Over de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002 beschreven, die kan worden gedownload en geïnstalleerd via de voorkeuren voor Software-update of vanaf de pagina Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
 

OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002

Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleegt u Over de beveiligingsinhoud van Safari 6.0.5.

  • CFNetwork

    Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een aanvaller met toegang tot de sessie van een gebruiker kan inloggen bij eerder geopende websites, zelfs als de Privémodus is gebruikt

    Beschrijving: na het stoppen van Safari zijn permanente cookies bewaard, zelfs als de Privémodus is gebruikt. Dit probleem wordt verholpen door een verbeterde verwerking van cookies.

    CVE-ID

    CVE-2013-0982: Alexander Traud van www.traud.de

  • CoreAnimation

    Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem opgetreden met een onbegrensde stacktoewijzing bij de verwerking van schrifttekens. Dit kan worden geactiveerd door kwaadwillig vervaardigde URL’s in Safari. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0983: David Fifield van Stanford University, Ben Syverson

  • CoreMedia afspelen

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.

    CVE-ID

    CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation

  • CUPS

    Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden

    Beschrijving: er was een probleem met geëscaleerde bevoegdheden bij de verwerking van CUPS-configuratie via de CUPS-webinterface. Een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden. Dit probleem wordt verholpen door bepaalde configuratie-instructies te verplaatsen naar cups-files.conf dat niet vanaf de CUPS-webinterface kan worden gewijzigd.

    CVE-ID

    CVE-2012-5519

  • Adreslijstvoorziening

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: een externe aanvaller kan willekeurige code uitvoeren met systeembevoegdheden op systemen waarbij Directory Service is ingeschakeld

    Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver wordt afgesloten of willekeurige code uitvoert met systeembevoegdheden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou van Core Security

  • Schijfbeheer

    Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een lokale gebruiker kan FileVault uitschakelen

    Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen met de commandoregel. Dit probleem wordt verholpen door een extra authenticatie toe te voegen.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er waren gekende aanvallen op de betrouwbaarheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem wordt verholpen door de compressie in OpenSSL uit te schakelen.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo en Thai Duong

  • OpenSSL

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen, wat kan leiden tot het weigeren van service of het vrijgeven van een private sleutel. U vindt meer informatie via de website van OpenSSL op http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

    Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverflow bij de afhandeling van PICT-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverflow bij de verwerking van ‘enof’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0987: roob in samenwerking met iDefense VCP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverflow bij de verwerking van FPX-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: het afspelen van een kwaadwillig vervaardigd mp3-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverflow bij de verwerking van mp3-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP

  • Ruby

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: meerdere kwetsbaarheden in Ruby on Rails

    Beschrijving: er waren meerdere kwetsbaarheden in Ruby on Rails waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code bij systemen waarop Ruby on Rails-programma’s worden uitgevoerd. Deze problemen worden verholpen door Ruby on Rails bij te werken naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion of OS X Mountain Lion waarop de upgrade vanaf Mac OS X 10.6.8 of lager is uitgevoerd. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

    Impact: een geauthenticeerde gebruiker kan bestanden buiten de gedeelde directory mogelijk beschrijven

    Beschrijving: als SMB-bestandsdeling is ingeschakeld, kan een geauthenticeerde gebruiker bestanden buiten de gedeelde directory mogelijk beschrijven. Dit probleem wordt verholpen door een verbeterde toegangscontrole.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-programma’s (m.a.w. JNLP) die vanaf het internet zijn gedownload, worden ondertekend met een certificaat van de Developer ID. Gatekeeper controleert of gedownloade Java Web Start-programma’s zijn ondertekend en blokkeert dergelijke programma’s die niet naar behoren zijn ondertekend zodat deze niet kunnen worden geopend.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: