Az OS X Mavericks 10.9 biztonsági tartalma

Ez a dokumentum az OS X Mavericks 10.9 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Az OS X Mavericks 10.9

• Tűzfal alkalmazás

  Érintett terület: Előfordult, hogy a socketfilterfw --blockApp nem gátolta meg az alkalmazásokat abban, hogy fogadják a hálózati kapcsolatokat.

  Leírás: A socketfilterfw parancssori eszköz --blockApp beállítása nem gátolta meg megfelelően az alkalmazásokat abban, hogy hálózati kapcsolatokat fogadjanak. A --blockApp beállítás kezelésének javításával küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5165 : Alexander Frangis (PopCap Games)

• Sandbox alkalmazás

  Érintett terület: A Sandbox alkalmazás megkerülhető volt.

  Leírás: Az alkalmazások indítására szolgáló LaunchServices felület lehetővé tette a sandboxban lévő alkalmazásoknak, hogy meghatározzák az új folyamatnak átadandó argumentumok listáját. Ezt a körülményt kihasználva egy sandboxban lévő feltört alkalmazással megkerülhető volt a sandbox. Azzal küszöbölték ki a problémát, hogy a sandboxban lévő alkalmazások számára megtiltották az argumentumok meghatározását.

  CVE-azonosító

  CVE-2013-5179 : Friedrich Graeter (The Soulmen GbR)

• Bluetooth

  Érintett terület: A rosszindulatú helyi alkalmazások váratlan rendszerleállást tudtak kiváltani.

  Leírás: A Bluetooth USB-hosztvezérlő törölte a későbbi műveletekhez szükséges felületet. Azzal küszöbölték ki a problémát, hogy a felület addig megtartásra kerül, amíg szükségtelenné nem válik.

  CVE-azonosító

  CVE-2013-5166 : Stefano Bianchi Mazzone, Mattia Pagnozzi és Aristide Fattori (Computer and Network Security Lab (LaSER), Università degli Studi di Milano)

• CFNetwork

  Érintett terület: Előfordult, hogy a munkameneti sütik megmaradtak a Safari visszaállítása után is.

  Leírás: A Safari visszaállításával nem törlődött minden munkameneti süti a Safari bezárásáig. A munkameneti sütik hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5167 : Graham Bennett, Rob Ansaldo (Amherst College)

• CFNetwork SSL

  Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett kapcsolat egy részét.

  Leírás: Csak az SSLv3 és a TLS 1.0 verziójú SSL volt használatban. Ezek a verziók blokkrejtjelek használata esetén gyenge protokollt alkalmaznak. A közbeékelődött támadó érvénytelen kódot tudott beszúrni, amely a kapcsolat bontását okozta, azonban a korábbi adatokból néhányat felfedett. Ugyanazzal a kapcsolattal többször próbálkozva a támadó végül vissza tudta fejteni az elküldött adatokat, például egy jelszó titkosítását. A TLS 1.2-es verziójának engedélyezésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2011-3389

• Konzol

  Érintett terület: A rosszindulatú naplóbejegyzésekre kattintva váratlan alkalmazás-végrehajtásra kerülhetett sor.

  Leírás: Ez a frissítés módosította a Konzol viselkedését abban az esetben, ha olyan naplóbejegyzésre kattintottak, amelyhez URL-cím volt rendelve. Az URL-cím megnyitása helyett a Konzol az URL előnézetét jelenítette meg a Gyorsnézet funkcióval.

  CVE-azonosító

  CVE-2013-5168: Aaron Sigel (vtty.com)

• CoreGraphics

  Érintett terület: Az alvó mód aktiválása után a zárolt képernyőn ablakok voltak láthatók.

  Leírás: Logikai hiba lépett fel az alvó mód CoreGraphics általi kezelésekor, ami memóriasérüléshez vezetett, így a zárolt képernyőn ablakok jelenhettek meg. Az alvó mód hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5169

• CoreGraphics

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Puffer-alulcsordulást okozó probléma lépett fel a PDF-fájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5170 : Will Dormann (CERT/CC)

• CoreGraphics

  Érintett terület: Egy jogosulatlan alkalmazás akkor is rögzíteni tudta egy másik alkalmazásban lenyomott billentyűket, ha a biztonságos adatbevitel engedélyezve volt.

