Az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés biztonsági tartalma

A dokumentum az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés biztonsági tartalmát ismerteti, amely a Szoftverfrissítés segítségével és az Apple letöltési webhelyéről tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
 

Az OS X Mountain Lion 10.8.4 és a 2013-002-es biztonsági frissítés

Megjegyzés:: Az OS X Mountain Lion 10.8.4 magában foglalja a Safari 6.0.5-ös verziójának tartalmát. További részleteket A Safari 6.0.5 biztonsági tartalma című cikkben talál.

  • CFNetwork

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: A felhasználó munkamenetéhez hozzáférő támadó be tud jelentkezni a korábban megnyitott webhelyeken, még akkor is, ha a felhasználó a Privát böngészés funkciót használta.

    Leírás: A hosszú lejáratú sütik mentésre kerültek a Safariból való kilépés után akkor is, ha a Privát böngészés aktiválva volt. A problémát a sütik kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-0982 : Alexander Traud (www.traud.de)

  • CoreAnimation

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

    Leírás: A szöveges betűképek kezelésében korlátlan veremfelosztási probléma lépett fel, amit az ártó szándékkal létrehozott URL-ek váltották ki a Safariban. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-0983 : David Fifield (Stanford University), Ben Syverson

  • CoreMedia Playback

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: A szövegsávok kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. A szövegsávok további ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2013-1024 : Richard Kuo és Billy Suguitan (Triemt Corporation)

  • CUPS

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Az lpadmin csoportban lévő helyi felhasználók rendszerszintű jogosultsággal tetszőleges fájlokat tudtak olvasni vagy írni.

    Leírás: Magasabb jogosultságszint kihasználásával kapcsolatos probléma állt fenn a CUPS-konfiguráció kezelésében a CUPS webes felületen. Az lpadmin csoportban lévő helyi felhasználók rendszerszintű jogosultsággal tetszőleges fájlokat tudtak olvasni vagy írni. A probléma kiküszöbölése érdekében bizonyos konfigurációs direktívákat helyeztek a cups-files.conf fájlba, amelyek nem módosíthatók a CUPS webes felületről.

    CVE-azonosító

    CVE-2012-5519

  • Címtárszolgáltatás

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Érintett terület: A helyi támadók rendszerszintű jogosultsággal tetszőleges programkódot tudtak végrehajtani olyan rendszerekben, amelyekben a Címtárszolgáltatás aktiválva volt.

    Leírás: Probléma állt fenn a címtárkiszolgálóval a hálózatról érkező üzenetek kezelésekor. Ártó szándékkal létrehozott üzenet küldésével egy rendszerszintű jogosultsággal rendelkező távoli támadó elő tudta idézni a címtárkiszolgáló leállását vagy tetszőleges kód végrehajtását. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát. A probléma nem érinti az OS X Lion és az OS X Mountain Lion rendszert.

    CVE-azonosító

    CVE-2013-0984 : Nicolas Economou (Core Security)

  • Lemezkezelés

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: A helyi felhasználók le tudták tiltani a FileVault szolgáltatást.

    Leírás: A helyi, nem rendszergazdai felhasználók le tudták tiltani a FileVault szolgáltatást a parancssor segítségével. A problémát további hitelesítés bevezetésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-0985

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: A TLS 1.0 biztonságát érintő támadások fordultak elő, amikor a tömörítés aktiválva volt. A problémát úgy küszöbölték ki, hogy letiltották a tömörítést az OpenSSL-protokollban.

    CVE-azonosító

    CVE-2012-4929 : Juliano Rizzo és Thai Duong

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Az OpenSSL több biztonsági réssel rendelkezett.

    Leírás: Az OpenSSL frissült a 0.9.8x verzióra több olyan biztonsági rés kiküszöbölése érdekében, amelyek a szolgáltatás elutasítását és titkos kulcsok közzétételét eredményezhették. További információk az OpenSSL webhelyén találhatók: http://www.openssl.org/news/.

    CVE-azonosító

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PICT-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a PICT-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0975: Tobias Klein a HP TippingPoint Zero Day Initiative kezdeményezésének közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel az „enof” atomok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0986 : Tom Gallagher (Microsoft) és Paul Bates (Microsoft) a HP Zero Day Initiative kezdeményezésének közreműködőiként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Az ártó szándékkal létrehozott QTIF-fájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges kódvégrehajtásra kerülhetett sor.

    Leírás: Memóriasérülési hiba lépett fel a QTIF-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0987 : roob az iDefense VCP közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Az ártó szándékkal létrehozott FPX-fájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges kódvégrehajtásra kerülhetett sor.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel az FPX-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0988 : G. Geshev a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QuickTime

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: Az ártó szándékkal létrehozott MP3-fájlok lejátszásakor váratlan alkalmazásleállásra vagy tetszőleges kódvégrehajtásra kerülhetett sor.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel az MP3-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2013-0989 : G. Geshev a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • Ruby

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8.

    Érintett terület: A Ruby on Rails több biztonsági réssel rendelkezett.

    Leírás: A Ruby on Rails több biztonsági réssel rendelkezett, amelyek közül a legsúlyosabb miatt tetszőleges programkódot lehetett végrehajtani a Ruby on Rails alkalmazásokat futtató rendszereken. A problémát a Ruby on Rails 2.3.18-as verzióra történő frissítésével küszöbölték ki. A probléma azokat az OS X Lion és OS X Mountain Lion rendszereket érintheti, amelyeket a Mac OS X 10.6.8-as vagy korábbi verziójáról frissítettek. A felhasználók frissíthetik az érintett gem kiegészítéseket az ilyen rendszereken a /usr/bin/gem segédprogram segítségével.

    CVE-azonosító

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    A következőkhöz érhető el: OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.3.

    Érintett terület: A hitelesített felhasználók írni tudtak fájlokat a megosztott könyvtáron kívül.

    Leírás: Ha aktiválva volt az SMB-fájlmegosztás, a hitelesített felhasználók írni tudtak fájlokat a megosztott könyvtáron kívül. A problémát a hozzáférés-kezelés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-0990 : Ward van Wanrooij

  • Megjegyzés: Az OS X 10.8.4 rendszertől kezdődően az internetről letöltött Java Web Start (vagyis az JNLP) alkalmazásokat alá kell írni egy fejlesztői azonosítót jelző tanúsítvánnyal. A Gatekeeper ellenőrzi a letöltött Java Web Start alkalmazások esetén az aláírást, és blokkolja a nem megfelelően aláírt alkalmazások indulását.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: