Az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés változásjegyzéke

Ez a dokumentum az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés biztonsági változásjegyzékét ismerteti. A frissítés letölthető és telepíthető a Szoftverfrissítés beállításaiban vagy az Apple-letöltések oldalon.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés

Megjegyzés: Az OS X Mountain Lion 10.8.4 magában foglalja a Safari 6.0.5 biztonsági változásjegyzékét. További részletek A Safari 6.0.5 biztonsági változásjegyzéke című cikkben találhatók.

  • CFNetwork

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3

    Érintett terület: a felhasználó munkamenetéhez hozzáférő támadó bejelentkezhetett a korábban megtekintett webhelyekre, még privát böngészés használata mellett is.

    Leírás: az állandó sütik mentése megtörtént a Safari bezárása után akkor is, ha a privát böngészés engedélyezve volt. A problémát a sütik kezelésének javításával küszöböltük ki.

    CVE-azonosító

    CVE-2013-0982: Alexander Traud (www.traud.de)

  • CoreAnimation

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3

    Érintett terület: egy ártó szándékkal létrehozott webhely megnyitása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: a határérték nélküli veremkiosztás hibája állt fenn a szöveges glifák kezelése terén. Ezt az ártó szándékkal létrehozott URL-címek aktiválhatták a Safariban. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0983: David Fifield (Stanford University), Ben Syverson

  • CoreMedia Playback

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: egy ártó szándékkal létrehozott filmfájl megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: nem inicializált memória-hozzáférési hiba lépett fel a szöveges sávok kezelésében. A problémát a szöveges sávok további ellenőrzésével sikerült elhárítani.

    CVE-azonosító

    CVE-2013-1024: Richard Kuo és Billy Suguitan (Triemt Corporation)

  • CUPS

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3

    Érintett terület: az lpadmin csoport helyi felhasználója olvasni vagy módosítani tudott rendszerjogosultságokkal rendelkező tetszőleges fájlokat.

    Leírás: jogosultságbővítési hiba lépett fel a CUPS-konfiguráció CUPS-webfelületen keresztül történő kezelésében. Az lpadmin csoport helyi felhasználója rendszerjogosultságokkal tudott olvasni vagy módosítani tetszőleges fájlokat. A probléma megoldásaként bizonyos konfigurációs direktívák a cups-files.conf fájlba kerültek, amely nem módosítható a CUPS-webfelületen keresztül.

    CVE-azonosító

    CVE-2012-5519

  • Directory Service

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: egy távoli támadó tetszőleges programkódot hajthatott végre rendszerjogosultságokkal azokon a rendszereken, ahol a címtárszolgáltatás engedélyezve volt.

    Leírás: hiba lépett fel a hálózati üzenetek címtárszerver általi kezelésében. Egy ártó szándékkal készített üzenet elküldésével a távoli támadó előidézhette, hogy a címtárszerver leállítsa vagy rendszerjogosultságokkal végrehajtsa a tetszőleges kódot. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát. A hiba nem érinti az OS X Lion és az OS X Mountain Lion rendszert.

    CVE-azonosító

    CVE-2013-0984: Nicolas Economou (Core Security)

  • Disk Management

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3

    Érintett terület: a helyi felhasználók le tudták tiltani a FileVaultot.

    Leírás: a rendszergazdai jogosultságokkal nem rendelkező, helyi felhasználók a parancssor használatával le tudták tiltani a FileVaultot. A hibát további hitelesítési lépések beállításával sikerült kiküszöbölni.

    CVE-azonosító

    CVE-2013-0985

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: a támadók fel tudták oldani az SSL által védett adatok titkosítását.

    Leírás: történtek ismert támadások a TLS 1.0 bizalmassága ellen a tömörítés engedélyezésekor. A hibát az OpenSSL-ben végzett tömörítés letiltásával sikerült orvosolni.

    CVE-azonosító

    CVE-2012-4929: Juliano Rizzo és Thai Duong

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: számos biztonsági rés volt megtalálható az OpenSSL-ben.

    Leírás: az OpenSSL frissített, 0.9.8x-es verziója többféle olyan sebezhetőséget is kiküszöbölt, amelyek szolgáltatásmegtagadást vagy a privát kulcs felfedését eredményezhették. További információ az OpenSSL webhelyén érhető el: http://www.openssl.org/news/

    CVE-azonosító

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion v10.8–10.8.2

    Érintett terület: előfordult, hogy az ártó szándékkal létrehozott PICT-képek megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást eredményezett.

    Leírás: puffertúlcsordulást okozó probléma lépett fel a PICT-képek kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0975: Tobias Klein, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást eredményezett.

    Leírás: puffertúlcsordulást okozó probléma lépett fel az „enof” atomok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0986: Tom Gallagher (Microsoft) és Paul Bates (Microsoft), a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: előfordult, hogy az ártó szándékkal létrehozott QTIF-fájlok megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást eredményezett.

    Leírás: memóriasérülést okozó hiba lépett fel a QTIF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0987: roob az iDefense VCP-vel együttműködésben

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: előfordult, hogy az ártó szándékkal létrehozott FPX-fájlok megtekintése váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást eredményezett.

    Leírás: puffertúlcsordulást okozó hiba lépett fel az FPX-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0988: G. Geshev a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3

    Érintett terület: egy ártó szándékkal létrehozott MP3-fájl lejátszása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: puffertúlcsordulási hiba lépett fel az MP3-fájlok kezelésében. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0989: G. Geshev a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • Ruby

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Érintett terület: számos biztonsági rés volt megtalálható a Ruby on Railsben.

    Leírás: többféle biztonsági rés állt fenn a Ruby on Railsben, amelyek közül a legsúlyosabbak tetszőleges kódvégrehajtást eredményezhettek a Ruby on Rails-alkalmazásokat futtató rendszerekben. A hibát a Ruby on Rails 2.3.18-as verzióra történő frissítésével sikerült orvosolni. A probléma érintheti a Mac OS X 10.6.8-as vagy annál korábbi verziójáról frissített OS X Lion vagy OS X Mountain Lion rendszereket. Ezeken a rendszereken a felhasználók frissíthetik az érintett gemeket a /usr/bin/gem segédprogram használatával.

    CVE-azonosító

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3

    Érintett terület: a hitelesített felhasználók a megosztott címtáron kívül is módosíthattak fájlokat.

    Leírás: ha az SMB-fájlmegosztás engedélyezett volt, a hitelesített felhasználók a megosztott címtáron kívül is módosíthattak fájlokat. A problémát a hozzáférés-kezelés javítása révén sikerült kiküszöbölni.

    CVE-azonosító

    CVE-2013-0990: Ward van Wanrooij

  • Megjegyzés: az OS X 10.8.4-től kezdődően az internetről letöltött Java Web Start- (JNLP-) alkalmazásoknak fejlesztői azonosítójú tanúsítvány aláírásával kell rendelkezniük. A Gatekeeper ellenőrizni fogja a letöltött Java Web Start-alkalmazások aláírását, és a megfelelő aláírás hiánya esetén letiltja az érintett alkalmazás elindítását.

    A kódtervező segédprogram használatával alá lehet írni a JNLP-fájlt, ami kiterjesztett attribútumként csatolja a kódaláírást a JNLP-fájlhoz. Az attribútumok megőrzése érdekében a JNLP-fájlt ZIP-, XIP- vagy DMG-fájlba kell csomagolni. A ZIP formátum használata körültekintést igényel, mert néhány külső féltől származó eszköz esetében előfordulhat, hogy nem megfelelően rögzíti a szükséges kiterjesztett attribútumokat.

    További információk: Technical Note TN2206: OS X Code Signing In Depth (Műszaki jegyzet – TN2206: Az OS X-kódaláírás ismertetése).

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: