Over de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002 beschreven die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002

Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleeg je Over de beveiligingsinhoud van Safari 6.0.5.

  • CFNetwork

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

    Impact: een aanvaller met toegang tot de sessie van een gebruiker kan mogelijk inloggen op eerder bezochte sites, zelfs als de privémodus is gebruikt.

    Beschrijving: permanente cookies zijn opgeslagen na het afsluiten van Safari, zelfs toen de privémodus was ingeschakeld. Dit probleem is verholpen door verbeterde verwerking van cookies.

    CVE-ID

    CVE-2013-0982: Alexander Traud van www.traud.de

  • CoreAnimation

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het openen van een kwaadwillige site kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met onbeperkte stacktoewijzing bij de verwerking van tekstschrifttekens. Dit kan worden veroorzaakt door kwaadaardig ontworpen URL's in Safari. Dit probleem wordt verholpen door verbeterde bereikcontrole.

    CVE-ID

    CVE-2013-0983: David Fifield van Stanford University, Ben Syverson

  • CoreMedia Playback

    Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.

    CVE-ID

    CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation

  • CUPS

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

    Impact: een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten

    Beschrijving: er was een probleem met escalatie van bevoegdheden in de verwerking van CUPS-configuratie via de CUPS webinterface. Een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten. Dit probleem is opgelost door bepaalde configuratierichtlijnen te verplaatsen naar cups-files.conf, dat niet gewijzigd kan worden vanuit de CUPS-webinterface.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: een externe aanvaller kan willekeurige code uitvoeren met systeemrechten op systemen waarop Directory Service is ingeschakeld

    Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de directory server. Via het verzenden van een kwaadaardig vervaardigd bericht kon een externe aanvaller de directoryserver laten afsluiten of willekeurige code uitvoeren met systeemrechten. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou van Core Security

  • Disk Management

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

    Impact: een lokale gebruiker kan FileVault uitschakelen

    Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen via de opdrachtregel. Dit probleem is verholpen door het toevoegen van extra verificatie.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: een aanvaller kan mogelijk gegevens ontsleutelen die beschermd zijn middels SSL

    Beschrijving: er waren aanvallen bekend op de vertrouwelijkheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem is verholpen door compressie in OpenSSL uit te schakelen.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo en Thai Duong

  • OpenSSL

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen die kunnen leiden tot denial of service of openbaarmaking van een privésleutel. Meer informatie is beschikbaar via de OpenSS-website op http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.2

    Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er trad een bufferoverloop op bij de verwerking van PICT-afbeeldingen. Dit probleem is verholpen door een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van 'enof'-atomen. Dit probleem is verholpen door een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0987: roob in samenwerking met iDefense VCP

  • QuickTime

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van FPX-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

    Impact: het afspelen van een kwaadwillig vervaardigd MP3-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van MP3-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP

  • Ruby

    Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Impact: meerdere kwetsbaarheden in Ruby on Rails

    Beschrijving: er was sprake van verschillende kwetsbaarheden in Ruby on Rails, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code in systemen waarop Ruby on Rails-toepassingen worden uitgevoerd. Deze problemen zijn opgelost door het bijwerken van Ruby on Rails naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion- of OS X Mountain Lion die zijn geüpgraded van Mac OS X 10.6.8 of ouder. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

    Impact: een geverifieerde gebruiker kan mogelijk schrijven naar bestanden buiten de gedeelde map

    Beschrijving: als SMB-bestanden delen is ingeschakeld, kan een geverifieerde gebruiker mogelijk bestanden buiten de gedeelde map schrijven. Dit probleem is verholpen door middel van verbeterde toegangscontrole.

    CVE-ID

    CVE-2013-0990: Ward van Wanrooij

  • Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-toepassingen (d.w.z., JNLP-bestanden) die van internet worden gedownload, worden ondertekend met een Developer ID-certificaat. Gatekeeper controleert of gedownloade Java Web Start-toepassingen een geldige handtekening bevatten en blokkeert het starten van dergelijke toepassingen als ze niet correct ondertekend zijn.

    Het hulpprogramma voor codesign kan worden gebruikt om het JNLP-bestand te ondertekenen, waardoor de codehandtekening als uitgebreide kenmerken aan het JNLP-bestand wordt toegevoegd. Verpak het JNLP-bestand in een ZIP-, XIP- of DMG-bestand om deze kenmerken te behouden. Wees voorzichtig met het gebruik van de ZIP-indeling, omdat sommige hulpprogramma's van derden de vereiste uitgebreide kenmerken mogelijk niet correct vastleggen.

    Ga voor meer informatie naar Technical Note TN2206: OS X Code Signing In Depth.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: