Az OS X Mountain Lion 10.8.3 és a 2013-001-es biztonsági frissítés biztonsági tartalma
Ez a dokumentum az OS X Mountain Lion 10.8.3 és a 2013-001-es biztonsági frissítés biztonsági tartalmát ismerteti.
Az OS X Mountain Lion 10.8.3 és a 2013-001-es biztonsági frissítés a Szoftverfrissítés segítségével, illetve az Apple letöltési webhelyéről tölthető le és telepíthető.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Megjegyzés: Az OS X Mountain Lion 10.8.3 magában foglalja a Safari 6.0.3 biztonsági tartalmát. További információk A Safari 6.0.3 biztonsági tartalma című cikkben találhatók.
Az OS X Mountain Lion 10.8.3 és a 2013-001-es biztonsági frissítés
Apache
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: A támadók a megfelelő hitelesítő adatok ismerete nélkül hozzá tudtak férni a HTTP-hitelesítéssel védett könyvtárakhoz.
Leírás: A nem felismerhető Unicode-karaktersorozatokat tartalmazó URI azonosítók kezelésekor kanonizálási hiba lépett fel. A probléma megoldása érdekében a mod_hfs_apple frissített verziója megtiltja a figyelmen kívül hagyható Unicode-karaktersorozatokkal rendelkező URI azonosítók elérését.
CVE-azonosító
CVE-2013-0966: Clint Ruoho (Laconic Security)
CoreTypes
A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Az ártó szándékkal létrehozott webhelyek megtekintése akkor is lehetővé tette a Java Web Start alkalmazás automatikus elindítását, ha a Java bővítmény le volt tiltva
Leírás: A Java Web Start alkalmazások akkor is futtathatók voltak, ha a Java bővítmény le volt tiltva. Azáltal hárították el a problémát, hogy eltávolították a JNLP-fájlokat a CoreTypes biztonságos fájltípusokat tartalmazó listájából, aminek következtében a Web Start alkalmazás csak akkor futtatható, ha a felhasználó megnyitja a Letöltések könyvtárból.
CVE-azonosító
CVE-2013-0967
International Components for Unicode
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé.
Leírás: Kanonizálási probléma lépett fel az EUC-JP kódolás kezelésekor, ami webhelyek közötti, parancsfájlt alkalmazó támadást tett lehetővé az EUC-JP kódolású webhelyek esetén. Az EUC-JP kódtábla frissítésével hárították el a problémát.
CVE-azonosító
CVE-2011-3058 : Masato Kinugawa
Identitásszolgáltatások
A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Meg lehetett kerülni a tanúsítványalapú Apple ID-hitelesítést.
Leírás: Hibakezelési probléma állt fenn az identitásszolgáltatásokban. Ha a felhasználó Apple ID-tanúsítványának hitelesítése sikertelen volt, a rendszer üres karakterláncnak feltételezte az Apple ID azonosítót. Ha több, különböző felhasználókhoz tartozó rendszer lépett ebbe az állapotba, az ilyen típusú identitásmeghatározást használó alkalmazások időnként tévesen megbízhatónak ítélték a tanúsítványokat. Azzal biztosításával hárították el a problémát, hogy a művelet üres karakterlánc helyett NULLA értéket adjon vissza.
CVE-azonosító
CVE-2013-0963
ImageIO
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulás lépett fel a TIFF-képek libtiff általi kezelésekor. A problémát a TIFF-képek további ellenőrzésével küszöbölték ki.
CVE-azonosító
CVE-2012-2088
IOAcceleratorFamily
A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Az ártó szándékkal létrehozott fájlok megtekintése során váratlan rendszerleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor.
Leírás: Memóriasérülési hiba lépett fel a grafikus adatok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-0976: névtelen kutató
Kernel
A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Az ártó szándékkal létrehozott vagy feltört alkalmazások meg tudták állapítani a kernelben található címeket.
Leírás: Hiba lépett fel a kernelbővítményekhez kapcsolódó API felületek kezelésekor, ami az adatok közzétételére adott lehetőséget. Az OSBundleMachOHeaders kulcsot tartalmazó válaszok kernelbeli címeket tartalmazhattak, amelyek segítségével megkerülhető volt a véletlenszerű címtér-elrendezéses védelem. A probléma megszüntetése érdekében a rendszer most már a válaszok visszaadása előtt eltávolítja belőlük a címeket.
CVE-azonosító
CVE-2012-3749: Mark Dowd (Azimuth Security), Eric Monti (Square), valamint további, névtelen közreműködők
Bejelentkezési ablak
A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.2.
Érintett terület: A billentyűzet-hozzáféréssel rendelkező támadók módosítani tudták a rendszerkonfigurációt.
Leírás: Logikai hiba lépett fel a bejelentkezési ablak VoiceOver általi kezelésekor, ami miatt a billentyűzethez hozzáférő támadó el tudta indítani a Rendszerbeállításokat, és módosítani tudta a rendszer-konfigurációt. A probléma elhárítása érdekében a VoiceOver már nem használható az alkalmazások indítására a bejelentkezési ablakban.
CVE-azonosító
CVE-2013-0969: Eric A. Schulman (Purpletree Labs)
Üzenetek
A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Ha az Üzenetek alkalmazásban egy hivatkozásra kattintottak, időnként kérdés nélkül elindult egy FaceTime-hívás.
Leírás: Az Üzenetek alkalmazásban egy bizonyos formázású FaceTime:// URL-címre kattintva megkerülhető volt a szabványos megerősítési kérdés. A FaceTime:// URL-címek további ellenőrzésével hárították át a problémát.
CVE-azonosító
CVE-2013-0970: Aaron Sigel (vtty.com)
Az Üzenetek kiszolgálója
A következőkhöz érhető el: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Érintett terület: A távoli támadók át tudták irányítani az egyesített Jabber-üzeneteket.
Leírás: A Jabber-kiszolgáló nem megfelelően kezelte a visszahívási eredményekről szóló üzeneteket. A támadók el tudták érni azt, hogy a Jabber-kiszolgáló közzétegye az egyesített kiszolgálók felhasználóinak szánt információkat. A visszahívási eredményüzenetek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2012-3525
PDFKit
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Felszabadítás utáni használatból eredő probléma lépett fel a PDF-fájlok tollal írt megjegyzéseinek kezelésekor. A memóriakezelés javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2013-0971: Tobias Klein (a HP TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként)
Podcast Producer Server
A következőkhöz érhető el: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.
Leírás: Típusátalakítási hiba lépett fel az XML-paraméterek Ruby on Rails általi kezelésekor. Azzal hárították el a problémát, hogy letiltották az XML-paramétereket a Podcast Producer Server által használt Rails-implementációban.
CVE-azonosító
CVE-2013-0156
Podcast Producer Server
A következőkhöz érhető el: OS X Lion Server 10.7–10.7.5.
Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.
Leírás: Típusátalakítási hiba lépett fel a JSON-adatok Ruby on Rails általi kezelésekor. Annak beállításával hárították el a problémát, hogy a Podcast Producer Server által használt Rails-implementációban a rendszer a JSONGem háttérfolyamatot használja a JSON elemzéséhez.
CVE-azonosító
CVE-2013-0333
PostgreSQL
A következőkhöz érhető el: Mac OS X Server 10.6.8, OS X Lion Server 10.7–10.7.5.
Érintett terület: Több biztonsági rés állt fenn a PostgreSQL esetén.
Leírás: A PostgreSQL a 9.1.5-ös verzióra frissül több biztonsági rés megszüntetése érdekében. A legsúlyosabb biztonsági rés lehetővé tette az adatbázis-felhasználók számára, hogy az adatbázis-kiszolgáló jogosultságaival olvassanak fájlokat a fájlrendszerből. További információk a PostgreSQL webhelyén találhatók: http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.
CVE-azonosító
CVE-2012-3488
CVE-2012-3489
Profilkezelő
A következőkhöz érhető el: OS X Lion Server 10.7–10.7.5.
Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.
Leírás: Típusátalakítási hiba lépett fel az XML-paraméterek Ruby on Rails általi kezelésekor. Azzal hárították el a problémát, hogy letiltották az XML-paramétereket a Profile Manager által használt Rails-implementációban.
CVE-azonosító
CVE-2013-0156
QuickTime
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Az MP4-fájlokban levő „rnet” dobozok kezelésekor puffertúlcsordulást okozó probléma lépett fel. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2012-3756: Kevin Szkudlapski (QuarksLab)
Ruby
A következőhöz érhető el: Mac OS X Server 10.6.8.
Érintett terület: A távoli támadók tetszőleges kódvégrehajtást tudtak előidézni egy Rails-alkalmazás futtatása közben.
Leírás: Típusátalakítási hiba lépett fel az XML-paraméterek Ruby on Rails általi kezelésekor. Azzal hárították el a problémát, hogy letiltották a YAML-t és a szimbólumokat a Rails XML-paramétereiben.
CVE-azonosító
CVE-2013-0156
Biztonság
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.
Leírás: A TURKTRUST számos köztes hitelesítésszolgáltatói tanúsítványt bocsátott ki tévedésből, amelyek lehetővé tették a közbeékelődő támadók számára a kapcsolatok átirányítását, és így a felhasználói hitelesítő adatokhoz és más bizalmas információkhoz való illetéktelen hozzáférést. A tévesen kiadott SSL-tanúsítványok letiltásával szüntették meg a problémát.
Szoftverfrissítés
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5.
Érintett terület: A magas hálózati jogosultságú támadók tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: A Szoftverfrissítés lehetővé tette a közbeékelődő támadók számára, hogy bővítménytartalmakat illesszenek be a frissítések marketingszövegeibe, ami lehetővé tette a sebezhető bővítmények kihasználását, illetve a bővítményekkel kapcsolatos, pszichológiai manipulációs támadásokat. A hiba nem érinti az OS X Mountain Lion rendszereket. Azzal hárították el a problémát, hogy letiltották a bővítmények betöltését a Szoftverfrissítés marketingszövegeinek WebView nézetében.
CVE-azonosító
CVE-2013-0973: Emilio Escobar
Wiki Server
A következőkhöz érhető el: OS X Lion Server 10.7–10.7.5.
Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.
Leírás: Típusátalakítási hiba lépett fel az XML-paraméterek Ruby on Rails általi kezelésekor. Azzal hárították el a problémát, hogy letiltották az XML-paramétereket a Wiki Server által használt Rails-implementációban.
CVE-azonosító
CVE-2013-0156
Wiki Server
A következőkhöz érhető el: OS X Lion Server 10.7–10.7.5.
Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.
Leírás: Típusátalakítási hiba lépett fel a JSON-adatok Ruby on Rails általi kezelésekor. Annak beállításával hárították el a problémát, hogy a Wiki Server által használt Rails-implementációban a rendszer a JSONGem háttérfolyamatot használja a JSON elemzéséhez.
CVE-azonosító
CVE-2013-0333
A kártevő eltávolítása
A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.
Leírás: A frissítés egy rosszindulatú programok eltávolítására szolgáló eszközt futtat, amely törli a rosszindulatú programok leggyakoribb változatait. Ha rosszindulatú program található a rendszeren, egy párbeszédpanel értesíti a felhasználót arról, hogy a rosszindulatú program törlése megtörtént. Ha nem található a rendszerben rosszindulatú program, a felhasználó nem kap értesítést.
A FaceTime nem minden országban vagy térségben érhető el.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.