiililaitteen hallinta

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Paikallinen käyttäjä saattoi saada muiden salasanoja haltuunsa.

Kuvaus: Salasana välitettiin komentoriviltä mdmclientiin, jolloin muut saman järjestelmän käyttäjät pystyivät näkemään sen. Ongelma on ratkaistu välittämällä salasana putken kautta.

CVE-ID

CVE-2013-1030: Göteborgin yliopiston Per Olofsson

 

- 

- 

OpenSSL

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

Kuvaus: OpenSSL:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa käyttäjätietojen paljastumiseen. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8y.

CVE-ID

CVE-2012-2686

CVE-2013-0166

CVE-2013-0169

 

- 

- 

PHP

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

Kuvaus: PHP:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.3.26.

CVE-ID

CVE-2013-1635

CVE-2013-1643

CVE-2013-1824

CVE-2013-2110

 

- 

- 

PostgreSQL

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: PostgreSQL:ssa oli useita haavoittuvuuksia.

Kuvaus: PostgreSQL:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa tietojen vioittumiseen tai käyttöoikeuksien laajentumiseen. CVE-2013-1901 ei koske OS X Lion -järjestelmiä. Ongelmat on ratkaistu tässä päivityksessä päivittämällä PostgreSQL versioon 9.1.9 OS X Mountain Lion -järjestelmissä ja versioon 9.0.4 OS X Lion -järjestelmissä.

CVE-ID

CVE-2013-1899

CVE-2013-1900

CVE-2013-1901

 

- 

- 

Virranhallinta

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

Vaikutus: Näytönsäästäjä ei joskus käynnistynyt määritetyn ajanjakson jälkeen.

Kuvaus: Käyttöjärjestelmässä oli virran vahvistuksen lukitusongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

CVE-ID

CVE-2013-1031

 

- 

- 

QuickTime

Saatavilla seuraaviin käyttöjärjestelmiin: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

Kuvaus: QuickTime-elokuvatiedostojen idsc-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

CVE-ID

CVE-2013-1032: iDefense VCP:n parissa työskentelevä Jason Kratzer

 

- 

- 

Näytön lukitus

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Mountain Lion 10.8–10.8.4

Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä ohittamaan näytön lukituksen, kun toinen käyttäjä oli kirjautuneena sisään.

Kuvaus: Näytön lukituksen tavassa käsitellä näytönjakoistuntoja oli istunnon hallintaongelma. Ongelma on ratkaistu parantamalla istunnon seurantaa.

CVE-ID

CVE-2013-1033: Atos IT Solutionsin Jeff Grisso sekä Sébastien Stormacq

 

- 

- 

sudo

Saatavilla seuraaviin käyttöjärjestelmiin: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

Vaikutus: Hyökkääjä, jolla oli pääsy ylläpitäjän käyttäjätilille, saattoi saada pääkäyttöoikeudet tietämättä käyttäjän salasanaa.

Kuvaus: Asettamalla järjestelmän kellon hyökkääjä saattoi käyttää sudoa saadakseen pääkäyttöoikeudet järjestelmissä, joissa sudoa oli käytetty aiemmin. OS X:ssä vain ylläpitäjäkäyttäjät voivat muuttaa järjestelmän kelloa. Ongelma on ratkaistu tarkistamalla, onko aikaleima virheellinen.

CVE-ID

CVE-2013-1775

 

- 

- 

Huomautus: OS X Mountain Lion 10.8.5:ssä on myös ratkaistu ongelma, jossa tietyt Unicode-merkkijonot voivat aiheuttaa ohjelman odottamattoman sulkeutumisen.