Over de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002
In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002 beschreven die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002
Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleeg je Over de beveiligingsinhoud van Safari 6.0.5.
CFNetwork
Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3
Impact: een aanvaller met toegang tot de sessie van een gebruiker kan mogelijk inloggen op eerder bezochte sites, zelfs als de privémodus is gebruikt.
Beschrijving: permanente cookies zijn opgeslagen na het afsluiten van Safari, zelfs toen de privémodus was ingeschakeld. Dit probleem is verholpen door verbeterde verwerking van cookies.
CVE-ID
CVE-2013-0982: Alexander Traud van www.traud.de
CoreAnimation
Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3
Impact: het openen van een kwaadwillige site kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met onbeperkte stacktoewijzing bij de verwerking van tekstschrifttekens. Dit kan worden veroorzaakt door kwaadaardig ontworpen URL's in Safari. Dit probleem wordt verholpen door verbeterde bereikcontrole.
CVE-ID
CVE-2013-0983: David Fifield van Stanford University, Ben Syverson
CoreMedia Playback
Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.
CVE-ID
CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation
CUPS
Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3
Impact: een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten
Beschrijving: er was een probleem met escalatie van bevoegdheden in de verwerking van CUPS-configuratie via de CUPS webinterface. Een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten. Dit probleem is opgelost door bepaalde configuratierichtlijnen te verplaatsen naar cups-files.conf, dat niet gewijzigd kan worden vanuit de CUPS-webinterface.
CVE-ID
CVE-2012-5519
Directory Service
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: een externe aanvaller kan willekeurige code uitvoeren met systeemrechten op systemen waarop Directory Service is ingeschakeld
Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de directory server. Via het verzenden van een kwaadaardig vervaardigd bericht kon een externe aanvaller de directoryserver laten afsluiten of willekeurige code uitvoeren met systeemrechten. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.
CVE-ID
CVE-2013-0984: Nicolas Economou van Core Security
Disk Management
Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3
Impact: een lokale gebruiker kan FileVault uitschakelen
Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen via de opdrachtregel. Dit probleem is verholpen door het toevoegen van extra verificatie.
CVE-ID
CVE-2013-0985
OpenSSL
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: een aanvaller kan mogelijk gegevens ontsleutelen die beschermd zijn middels SSL
Beschrijving: er waren aanvallen bekend op de vertrouwelijkheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem is verholpen door compressie in OpenSSL uit te schakelen.
CVE-ID
CVE-2012-4929: Juliano Rizzo en Thai Duong
OpenSSL
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: meerdere kwetsbaarheden in OpenSSL
Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen die kunnen leiden tot denial of service of openbaarmaking van een privésleutel. Meer informatie is beschikbaar via de OpenSS-website op http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.2
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er trad een bufferoverloop op bij de verwerking van PICT-afbeeldingen. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een bufferoverloop bij de verwerking van 'enof'-atomen. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0986: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0987: roob in samenwerking met iDefense VCP
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een bufferoverloop bij de verwerking van FPX-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP
QuickTime
Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3
Impact: het afspelen van een kwaadwillig vervaardigd MP3-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code
Beschrijving: er was sprake van een bufferoverloop bij de verwerking van MP3-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP
Ruby
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: meerdere kwetsbaarheden in Ruby on Rails
Beschrijving: er was sprake van verschillende kwetsbaarheden in Ruby on Rails, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code in systemen waarop Ruby on Rails-toepassingen worden uitgevoerd. Deze problemen zijn opgelost door het bijwerken van Ruby on Rails naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion- of OS X Mountain Lion die zijn geüpgraded van Mac OS X 10.6.8 of ouder. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3
Impact: een geverifieerde gebruiker kan mogelijk schrijven naar bestanden buiten de gedeelde map
Beschrijving: als SMB-bestanden delen is ingeschakeld, kan een geverifieerde gebruiker mogelijk bestanden buiten de gedeelde map schrijven. Dit probleem is verholpen door middel van verbeterde toegangscontrole.
CVE-ID
CVE-2013-0990: Ward van Wanrooij
Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-toepassingen (d.w.z., JNLP-bestanden) die van internet worden gedownload, worden ondertekend met een Developer ID-certificaat. Gatekeeper controleert of gedownloade Java Web Start-toepassingen een geldige handtekening bevatten en blokkeert het starten van dergelijke toepassingen als ze niet correct ondertekend zijn.
Het hulpprogramma voor codesign kan worden gebruikt om het JNLP-bestand te ondertekenen, waardoor de codehandtekening als uitgebreide kenmerken aan het JNLP-bestand wordt toegevoegd. Verpak het JNLP-bestand in een ZIP-, XIP- of DMG-bestand om deze kenmerken te behouden. Wees voorzichtig met het gebruik van de ZIP-indeling, omdat sommige hulpprogramma's van derden de vereiste uitgebreide kenmerken mogelijk niet correct vastleggen.
Ga voor meer informatie naar Technical Note TN2206: OS X Code Signing In Depth.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.