  Leírás: Gyorsbillentyűs esemény rögzítésével egy jogosulatlan alkalmazás akkor is rögzíteni tudta egy másik alkalmazásban lenyomott billentyűket, ha a biztonságos adatbevitel engedélyezve volt. A gyorsbillentyűs események további ellenőrzésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5171

• curl

  Érintett terület: A curl több biztonsági rése.

  Leírás: A curl több biztonsági rést tartalmazott, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé. Ezeket a hibákat orvosolja a curl 7.30.0-s verzióra való frissítése.

  CVE-azonosító

  CVE-2013-0249

  CVE-2013-1944

• dyld

  Érintett terület: Az a támadó, akinek tetszőleges kódvégrehajtási joga volt a készüléken, az újraindítás során is képes volt kód végrehajtására.

  Leírás: Több puffer-túlcsordulási hiba is fennállt a dyld openSharedCacheFile() függvényében. További határérték-ellenőrzéssel küszöbölték ki a hibákat.

  CVE-azonosító

  CVE-2013-3950 : Stefan Esser

• IOKitUser

  Érintett terület: A rosszindulatú helyi alkalmazások váratlan rendszerleállást tudtak kiváltani.

  Leírás: Az IOCatalogue alkalmazásban címke nélküli mutatófeloldási hiba volt. További típusellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5138 : Will Estes

• IOSerialFamily

  Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

  Leírás: Határértéket túllépő tömbhozzáférés lépett fel az IOSerialFamily illesztőprogramban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5139 : @dent1zt

• Kernel

  Érintett terület: A kernelben az SHA-2 kivonatoló funkciók használata váratlan rendszerleálláshoz vezetett.

  Leírás: A kivonatoló funkciók SHA-2 családjánál érvénytelen kimeneti hossz volt használatban, ami miatt kernelpánik következett be ezeknek a funkcióknak a használatakor, elsősorban IPSec-kapcsolatok során. A várt kimeneti hossz használata oldotta meg a problémát.

  CVE-azonosító

  CVE-2013-5172 : Christoph Nadig (Lobotomo Software)

• Kernel

  Érintett terület: A kernel veremterülete megjelenhetett a helyi felhasználónak.

  Leírás: Adat-közzétételi probléma állt fenn az msgctl és segctl API-kban. A kernel által visszaadott adatszerkezet inicializálásával hárították el a problémát.

  CVE-azonosító

  CVE-2013-5142 : Kenzley Alphonse (Kenx Technology, Inc)

• Kernel

  Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

  Leírás: A kernel véletlenszám-generátora a felhasználótér felől érkező kérés esetén zárolódott, ami lehetővé tette, hogy egy helyi felhasználó nagyméretű kéréssel hosszú időre zárolást váltson ki, elzárva ezzel a szolgáltatást a véletlenszám-generátor más felhasználóitól. Azzal küszöbölték ki a problémát, hogy nagy kérések esetén gyakrabban történik meg a zár feloldása és aktiválása.

  CVE-azonosító

  CVE-2013-5173 : Jaakko Pero (Aalto University)

• Kernel

  Érintett terület: A helyi, jogosulatlan felhasználók váratlan rendszerleállást tudtak kiváltani.

  Leírás: A tty-olvasások kezelésekor egészszám-előjelhiba lépett fel. A tty-olvasások hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5174 : CESG

• Kernel

  Érintett terület: A helyi felhasználók kernelmemória-adatközzétételt, illetve váratlan rendszerleállást tudtak kiváltani.

  Leírás: Határérték-olvasási hiba lépett fel a Mach-O fájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5175

• Kernel

  Érintett terület: A helyi felhasználók rendszerlefagyást tudtak kiváltani.

  Leírás: Egészszám-csonkolási hiba lépett fel a tty-eszközök kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5176 : CESG

• Kernel

  Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak kiváltani.

  Leírás: A felhasználó általi érvénytelen iovec-szerkezet észlelése kernelpánikot váltott ki. Az iovec-szerkezetek érvényességének ellenőrzésében végrehajtott javításokkal küszöbölték ki a problémákat.

  CVE-azonosító

  CVE-2013-5177 : CESG

• Kernel

  Érintett terület: Jogosulatlan folyamatok a rendszer váratlan leállását okozhatták, illetve tetszőleges kódot hajthattak végre a kernelben.

  Leírás: Memóriasérülési probléma lépett fel a posix_spawn API argumentumkezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-3954 : Stefan Esser

• Kernel

  Érintett terület: Egy forrásspecifikus multicast program váratlan rendszerleállást válthatott ki Wi-Fi hálózat használata esetén.

  Leírás: Hibaellenőrzési probléma lépett fel a multicast csomagok kezelésekor. A multicast csomagok hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5184 : Octoshape

• Kernel

  Érintett terület: A támadók szolgáltatásmegtagadást tudtak előidézni a helyi hálózaton.

  Leírás: A támadók speciális kialakítású IPv6 ICMP-csomagokat tudtak küldeni a helyi hálózaton, ami leterhelte a processzort. Az ICMP-csomagoknak az ellenőrzőösszeg ellenőrzése előtti gyakorisági korlátozásával küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2011-2391 : Marc Heuse

• Kernel

  Érintett terület: A rosszindulatú helyi alkalmazások elő tudták idézni a rendszer lefagyását.

  Leírás: A kernel csatlakozófelületében az integer típusú értékek csonkolásával kapcsolatos sebezhetőség állt fenn, amely a processzort végtelen ciklusba tudta kényszeríteni. Nagyobb méretű változó használatával küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5141 : CESG

• Kext Management

  Érintett terület: A jogosulatlan folyamatok le tudták tiltani a betöltött kernelkiterjesztéseket.

  Leírás: A probléma az ismeretlen feladóktól érkező IPC-üzenetek kext-kezelőjében volt megtalálható. További jogosultsági ellenőrzésekkel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5145 : „Rainbow PRISM”

• LaunchServices

  Érintett terület: Előfordult, hogy a fájlok hibás kiterjesztéssel jelentek meg.

  Leírás: Bizonyos unicode karakterek kezelése hibás volt, ami miatt előfordult, hogy a fájlnevek helytelen kiterjesztéssel jelentek meg. A megjelenített fájlnevekben található nem biztonságos unicode karakterek szűrésével küszöbölték ki a hibát.

  CVE-azonosító

  CVE-2013-5178 : Jesse Ruderman (Mozilla Corporation), Stephane Sudre (Intego)

• Libc

  Érintett terület: Szokatlan körülmények között a véletlenszámok némelyikét be lehetett jósolni.

  Leírás: Ha a kernel véletlenszám-generátora a srandomdev() függvény számára nem volt elérhető, akkor az egy alternatív eljárást hívott meg, amelyet az optimalizáció során eltávolítottak a véletlenszerűség hiánya miatt. A kód olyan módosítása oldotta meg a problémát, amely révén a kód az optimalizálás alatt is helyesen működik.

  CVE-azonosító

  CVE-2013-5180 : Xi Wang

• Levelezési fiókok

  Érintett terület: Előfordult, hogy a Mail nem az elérhető legbiztonságosabb hitelesítési eljárást választotta ki.

  Leírás: Bizonyos levelezőszervereknél a levelezési fiókok automatikus konfigurálását kiválasztva a Mail alkalmazás egyszerű szöveges hitelesítést választott a CRAM-MD5 hitelesítés helyett. A logika hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5181

• A Mail fejlécének kijelzése

  Érintett terület: Előfordult, hogy az aláíratlan levelek érvényesen aláírtként jelentek meg.

  Leírás: A Mail esetén logikai hiba lépett fel az olyan aláíratlan üzenetek kezelésekor, amelyek multipart/aláírt részt tartalmaztak. Az aláíratlan üzenetek hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5182 : Michael Roitzsch (Technische Universität Dresden)

• Mail-hálózatkezelés

  Érintett terület: Nem TLS-titkosítás beállítása esetén az információk röviden, egyszerű szöveges üzenetként továbbítódtak.

  Leírás: Ha a Kerberos-hitelesítés engedélyezve volt, a Transport Layer Security pedig le volt tiltva, akkor előfordult, hogy a Mail alkalmazás titkosítatlan adatokat küldött a levelezőszerverre, ami a csatlakozás váratlan leállásához vezethetett. A konfiguráció hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5183 : Richard E. Silverman (www.qoxp.net)

• OpenLDAP

  Érintett terület: Az ldapsearch parancssori eszköz figyelmen kívül hagyta az minssf konfigurációt.

  Leírás: Az ldapsearch parancssori eszköz figyelmen kívül hagyta az minssf konfigurációt, ami váratlan módon lehetővé tett gyenge titkosítást is. Az minssf konfiguráció hatékonyabb kezelésével küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5185

• perl

  Érintett terület: A Perl parancsfájlok sebezhetők voltak a szolgáltatásmegtagadási támadásokkal szemben.

  Leírás: Az elavult Perl-verziók által használt kivonat-visszaállító eljárás sérülékeny volt a szolgáltatásmegtagadási támadásokkal szemben olyan parancsfájlokban, amelyek nem megbízható bemenetet használtak fel kivonati kulcsként. A Perl 5.16.2-es verziójára való frissítés oldotta meg a problémát.

  CVE-azonosító

  CVE-2013-1667

• Energiagazdálkodás

  Érintett terület: A kijelzőzár nem kapcsolódott be a megadott időtartam lejártakor.

  Leírás: Zárolási probléma lépett fel az energiakezelés terén. A zárkezelés javítása révén küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2013-5186 : David Herman (Sensible DB Design)

• python

  Érintett terület: Több biztonsági rés állt fenn a python 2.7-es verziójában.

  Leírás: Több biztonsági rés is fennállt a python 2.7.2-es verziójában, amelyek közül a legsúlyosabb miatt lehetővé vált az SSL-kapcsolatok tartalmának dekódolása. A frissítés a python 2.7.5-ös verzióra való frissítésével hárítja el a problémát. Részletes információk a python honlapján találhatók: http://www.python.org/download/releases/.

  CVE-azonosító

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• python

  Érintett terület: Több biztonsági rés állt fenn a python 2.6-os verziójában.

  Leírás: Több biztonsági rés is fennállt a python 2.6.7-es verziójában, amelyek közül a legsúlyosabb miatt lehetővé vált az SSL-kapcsolatok tartalmának dekódolása. A frissítés a python 2.6.8-as verziójára való frissítéssel és a Python projekt CVE-2011-4944 jelű javítócsomagjának alkalmazásával hárítja el a problémát. Részletes információk a python honlapján találhatók: http://www.python.org/download/releases/.

  CVE-azonosító

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

• ruby

  Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni a felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

  Leírás: Hosztnév-hitelesítési probléma lépett fel az SSL-tanúsítványok Ruby általi kezelésekor. A probléma a Ruby 2.0.0p247-es verziójára való frissítéssel oldódott meg.

  CVE-azonosító

  CVE-2013-4073

• Biztonság

  Érintett terület: Az MD5 kivonattal rendelkező X.509 tanúsítványok támogatása a támadások fejlődésével a felhasználókat hamisításnak és az információk felfedésének tehette ki.

  Leírás: Az MD5 kivonatoló algoritmussal aláírt tanúsítványokat az OS X elfogadta. Ennek az algoritmusnak ismert a gyenge titkosítási képessége. További kutatások vagy egy rosszul konfigurált tanúsítványkiadó hatóság lehetővé tette X.509 tanúsítványok létrehozását a támadó által ellenőrzött értékekkel, amelyet a rendszer megbízhatónak fogadott el. Ez az X.509 alapú protokollok esetén lehetővé tette volna a hamisítást, egy támadó közbeékelődését, valamint az információk felfedését. A frissítés letiltja az MD5 kivonattal ellátott X.509 tanúsítványok támogatását a megbízható gyökértanúsítványtól eltérő szerepkörben.

  CVE-azonosító

  CVE-2011-3427

• Biztonság – Hitelesítés

  Érintett terület: Előfordult, hogy a rendszergazda biztonsági beállításait figyelmen kívül hagyta a rendszer.

  Leírás: „A lakat ikonnal megjelölt rendszerbeállítások eléréséhez rendszergazdai jelszó igénylése” beállítás lehetővé tette a rendszergazdák számára, hogy az érzékeny rendszerbeállítások elé egy további réteget húzzanak. Egyes esetekben, amikor a rendszergazda engedélyezte ezt a beállítást, szoftverfrissítés vagy telepítés után a beállítás letiltásra került. A hitelesítési jogok hatékonyabb kezelésével küszöbölték ki problémát.

  CVE-azonosító

  CVE-2013-5189 : Greg Onufer

• Biztonság – Smart Card Services

  Érintett terület: A Smart Card Services szolgáltatások elérhetetlenné válhattak, ha a tanúsítványok visszavonásának ellenőrzése engedélyezve volt.

  Leírás: Az OS X rendszerben a Smart Card tanúsítványok visszavonásának ellenőrzése logikailag hibásan volt kezelve. A hibát a tanúsítványok visszavonásának ellenőrzése során a támogatás javításával küszöbölték ki.

  CVE-azonosító

  CVE-2013-5190 : Yongjun Jeon (Centrify Corporation)

• Kijelzőzár

  Érintett terület: A „Kijelzőzár” parancs nem lépett azonnal érvénybe.

  Leírás: A Kulcskarika állapota menüsávban a „Kijelzőzár” parancs addig nem lépett érvénybe, amíg a „Jelszó kérése az alvás után vagy a képernyővédő indulásakor [időtartam]” beállításban megadott időtartam le nem telt.

  CVE-azonosító

  CVE-2013-5187 : Michael Kisor (OrganicOrb.com), Christian Knappskog (NTNU – Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

• Kijelzőzár

  Érintett terület: A hibernált Mac ébresztéskor nem kért jelszót az Automatikus bejelentkezés funkció használatakor.

  Leírás: A hibernált Mac az Automatikus bejelentkezés engedélyezése esetén a hibernálásból való ébresztéskor nem kért jelszót. A zárkezelés javítása révén küszöbölték ki problémát.

  CVE-azonosító

  CVE-2013-5188 : Levi Musters

• Képernyő-megosztási szerver

  Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.

  Leírás: Formázó karakterlánccal kapcsolatos biztonsági rés lépett fel a VNC-felhasználónév Képernyő-megosztási szerver általi kezelésekor.

  CVE-azonosító

  CVE-2013-5135 : SilentSignal (iDefense VCP)

• syslog

  Érintett terület: A vendégfelhasználók meg tudták tekinteni az előző vendégek naplóüzeneteit.

  Leírás: A konzolnapló látható volt a vendég számára, amely az előző vendégfelhasználó munkamenetéből származó üzeneteket tartalmazta. Azzal küszöbölték ki a problémát, hogy a vendégfelhasználók konzolnaplóját kizárólag a rendszergazdák számára tették láthatóvá.

  CVE-azonosító

  CVE-2013-5191 : Sven-S. Porst (earthlingsoft)

• USB

  Érintett terület: A rosszindulatú helyi alkalmazások váratlan rendszerleállást tudtak kiváltani.

  Leírás: Az USB-elosztó vezérlője nem ellenőrizte a kérések portját és portszámát. A portok és portszámok kiegészítő ellenőrzésével hárul el a probléma.

  CVE-azonosító

  CVE-2013-5192 : Stefano Bianchi Mazzone, Mattia Pagnozzi és Aristide Fattori (Computer and Network Security Lab (LaSER), Università degli Studi di Milano)

Megjegyzés: Az OS X Mavericks tartalmazza a Safari 7.0 alkalmazást, amelynek részét képezi a Safari 6.1 biztonsági tartalma. További információkért olvassa el „A Safari 6.1 biztonsági tartalma” című cikket a következő címen: http://support.apple.com/kb/HT6000?viewlocale=hu_HU.