Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalmát ismerteti.

Ez a frissítés a Szoftverfrissítés beállításain keresztül, illetve az Apple-letöltések oldalról tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.

Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés

• Apache

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Több biztonsági rés állt fenn az Apache esetén

  Leírás: Több biztonsági rés állt fenn az Apache esetén, amelyek közül a legsúlyosabb webhelyek közötti szkriptelési támadást tett lehetővé. Az Apache 2.2.24-es verzióra való frissítésével küszöbölték ki a hibákat.

  CVE-azonosító

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Több biztonsági rés állt fenn a BIND esetén

  Leírás: Több biztonsági rés állt fenn a BIND esetén, amelyek közül a legsúlyosabb szolgáltatásmegtagadást tett lehetővé. A BIND 9.8.5-P1 verziójára való frissítésével küszöbölték ki a hibákat. A CVE-2012-5688 nem érinti a Mac OS X v10.7 rendszereket.

  CVE-azonosító

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Frissítettük a gyökérszintű tanúsítványokat

  Leírás: Számos tanúsítványt hozzáadtunk a gyökérszintű tanúsítványok listájához, másokat pedig eltávolítottunk róla. Az elismert gyökérszintű rendszertanúsítványok teljes listája megtekinthető a Kulcstár-elérés alkalmazáson keresztül.

• ClamAV

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

  Érintett terület: Több biztonsági rés állt fenn a ClamAV esetén

  Leírás: Több biztonsági rés állt fenn a ClamAV esetén, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. A ClamAV 0.97.8 verziójára való frissítéssel küszöböltük ki a problémát.

  CVE-azonosító

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett

  Leírás: Puffertúlcsordulás fordult elő a JBIG2-kódolású adatok kezelésekor a PDF-fájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.

  CVE-azonosító

  CVE-2013-1025: Felix Groebert, Google Security Team

• ImageIO

  A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: A rosszindulatú célból létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott

  Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.

  CVE-azonosító

  CVE-2013-1026: Felix Groebert, Google Security Team

• Installer

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: A csomagok nem voltak megnyithatók a tanúsítványok visszavonása után

  Leírás: Amikor a telepítő egy visszavont tanúsítvánnyal találkozott, egy párbeszédpanelt jelenített meg, amely felajánlotta a művelet folytatását is. A problémát a párbeszédpanel eltávolításával és a visszavont csomagok visszautasításával oldottuk meg.

  CVE-azonosító

  CVE-2013-1027

• IPSec

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: A támadók bizonyos esetekben hozzá tudtak férni az IPSec Hybrid Auth által védett adatokhoz

  Leírás: Az IPSec Hybrid Auth-szerver DNS-nevét nem vetette össze a rendszer a tanúsítvánnyal, így ha a támadónak volt tanúsítványa bármilyen szerverhez, úgy tudott tenni, mintha egy másik szerverről érkezne. Ezt a problémát a tanúsítvány megfelelő ellenőrzésével orvosoltuk.

  CVE-azonosító

  CVE-2013-1028: Alexander Traud (www.traud.de)

• Kernel

  A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Egy helyi felhasználó a szolgáltatás megtagadását idézhette elő

  Leírás: A kernelben lévő IGMP-csomagelemző kód helytelen ellenőrzése miatt kernelpánikot tudott előidézni az a felhasználó, aki IGMP-csomagokat tudott küldeni a rendszernek. Az ellenőrzés eltávolításával küszöböltük ki a problémát.

  CVE-azonosító

  CVE-2013-1029: Christopher Bohn (PROTECTSTAR INC.)

• Mobile Device Management

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Előfordult, hogy a jelszavak hozzáférhetők voltak más helyi felhasználók számára

  Leírás: A jelszó mdmclient számára parancssorban történő átadásakor a jelszó láthatóvá válhatott az azonos rendszer többi felhasználója számára. A problémát úgy oldották meg, hogy a jelszó továbbítása egy csatornán keresztül történik.

  CVE-azonosító

  CVE-2013-1030: Per Olofsson (University of Gothenburg)

• OpenSSL

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Több biztonsági rés állt fenn az OpenSSL esetén

  Leírás: Több biztonsági rés állt fenn az OpenSSL esetén, amelyek közül a legsúlyosabb a felhasználói adatok közzétételét tehette lehetővé. Az OpenSSL 0.9.8y verziójára való frissítéssel küszöböltük ki a problémákat.

  CVE-azonosító

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Több biztonsági rés állt fenn a PHP esetén

  Leírás: Több biztonsági rés állt fenn a PHP esetén, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé. Az PHP 5.3.26-os verzióra való frissítésével küszöbölték ki a hibákat.

  CVE-azonosító

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Több biztonsági rés állt fenn a PostgreSQL esetén

  Leírás: Több biztonsági rés állt fenn a PostgreSQL esetén, amelyek közül a legsúlyosabb adatsérülést vagy a jogosultságok megemelését tette lehetővé. A CVE-2013-1901 nem érinti az OS X Lion rendszereket. Ez a frissítés a PostgreSQL 9.1.9-es verzióra (OS X Mountain Lion rendszerek esetén) vagy a 9.0.4-es verzióra (OS X Lion rendszerek esetén) való frissítésével orvosolja a problémát.

  CVE-azonosító

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  A következőkhöz érhető el: OS X Mountain Lion 10.8 – v10.8.4

  Érintett terület: Előfordult, hogy a képernyővédő nem indult el a megadott idő után

  Leírás: Energiakezelési hiba lépett fel a zár esetén. A zárolás hatékonyabb kezelésével hárították el a problémát.

  CVE-azonosító

  CVE-2013-1031

• QuickTime

  A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor

  Leírás: Memóriasérülési hiba lépett fel az „idsc” atomok kezelésével összefüggésben a QuickTime-filmfájlokban. További határérték-ellenőrzéssel küszöböltük ki a problémát.

  CVE-azonosító

  CVE-2013-1032: Jason Kratzer az iDefense VCP-vel együttműködésben

• Screen Lock

  A következőkhöz érhető el: OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Kijelzőmegosztási hozzáféréssel rendelkező felhasználó meg tudja kerülni a kijelzőzárat, amikor egy másik felhasználó van bejelentkezve.

  Leírás: Munkafolyamat-felügyeleti hiba lépett fel a kijelzőzár kezelésében a kijelzőmegosztási munkafolyamatok során. A hibát a munkafolyamatok hatékonyabb követésével küszöbölték ki.

  CVE-azonosító

  CVE-2013-1033: Jeff Grisso (Atos IT Solutions), Sébastien Stormacq

• sudo

  A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 – 10.8.4

  Érintett terület: Egy rendszergazdai felhasználó fiókjában lévő támadó gyökérszintű jogosultságokhoz juthatott anélkül, hogy tudná a felhasználó jelszavát

  Leírás: A rendszeróra beállításával a támadó sudo használatával gyökérszintű jogosultságokat tudott szerezni azokon a rendszereken, ahol a sudo korábban már használatban volt. Az OS X rendszerben kizárólag rendszergazdai felhasználók módosíthatják a rendszeróra beállítását. A hibát az érvénytelen időbélyeg ellenőrzésével küszöbölték ki.

  CVE-azonosító

  CVE-2013-1775

• Note: Az OS X Mountain Lion 10.8.5 azt a problémát is kiküszöböli, amely miatt bizonyos Unicode karakterláncok miatt az alkalmazások váratlanul bezáródtak.