Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalma
Ez a dokumentum az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalmát ismerteti.
Ez a frissítés a Szoftverfrissítés beállításain keresztül, illetve az Apple-letöltések oldalról tölthető le és telepíthető.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés
Apache
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Több biztonsági rés állt fenn az Apache esetén
Leírás: Több biztonsági rés állt fenn az Apache esetén, amelyek közül a legsúlyosabb webhelyek közötti szkriptelési támadást tett lehetővé. Az Apache 2.2.24-es verzióra való frissítésével küszöbölték ki a hibákat.
CVE-azonosító
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Több biztonsági rés állt fenn a BIND esetén
Leírás: Több biztonsági rés állt fenn a BIND esetén, amelyek közül a legsúlyosabb szolgáltatásmegtagadást tett lehetővé. A BIND 9.8.5-P1 verziójára való frissítésével küszöbölték ki a hibákat. A CVE-2012-5688 nem érinti a Mac OS X v10.7 rendszereket.
CVE-azonosító
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Frissítettük a gyökérszintű tanúsítványokat
Leírás: Számos tanúsítványt hozzáadtunk a gyökérszintű tanúsítványok listájához, másokat pedig eltávolítottunk róla. Az elismert gyökérszintű rendszertanúsítványok teljes listája megtekinthető a Kulcstár-elérés alkalmazáson keresztül.
ClamAV
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5
Érintett terület: Több biztonsági rés állt fenn a ClamAV esetén
Leírás: Több biztonsági rés állt fenn a ClamAV esetén, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. A ClamAV 0.97.8 verziójára való frissítéssel küszöböltük ki a problémát.
CVE-azonosító
CVE-2013-2020
CVE-2013-2021
CoreGraphics
A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett
Leírás: Puffertúlcsordulás fordult elő a JBIG2-kódolású adatok kezelésekor a PDF-fájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.
CVE-azonosító
CVE-2013-1025: Felix Groebert, Google Security Team
ImageIO
A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: A rosszindulatú célból létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott
Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.
CVE-azonosító
CVE-2013-1026: Felix Groebert, Google Security Team
Installer
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: A csomagok nem voltak megnyithatók a tanúsítványok visszavonása után
Leírás: Amikor a telepítő egy visszavont tanúsítvánnyal találkozott, egy párbeszédpanelt jelenített meg, amely felajánlotta a művelet folytatását is. A problémát a párbeszédpanel eltávolításával és a visszavont csomagok visszautasításával oldottuk meg.
CVE-azonosító
CVE-2013-1027
IPSec
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: A támadók bizonyos esetekben hozzá tudtak férni az IPSec Hybrid Auth által védett adatokhoz
Leírás: Az IPSec Hybrid Auth-szerver DNS-nevét nem vetette össze a rendszer a tanúsítvánnyal, így ha a támadónak volt tanúsítványa bármilyen szerverhez, úgy tudott tenni, mintha egy másik szerverről érkezne. Ezt a problémát a tanúsítvány megfelelő ellenőrzésével orvosoltuk.
CVE-azonosító
CVE-2013-1028: Alexander Traud (www.traud.de)
Kernel
A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Egy helyi felhasználó a szolgáltatás megtagadását idézhette elő
Leírás: A kernelben lévő IGMP-csomagelemző kód helytelen ellenőrzése miatt kernelpánikot tudott előidézni az a felhasználó, aki IGMP-csomagokat tudott küldeni a rendszernek. Az ellenőrzés eltávolításával küszöböltük ki a problémát.
CVE-azonosító
CVE-2013-1029: Christopher Bohn (PROTECTSTAR INC.)
Mobile Device Management
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Előfordult, hogy a jelszavak hozzáférhetők voltak más helyi felhasználók számára
Leírás: A jelszó mdmclient számára parancssorban történő átadásakor a jelszó láthatóvá válhatott az azonos rendszer többi felhasználója számára. A problémát úgy oldották meg, hogy a jelszó továbbítása egy csatornán keresztül történik.
CVE-azonosító
CVE-2013-1030: Per Olofsson (University of Gothenburg)
OpenSSL
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Több biztonsági rés állt fenn az OpenSSL esetén
Leírás: Több biztonsági rés állt fenn az OpenSSL esetén, amelyek közül a legsúlyosabb a felhasználói adatok közzétételét tehette lehetővé. Az OpenSSL 0.9.8y verziójára való frissítéssel küszöböltük ki a problémákat.
CVE-azonosító
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Több biztonsági rés állt fenn a PHP esetén
Leírás: Több biztonsági rés állt fenn a PHP esetén, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Az PHP 5.3.26-os verzióra való frissítésével küszöbölték ki a hibákat.
CVE-azonosító
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Több biztonsági rés állt fenn a PostgreSQL esetén
Leírás: Több biztonsági rés állt fenn a PostgreSQL esetén, amelyek közül a legsúlyosabb adatsérülést vagy a jogosultságok megemelését tette lehetővé. A CVE-2013-1901 nem érinti az OS X Lion rendszereket. Ez a frissítés a PostgreSQL 9.1.9-es verzióra (OS X Mountain Lion rendszerek esetén) vagy a 9.0.4-es verzióra (OS X Lion rendszerek esetén) való frissítésével orvosolja a problémát.
CVE-azonosító
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
A következőkhöz érhető el: OS X Mountain Lion 10.8 – v10.8.4
Érintett terület: Előfordult, hogy a képernyővédő nem indult el a megadott idő után
Leírás: Energiakezelési hiba lépett fel a zár esetén. A zárolás hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2013-1031
QuickTime
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor
Leírás: Memóriasérülési hiba lépett fel az „idsc” atomok kezelésével összefüggésben a QuickTime-filmfájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.
CVE-azonosító
CVE-2013-1032: Jason Kratzer az iDefense VCP-vel együttműködésben
Screen Lock
A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Kijelzőmegosztási hozzáféréssel rendelkező felhasználó meg tudja kerülni a kijelzőzárat, amikor egy másik felhasználó van bejelentkezve.
Leírás: Munkafolyamat-felügyeleti hiba lépett fel a kijelzőzár kezelésében a kijelzőmegosztási munkafolyamatok során. A hibát a munkafolyamatok hatékonyabb követésével küszöbölték ki.
CVE-azonosító
CVE-2013-1033: Jeff Grisso (Atos IT Solutions), Sébastien Stormacq
sudo
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4
Érintett terület: Egy rendszergazdai felhasználó fiókjában lévő támadó gyökérszintű jogosultságokhoz juthatott anélkül, hogy tudná a felhasználó jelszavát
Leírás: A rendszeróra beállításával a támadó sudo használatával gyökérszintű jogosultságokat tudott szerezni azokon a rendszereken, ahol a sudo korábban már használatban volt. Az OS X rendszerben kizárólag rendszergazdai felhasználók módosíthatják a rendszeróra beállítását. A hibát az érvénytelen időbélyeg ellenőrzésével küszöbölték ki.
CVE-azonosító
CVE-2013-1775
Note: Az OS X Mountain Lion 10.8.5 azt a problémát is kiküszöböli, amely miatt bizonyos Unicode karakterláncok miatt az alkalmazások váratlanul bezáródtak.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.