Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés biztonsági tartalmát ismerteti.

A frissítések a Szoftverfrissítés funkció segítségével, illetve az Apple letöltési oldaláról tölthetők le és telepíthetők.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Az OS X Mountain Lion 10.8.5 és a 2013-004-es biztonsági frissítés

  • Apache

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Több biztonsági rés az Apache alkalmazásban.

    Leírás: Több biztonsági rés volt az Apache alkalmazásban, amelyek közül a legsúlyosabb webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget. A hibákat az Apache 2.2.24-es verzióra való frissítése küszöböli ki.

    CVE-azonosító

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Több biztonsági rés a BIND szoftverben.

    Leírás: Több biztonsági rés volt a BIND szoftverben, amelyek közül a legsúlyosabb a szolgáltatás megtagadását idézhette elő. A hibákat a BIND 9.8.5-P1 verziójára való frissítésével küszöbölték ki. A CVE-2012-5688 nem érintette a Mac OS X v10.7 rendszereket.

    CVE-azonosító

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Megbízható tanúsítványok házirendje

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Frissültek a főtanúsítványok.

    Leírás: Több tanúsítvány bekerült a rendszergyökerek listájába, illetve kikerült onnan. Az elismert rendszergyökerek teljes listája a Kulcskarika-elérés alkalmazásban tekinthető meg.

  • ClamAV

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Érintett terület: Több biztonsági rés a ClamAV szoftverben.

    Leírás: Több biztonsági rés volt a ClamAV szoftverben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtásához vezethet. Ez a frissítés a hibákat a ClamAV 0.97.8-as verziójára való frissítéssel küszöböli ki.

    CVE-azonosító

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JBIG2 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1025 : Felix Groebert (a Google biztonsági csapata)

  • ImageIO

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn a JPEG2000 kódolású adatok kezelésével összefüggésben a PDF-fájlokban. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1026 : Felix Groebert (a Google biztonsági csapata)

  • Telepítő

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A csomagok nem voltak megnyithatók a tanúsítványok visszavonása után.

    Leírás: Amikor a telepítő egy visszavont tanúsítvánnyal találkozott, egy párbeszédpanelt jelenített meg, amely felajánlotta a művelet folytatását is. A hibát a párbeszédpanel eltávolításával és a visszavont csomagok elutasításával küszöbölték ki.

    CVE-azonosító

    CVE-2013-1027

  • IPSec

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A támadók hozzá tudtak férni az IPSec Hybrid Auth által védett adatokhoz.

    Leírás: Az IPSec Hybrid Auth kiszolgáló DNS-nevét nem egyeztette a rendszer a tanúsítvánnyal, ami miatt bármilyen kiszolgáló tanúsítványával rendelkező támadó bármely másiknak az adatait megszerezhette. A hibát a tanúsítvány megfelelő ellenőrzésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-1028 : Alexander Traud (www.traud.de)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Egy helyi felhasználó a szolgáltatás megtagadását idézhette elő.

    Leírás: A kernelben lévő IGMP csomagelemző kód helytelen ellenőrzése miatt kernelpánikot tudott előidézni az a felhasználó, aki IGMP csomagokat tudott küldeni a rendszernek. A hibát az ellenőrzés kiiktatásával küszöbölték ki.

    CVE-azonosító

    CVE-2013-1029 : Christopher Bohn (PROTECTSTAR INC.)

  • Mobile Device Management

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A jelszavak kiadhatók többi helyi felhasználónak.

    Leírás: Egy jelszó továbbítódott a parancssoron az mdmclient számára, ami miatt az látható volt a többi felhasználó számára ugyanazon a rendszeren. A hibát a jelszó csövön keresztüli kommunikálásával küszöbölték ki.

    CVE-azonosító

    CVE-2013-1030 : Per Olofsson (Gothenburgi Egyetem)

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Az OpenSSL több biztonsági réssel rendelkezett.

    Leírás: Több biztonsági rés volt az OpenSSL programcsomagban, amelyek közül a legsúlyosabb a felhasználói adatok közzétételét eredményezhette. A hibákat az OpenSSL 0.9.8y verziójára való frissítéssel küszöbölték ki.

    CVE-azonosító

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A PHP több biztonsági rése.

    Leírás: Több biztonsági rés volt a PHP-ben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé. A hibákat a PHP 5.3.26-os verziójára való frissítéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A PostgreSQL több biztonsági rése.

    Leírás: Több biztonsági rés volt a PostgreSQL rendszerben, amelyek közül a legsúlyosabb adatsérülést okozott vagy magasabb jogosultságszint megszerzését tette lehetővé. A CVE-2013-1901 nem érinti az OS X Lion rendszereket. Ez a frissítés a hibákat a PostgreSQL 9.1.9-es verziójára való frissítéssel küszöböli ki az OS X Mountain Lion rendszereken, illetve a 9.0.4-es verzióra való frissítéssel az OS X Lion rendszereken.

    CVE-azonosító

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Energiagazdálkodás

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.4

    Érintett terület: A képernyővédő nem indul el a megadott időtartam lejártakor.

    Leírás: Energiakezelési hiba lépett fel a zár esetén. A problémát a zárkezelés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2013-1031

  • QuickTime

    A következőkhöz érhető el: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az „idsc” atomok kezelésével összefüggésben a QuickTime-filmfájlokban. A problémát további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2013-1032 : Jason Kratzer az iDefense VCP-vel együttműködésben

  • Kijelzőzár

    A következőkhöz érhető el: OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Kijelzőmegosztási hozzáféréssel rendelkező felhasználó meg tudja kerülni a kijelzőzárat, amikor egy másik felhasználó van bejelentkezve.

    Leírás: Munkafolyamat-felügyeleti hiba lépett fel a kijelzőzár kezelésében a kijelzőmegosztási munkafolyamatok során. A hibát a munkafolyamatok hatékonyabb követésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-1033 : Jeff Grisso (Atos IT Solutions), Sébastien Stormacq

  • sudo

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Érintett terület: Egy rendszergazdai felhasználó fiókjában lévő támadó gyökérszintű jogosultságokhoz juthat anélkül, hogy tudná a felhasználó jelszavát.

    Leírás: A rendszeróra beállításával a támadó sudo használatával gyökérszintű jogosultságokat tudott szerezni azokon a rendszereken, ahol a sudo korábban már használatban volt. Az OS X rendszerben kizárólag rendszergazdai felhasználók módosíthatják a rendszeróra beállítását. A hibát az érvénytelen időbélyeg ellenőrzésével küszöbölték ki.

    CVE-azonosító

    CVE-2013-1775

 

  • Megjegyzés: Az OS X Mountain Lion 10.8.5 azt a problémát is kiküszöböli, amely miatt bizonyos Unicode karakterláncok miatt az alkalmazások váratlanul bezáródtak.

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: