Over de beveiligingsinhoud van OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001
In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001 beschreven.
OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001 kunnen worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
Opmerking: OS X Mountain Lion v10.8.3 bevat de inhoud van Safari 6.0.3. Voor meer informatie raadpleeg je Over de beveiligingsinhoud van Safari 6.0.3.
OS X Mountain Lion v10.8.3 en Beveiligingsupdate 2013-001
Apache
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een aanvaller heeft mogelijk toegang tot directories die zijn beveiligd met een identiteitscontrole via HTTP zonder de juiste inloggegevens te kennen
Beschrijving: er was een canonicalisatieprobleem bij de verwerking van URI's met negeerbare Unicode-tekenreeksen. Dit probleem is verholpen door mod_hfs_apple zo bij te werken dat de toegang tot URI's met negeerbare Unicode-tekenreeksen verboden is.
CVE-ID
CVE-2013-0966: Clint Ruoho van Laconic Security
CoreTypes
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een bezoek aan een kwaadwillig vervaardigde website kan ervoor zorgen dat een Java Web Start-programma automatisch wordt gestart zelfs als de Java-plugin is uitgeschakeld
Beschrijving: Java Web Start-programma's worden gestart zelfs als de Java-plugin is uitgeschakeld. Dit probleem is verholpen door JNLP-bestanden te verwijderen uit de lijst met veilige bestandstypen van CoreTypes zodat het Web Start-programma niet wordt gestart tenzij de gebruiker het opent in de map Downloads.
CVE-ID
CVE-2013-0967
ICU
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een cross-site scripting-aanval
Beschrijving: er was een canonicalisatieprobleem bij de verwerking van de EUC-JP-codering, wat kan leiden tot een cross-site scripting-aanval op websites met EUC-JP-codering. Dit probleem is verholpen door de EUC-JP-toewijzingstabel bij te werken.
CVE-ID
CVE-2011-3058: Masato Kinugawa
Identiteitsvoorzieningen
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een identiteitscontrole die steunt op de identiteitscontrole van een Apple ID op basis van een certificaat, wordt mogelijk genegeerd
Beschrijving: er was een probleem met een foutieve afhandeling in Identiteitsvoorzieningen. Als het certificaat van de Apple ID van de gebruiker niet was gevalideerd, werd de Apple ID van de gebruiker beschouwd als de lege tekenreeks. Als deze status wordt aangenomen door meerdere systemen die behoren tot verschillende gebruikers, kunnen programma's die steunen op deze identiteitsbepaling mogelijk de identiteit ten onrechte vertrouwen. Dit probleem is verholpen door ervoor te zorgen dat NULL het resultaat is en niet een lege tekenreeks.
CVE-ID
CVE-2013-0963
ImageIO
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: het bekijken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van TIFF-bestanden door libtiff. Dit probleem is verholpen door een extra validatie van TIFF-afbeeldingen.
CVE-ID
CVE-2012-2088
IOAcceleratorFamily
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2
Impact: het bekijken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht uitzetten van het systeem of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van grafische gegevens. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0976: een anonieme onderzoeker
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2
Impact: kwaadwillig vervaardigde of aangetaste programma's kunnen adressen in de kernel bepalen
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API's gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.
CVE-ID
CVE-2012-3749: Mark Dowd van Azimuth Security, Eric Monti van Square en andere anonieme onderzoekers
Inlogvenster
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een aanvaller met toegang tot het toetsenbord kan de systeemconfiguratie wijzigen
Beschrijving: er was een logische fout bij de verwerking van het inlogvenster door VoiceOver waarbij een aanvaller met toegang tot het toetsenbord Systeemvoorkeuren kan starten en de systeemconfiguratie kan wijzigen. Dit probleem is verholpen door te vermijden dat VoiceOver programma's kan starten in het inlogvenster.
CVE-ID
CVE-2013-0969: Eric A. Schulman van Purpletree Labs
Berichten
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.2
Impact: klikken op een koppeling in Berichten kan een FaceTime-oproep starten zonder dat dit wordt gevraagd
Beschrijving: door te klikken op een specifieke FaceTime://-URL in Berichten, kan de standaard bevestigingsprompt worden overgeslagen. Dit probleem is verholpen door een extra validatie van FaceTime://-URL's.
CVE-ID
CVE-2013-0970: Aaron Sigel van vtty.com
Server voor Berichten
Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan federatieve Jabber-berichten omleiden
Beschrijving: er was een probleem met de verwerking van dialback-resultaatberichten op de Jabber-server. Een aanvaller kan ervoor zorgen dat de Jabber-server informatie vrijgeeft die bedoeld is voor gebruikers van federatieve servers. Dit probleem is verholpen door een verbeterde verwerking van dialback-resultaatberichten.
CVE-ID
CVE-2012-3525
PDFKit
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was 'use after free'-probleem bij de verwerking van handgeschreven annotaties in pdf-bestanden. Dit probleem is verholpen door een verbeterd geheugenbeer.
CVE-ID
CVE-2013-0971: Tobias Klein in samenwerking met het Zero Day Initiative van HP TippingPoint
Podcast Producer-server
Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Podcast Producer-server.
CVE-ID
CVE-2013-0156
Podcast Producer-server
Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van JSON-gegevens door Ruby on Rails. Dit probleem is verholpen door over te schakelen naar de JSONGem-back-end voor JSON-parsering in de Rails-implementatie die wordt gebruikt door Podcast Producer-server.
CVE-ID
CVE-2013-0333
PostgreSQL
Beschikbaar voor: Mac OS X Server 10.6.8, OS X Lion Server v10.7 t/m v10.7.5
Impact: meerdere kwetsbaarheden in PostgreSQL
Beschrijving: PostgreSQL is bijgewerkt naar versie 9.1.5 om meerdere kwetsbaarheden te verhelpen, waarvan de ernstigste ervoor kunnen zorgen dat gebruikers bestanden uit het bestandssysteem kunnen lezen met de bevoegdheden van de account van de databaseserverfunctie. Je vindt meer informatie op de website van PostgreSQL op http://www.postgresql.org/docs/9.1/static/release-9-1-5.html
CVE-ID
CVE-2012-3488
CVE-2012-3489
Profielbeheer
Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Profielbeheer.
CVE-ID
CVE-2013-0156
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van 'met'-vakken in mp4-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2012-3756: Kevin Szkudlapski van QuarksLab
Ruby
Beschikbaar voor: Mac OS X Server 10.6.8
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken als een Rails-programma wordt uitgevoerd
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door YAML en symbolen in XML-parameters in Rails uit te schakelen.
CVE-ID
CVE-2013-0156
Beveiliging
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen
Beschrijving: meerdere intermediaire CA-certificaten zijn onterecht uitgereikt door TURKTRUST. Zo kan een 'man-in-the-middle'-aanvaller verbindingen omleiden en inloggegevens of andere vertrouwelijke informatie van gebruikers onderscheppen. Dit probleem is verholpen door de onjuiste SSL-certificaten niet toe te staan.
Software-update
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: Software-update stond een man-in-the-middle-aanvaller toe om plugininhoud in te voegen in de marketingtekst van updates. Zo kan een kwetsbare plugin worden gebruikt of social engineering-aanvallen via plugins worden vereenvoudigd. Dit probleem is niet van invloed op systemen met OS X Mountain Lion. Dit probleem is verholpen door te voorkomen dat plugins worden geladen in de marketingtekst WebView van Software-update.
CVE-ID
CVE-2013-0973: Emilio Escobar
Wiki Server
Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van XML-parameters door Ruby on Rails. Dit probleem is verholpen door de uitschakeling van XML-parameters in de Rails-implementatie die wordt gebruikt door Wiki Server.
CVE-ID
CVE-2013-0156
Wiki Server
Beschikbaar voor: OS X Lion Server v10.7 t/m v10.7.5
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met de conversie van typen bij de verwerking van JSON-gegevens door Ruby on Rails. Dit probleem is verholpen door over te schakelen naar de JSONGem-back-end voor JSON-parsering in de Rails-implementatie die wordt gebruikt door Wiki Server.
CVE-ID
CVE-2013-0333
Malware verwijderen
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Beschrijving: deze update voert een hulpprogramma voor malwareverwijdering uit dat de meest voorkomende varianten van malware verwijdert. Als malware wordt aangetroffen, toont het hulpprogramma de gebruiker een bericht met de melding dat de malware is verwijderd. De gebruiker ziet geen bericht als er geen malware wordt aangetroffen.
FaceTime is niet in alle landen of regio's beschikbaar.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.