Over de beveiligingsinhoud van OS X Mavericks v10.9

In dit document wordt de beveiligingsinhoud van OS X Mavericks v10.9 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Mavericks v10.9

  • Programma-firewall

    Impact: socketfilterfw --blockApp blokkeert mogelijk geen programma’s van ontvangen netwerkverbindingen

    Beschrijving: de optie --blockApp van de commandoregeltool socketfilterfw blokkeerde programma’s van ontvangen netwerkverbindingen niet naar behoren. Dit probleem is verholpen door een verbeterde verwerking van --blockApp-opties.

    CVE-ID

    CVE-2013-5165: Alexander Frangis van PopCap Games

  • Het programma Sandbox

    Impact: het programma Sandbox wordt mogelijk genegeerd

    Beschrijving: de interface LaunchServices voor het starten van een programma stond toe dat programma’s in de sandbox de lijst met argumenten, gegeven aan het nieuwe proces, specificeerde. Een aangepast programma in de sandbox kan dit misbruiken om de sandbox te negeren. Dit probleem is verholpen door programma’s in de sandbox niet meer toe te staan om argumenten te specificeren.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter van The Soulmen GbR

  • Bluetooth

    Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem

    Beschrijving: de Bluetooth USB Host Controller heeft interfaces verwijderd die voor latere bewerkingen nodig zijn. Dit probleem is verholpen door de interface te behouden totdat deze niet meer nodig is.

    CVE-ID

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi en Aristide Fattori van Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Impact: sessiecookies blijven zelfs na het opnieuw instellen van Safari behouden

    Beschrijving: het opnieuw instellen van Safari verwijderde niet altijd de sessiecookies totdat Safari werd gestopt. Dit probleem is verholpen door een verbeterde verwerking van sessiecookies.

    CVE-ID

    CVE-2013-5167: Graham Bennett, Rob Ansaldo van Amherst College

  • CFNetwork SSL

    Impact: een aanvaller kon een deel van een SSL-verbinding decoderen

    Beschrijving: alleen de SSLv3- en TLS 1.0-versies van SSL zijn gebruikt. Deze versies zijn onderhevig aan zwakheden in het protocol bij het gebruik van blokcodes. Een ‘man-in-the-middle’-aanvaller kon ongeldige gegevens hebben ingevoegd, waardoor de verbinding zou worden gesloten en informatie over de vorige gegevens zou worden weergegeven. Als herhaaldelijk is geprobeerd om dezelfde verbinding tot stand te brengen, heeft de aanvaller mogelijk een deel van de verzonden gegevens, zoals een wachtwoord, gedecodeerd. Dit probleem is verholpen door TLS 1.2 in te schakelen.

    CVE-ID

    CVE-2011-3389

  • Console

    Impact: klikken op een kwaadaardige vermelding in het log kan leiden tot het onverwacht uitvoeren van het programma

    Beschrijving: deze update heeft de werking van Console veranderd wanneer op een vermelding in het log met een bijgevoegde URL wordt geklikt. In plaats van de URL te openen, geeft Console nu een voorvertoning van de URL in Snelle weergave.

    CVE-ID

    CVE-2013-5168: Aaron Sigel van vtty.com

  • CoreGraphics

    Impact: mogelijk zijn op het toegangsscherm vensters zichtbaar nadat het beeldscherm in sluimerstand is gegaan

    Beschrijving: er was een logisch probleem bij de verwerking van de sluimerstand van het beeldscherm door CoreGraphics. Dit leidde tot gegevensbeschadiging wat kon resulteren in de weergave van vensters op het toegangsscherm. Dit probleem is verholpen door een verbeterde verwerking van de sluimerstand van het beeldscherm.

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferonderloop bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-5170: Will Dormann van de CERT/CC

  • CoreGraphics

    Impact: een onbevoegd programma kan toetsaanslagen in andere programma’s registeren, zelfs wanneer de veilige invoermodus is ingeschakeld

    Beschrijving: door de registratie voor een activiteit met een sneltoets kon een onbevoegd programma toetsaanslagen in andere programma’s registreren, zelfs wanneer de veilige invoermodus was ingeschakeld. Dit probleem is verholpen door een extra validatie van activiteiten met sneltoetsen.

    CVE-ID

    CVE-2013-5171

  • curl

    Impact: meerdere kwetsbaarheden in curl

    Beschrijving: er waren meerdere kwetsbaarheden in curl waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen zijn verholpen door curl bij te werken naar versie 7.30.0

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Impact: een aanvaller, die willekeurige code uitvoert op een apparaat, kan de uitvoering van code forceren door het apparaat opnieuw op te starten

    Beschrijving: er waren meerdere bufferoverlopen bij de functie openSharedCacheFile() van dyld. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem

    Beschrijving: er was een null pointer-dereferentie in IOCatalogue. Dit probleem is verholpen door een verbeterde typcontrole.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • Kernel

    Impact: het gebruik van SHA-2-verwerkingsfuncties in de kernel kan ervoor zorgen dat het systeem onverwacht wordt beëindigd

    Beschrijving: een onjuiste uitvoerlengte werd gebruikt voor de SHA-2-familie van diverse functies, waardoor een kernel panic werd veroorzaakt wanneer deze functies werden gebruikt, in het bijzonder tijdens IPSec-verbindingen. Dit probleem is verholpen door het gebruik van de verwachte uitvoerlengte.

    CVE-ID

    CVE-2013-5172: Christoph Nadig van Lobotomo Software

  • Kernel

    Impact: kernelstapelgeheugen kan worden vrijgegeven aan lokale gebruikers

    Beschrijving: er was een probleem met de vrijgave van informatie bij de msgctl en segctl APIs. Dit probleem is verholpen door de initialisatie van gegevensstructuren die worden geretourneerd door de kernel.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse van Kenx Technology, Inc

  • Kernel

    Impact: een lokale gebruiker kan ervoor zorgen dat de service wordt geweigerd

    Beschrijving: de generator van willekeurige cijfers in de kernel blijft vergrendeld terwijl deze bezig is met een verzoek van een gebruiker. Hierdoor kan een lokale gebruiker een groot verzoek versturen om de vergrendeling zo gedurende lange tijd te behouden. Dit kan dan resulteren in een weigering van service aan andere gebruikers van de generator van willekeurige cijfers. Dit probleem is verholpen door de vergrendeling vaker op te heffen en opnieuw in te stellen voor grote verzoeken.

    CVE-ID

    CVE-2013-5173: Jaakko Pero van Aalto University

  • Kernel

    Impact: een lokale gebruiker zonder bevoegdheden kan zorgen voor het onverwacht beëindigen van het systeem

    Beschrijving: er was een probleem met het teken van gehele getallen bij de verwerking van tty-afleeswaarden. Dit probleem is verholpen door middel van een verbeterde verwerking van tty-afleeswaarden.

    CVE-ID

    CVE-2013-5174: CESG

  • Kernel

    Impact: een lokale gebruiker kan zorgen voor het vrijgeven van gegevens in het kernelgeheugen of het onverwacht beëindigen van het systeem

    Beschrijving: er was een probleem met het lezen buiten het bereik bij de verwerking van Mach-O-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-5175

  • Kernel

    Impact: een lokale gebruiker kan ervoor zorgen dat het systeem blokkeert

    Beschrijving: er was een probleem met de afkapping van gehele getallen bij de verwerking van tty-apparaten. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-5176: CESG

  • Kernel

    Impact: een lokale gebruiker kan ervoor zorgen dat het systeem onverwacht wordt beëindigd

    Beschrijving: een kernel panic vond plaats bij de detectie van een ongeldige iovec-structuur die door een gebruiker was opgegeven. Dit probleem is verholpen door een verbeterde validatie van iovec-structuren.

    CVE-ID

    CVE-2013-5177: CESG

  • Kernel

    Impact: onbevoegde processen kunnen zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van argumenten bij de posix_spawn API. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kernel

    Impact: een bronspecifiek multicastprogramma kan ervoor zorgen dat het systeem onverwacht wordt beëindigd bij het gebruik van een Wi-Fi-netwerk

    Beschrijving: er was een probleem met het controleren van fouten bij de verwerking van een multicastpakket. Dit probleem is verholpen door een verbeterde verwerking van multicastpakketten.

    CVE-ID

    CVE-2013-5184: Octoshape

  • Kernel

    Impact: een aanvaller in een lokaal netwerk kan een weigering van service veroorzaken

    Beschrijving: een aanvaller in een lokaal netwerk kan speciaal gemaakte IPv6 ICMP-pakketten verzenden en voor een hoge CPU-belasting zorgen. Het probleem is verholpen door de oplegging van een limiet voor ICMP-pakketten voordat de controlesom wordt gecontroleerd.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Impact: een kwaadaardig lokaal programma kan ervoor zorgen dat het systeem blokkeert

    Beschrijving: er was een probleem met de afkapping van gehele getallen in de kernelsocketinterface dat kan worden gebruikt om de CPU in een oneindige loop te forceren. Het probleem is verholpen door een grotere variabele te gebruiken.

    CVE-ID

    CVE-2013-5141: CESG

  • Kext-beheer

    Impact: een onbevoegd proces kan sommige geladen kernelextensies uitschakelen

    Beschrijving: er was een probleem met de verwerking van IPC-berichten van niet-geïdentificeerde zenders in het kext-beheer. Dit probleem is verholpen door extra identiteitscontroles toe te voegen.

    CVE-ID

    CVE-2013-5145: ‘Rainbow PRISM’

  • LaunchServices

    Impact: een bestand kan de verkeerde extensie tonen.

    Beschrijving: er was een probleem bij de verwerking van bepaalde Unicode-tekens waardoor bestandsnamen onjuiste extensies toonden. Het probleem is verholpen door de filtering van onveilige Unicode-tekens voor de weergave van bestandsnamen.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman van Mozilla Corporation, Stephane Sudre van Intego

  • Libc

    Impact: onder ongewone omstandigheden zijn sommige willekeurige nummers voorspelbaar

    Beschrijving: als de generator voor willekeurige nummers in de kernel niet toegankelijk was bij srandomdev(), viel de functie terug op een alternatieve methode die door optimalisatie was verwijderd, waardoor minder willekeurigheid het resultaat was. Dit probleem is verholpen door de code aan te passen om juist te zijn onder optimalisatie.

    CVE-ID

    CVE-2013-5180: Xi Wang

  • Mail-accounts

    Impact: Mail kiest mogelijk niet de veiligste beschikbare methode voor de identiteitscontrole

    Beschrijving: wanneer een e-mailaccount automatisch wordt geconfigureerd op bepaalde e-mailservers, kiest het programma Mail de identiteitscontrole in platte tekst in plaats van CRAM-MD5. Dit probleem is verholpen door een verbeterde verwerking van logische problemen.

    CVE-ID

    CVE-2013-5181

  • Weergave van koptekst in Mail

    Impact: een niet-ondertekend bericht kan verschijnen als geldig ondertekend

    Beschrijving: er was een logisch probleem bij de verwerking van niet-ondertekende berichten in Mail die toch meerdere onderdelen/een ondertekend onderdeel hadden. Het probleem is verholpen door een verbeterde verwerking van niet-ondertekende berichten.

     

    CVE-ID

    CVE-2013-5182: Michael Roitzsch van Technische Universität Dresden

  • Mail-netwerken

    Impact: informatie kan even in platte tekst worden overgezet wanneer TLS-codering niet is geconfigureerd

    Beschrijving: wanneer Kerberos-identiteitscontrole was ingeschakeld en Transport Layer Security uitgeschakeld, verstuurde Mail sommige niet-gecodeerde gegevens naar de e-mailserver, wat resulteerde in een onverwachte beëindiging van de verbinding. Het probleem is verholpen door een verbeterde verwerking van deze configuratie.

    CVE-ID

    CVE-2013-5183: Richard E. Silverman van www.qoxp.net

  • OpenLDAP

    Impact: de commandoregel ldapsearch voldoet niet aan de minssf-configuratie

    Beschrijving: de commandoregel ldapsearch voldoet niet aan de minssf-configuratie, wat ertoe kan leiden dat een zwakke codering onverwacht is toegestaan. Dit probleem is verholpen door een verbeterde verwerking van de minssf-configuratie.

    CVE-ID

    CVE-2013-5185

  • perl

    Impact: Perl-scripts zijn mogelijk kwetsbaar voor het weigeren van service.

    Beschrijving: het rehash-mechanisme in verouderde versies van Perl is mogelijk kwetsbaar voor weigering van service in scripts die onbetrouwbare invoer als hash-tekens gebruiken. Het probleem is verholpen door bij te werken naar Perl 5.16.2.

    CVE-ID

    CVE-2013-1667

  • Power Management

    Impact: de schermvergrendeling wordt mogelijk na de opgegeven tijd niet geactiveerd

    Beschrijving: een was een probleem met de vergrendeling in Power Management. Het probleem is verholpen door een verbeterde verwerking van de vergrendeling.

    CVE-ID

    CVE-2013-5186: David Herman van Sensible DB Design

  • python

    Impact: meerdere kwetsbaarheden in python 2.7

    Beschrijving: er waren meerdere kwetsbaarheden in python 2.7 waarvan de ernstigste kunnen leiden tot de decodering van de inhoud van een SSL-verbinding. Deze update verhelpt de problemen door python bij te werken naar versie 2.7.5. Meer informatie is beschikbaar via de python-site op http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Impact: meerdere kwetsbaarheden in python 2.6

    Beschrijving: er waren meerdere kwetsbaarheden in python 2.6.7 waarvan de ernstigste kunnen leiden tot de decodering van de inhoud van een SSL-verbinding. Deze update verhelpt de problemen door python bij te werken naar versie 2.6.8 en de patch voor CVE-2011-4944 van het Python-project toe te passen. Meer informatie is beschikbaar via de python-site op http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

    Beschrijving: er was een probleem met de validatie van de hostnaam bij de verwerking van SSL-certificaten door Ruby. Dit probleem is verholpen door Ruby bij te werken naar versie 2.0.0p247.

    CVE-ID

    CVE-2013-4073

  • Beveiliging

    Impact: ondersteuning voor X.509-certificaten met MD5-hashes kan gebruikers blootstellen aan vervalsing en bekendmaking van gegevens naarmate de aanvallen verbeteren

    Beschrijving: certificaten die zijn ondertekend met het MD5-hash-algoritme werden door OS X geaccepteerd. Dit algoritme bevat bekende cryptografische zwakheden. Verder onderzoek of een verkeerd geconfigureerde certificaatautoriteit kon het aanmaken van X.509-certificaten met door de aanvaller gecontroleerde waarden hebben toegestaan die het systeem zou hebben vertrouwd. Dit zou de X.509-protocollen hebben blootgesteld aan vervalsing, ‘man-in-the-middle’-aanvallen en vrijgave van gegevens. Deze update schakelt de ondersteuning voor een X.509-certificaat met een MD5-hash uit voor elk ander gebruik dan een vertrouwd rootcertificaat.

    CVE-ID

    CVE-2011-3427

  • Beveiliging - Identiteitscontrole

    Impact: de beveiligingsvoorkeuren van een beheerder worden mogelijk niet gerespecteerd

    Beschrijving: met de instelling ‘Beheerderswachtwoord vereist voor toegang tot systeemvoorkeuren met hangslotsymbool’ kunnen beheerders vertrouwelijke systeeminstellingen extra beveiligen. Als een beheerder deze instelling heeft ingeschakeld, kan bij het installeren van een software-update of -upgrade deze instelling soms worden uitgeschakeld. Dit probleem is verholpen door een verbeterde verwerking van beheerdersrechten.

    CVE-ID

    CVE-2013-5189: Greg Onufer

  • Beveiliging - Smart Card-voorzieningen

    Impact: Smart Card-voorzieningen zijn mogelijk niet beschikbaar wanneer de controle op intrekking van certificaten is ingeschakeld

    Beschrijving: er was een logisch probleem bij de verwerking van de controle op ingetrokken Smart Card-certificaten door OS X. Het probleem is verholpen door middel van een betere ondersteuning voor de intrekking van certificaten.

    CVE-ID

    CVE-2013-5190: Yongjun Jeon van Centrify Corporation

  • Schermvergrendeling

    Impact: het commando ‘Vergrendel scherm’ gaat mogelijk niet onmiddellijk van kracht

    Beschrijving: het commando ‘Vergrendel scherm’ in het onderdeel Sleutelhangerstatus in de menubalk ging niet van kracht totdat de instelling ‘Vraag om wachtwoord [tijd] na sluimerstand of schermbeveiliging’ verliep.

    CVE-ID

    CVE-2013-5187: Michael Kisor van OrganicOrb.com, Christian Knappskog van NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Schermvergrendeling

    Impact: een Mac in de sluimerstand waarbij automatisch inloggen is ingeschakeld, vereist mogelijk geen wachtwoord om uit de sluimerstand te worden gehaald

    Beschrijving: een Mac in de sluimerstand en waarbij automatisch inloggen is ingeschakeld, vraagt mogelijk geen wachtwoord om uit de sluimerstand te worden gehaald. Dit probleem is verholpen door een verbeterde verwerking van de vergrendeling.

    CVE-ID

    CVE-2013-5188: Levi Musters

  • Server voor schermdeling

    Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een kwetsbaarheid in een structuurtekenreeks bij de verwerking van de VNC-gebruikersnaam door de server voor schermdeling.

    CVE-ID

    CVE-2013-5135: SilentSignal in samenwerking met iDefense VCP

  • syslog

    Impact: een gastgebruiker kan mogelijk logberichten van een vorige gastgebruiker zien

    Beschrijving: het Console-logbestand was zichtbaar voor de gastgebruiker en bevatte berichten van sessies van de vorige gastgebruiker. Dit probleem is verholpen door het Console-logbestand voor gastgebruikers alleen maar voor beheerders zichtbaar te maken.

    CVE-ID

    CVE-2013-5191: Sven-S. Porst van earthlingsoft

  • USB

    Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem

    Beschrijving: de USB-hub controller heeft de poort en het poortnummer van verzoeken niet gecontroleerd. Het probleem is verholpen door de controle van de poort en het poortnummer toe te voegen.

    CVE-ID

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi en Aristide Fattori van Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Opmerking: OS X Mavericks bevat Safari 7.0 waarin de beveiligingsinhoud van Safari 6.1 is opgenomen. Voor meer informatie raadpleegt u ‘Over de beveiligingsinhoud van Safari 6.1’ op http://support.apple.com/kb/HT6000?viewlocale=nl_NL.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: