Over de beveiligingsinhoud van OS X Mavericks v10.9
In dit document wordt de beveiligingsinhoud van OS X Mavericks v10.9 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Mavericks v10.9
Programma-firewall
Impact: socketfilterfw --blockApp blokkeert mogelijk geen programma’s van ontvangen netwerkverbindingen
Beschrijving: de optie --blockApp van de commandoregeltool socketfilterfw blokkeerde programma’s van ontvangen netwerkverbindingen niet naar behoren. Dit probleem is verholpen door een verbeterde verwerking van --blockApp-opties.
CVE-ID
CVE-2013-5165: Alexander Frangis van PopCap Games
Het programma Sandbox
Impact: het programma Sandbox wordt mogelijk genegeerd
Beschrijving: de interface LaunchServices voor het starten van een programma stond toe dat programma’s in de sandbox de lijst met argumenten, gegeven aan het nieuwe proces, specificeerde. Een aangepast programma in de sandbox kan dit misbruiken om de sandbox te negeren. Dit probleem is verholpen door programma’s in de sandbox niet meer toe te staan om argumenten te specificeren.
CVE-ID
CVE-2013-5179: Friedrich Graeter van The Soulmen GbR
Bluetooth
Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem
Beschrijving: de Bluetooth USB Host Controller heeft interfaces verwijderd die voor latere bewerkingen nodig zijn. Dit probleem is verholpen door de interface te behouden totdat deze niet meer nodig is.
CVE-ID
CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi en Aristide Fattori van Computer and Network Security Lab (LaSER), Università degli Studi di Milano
CFNetwork
Impact: sessiecookies blijven zelfs na het opnieuw instellen van Safari behouden
Beschrijving: het opnieuw instellen van Safari verwijderde niet altijd de sessiecookies totdat Safari werd gestopt. Dit probleem is verholpen door een verbeterde verwerking van sessiecookies.
CVE-ID
CVE-2013-5167: Graham Bennett, Rob Ansaldo van Amherst College
CFNetwork SSL
Impact: een aanvaller kon een deel van een SSL-verbinding decoderen
Beschrijving: alleen de SSLv3- en TLS 1.0-versies van SSL zijn gebruikt. Deze versies zijn onderhevig aan zwakheden in het protocol bij het gebruik van blokcodes. Een ‘man-in-the-middle’-aanvaller kon ongeldige gegevens hebben ingevoegd, waardoor de verbinding zou worden gesloten en informatie over de vorige gegevens zou worden weergegeven. Als herhaaldelijk is geprobeerd om dezelfde verbinding tot stand te brengen, heeft de aanvaller mogelijk een deel van de verzonden gegevens, zoals een wachtwoord, gedecodeerd. Dit probleem is verholpen door TLS 1.2 in te schakelen.
CVE-ID
CVE-2011-3389
Console
Impact: klikken op een kwaadaardige vermelding in het log kan leiden tot het onverwacht uitvoeren van het programma
Beschrijving: deze update heeft de werking van Console veranderd wanneer op een vermelding in het log met een bijgevoegde URL wordt geklikt. In plaats van de URL te openen, geeft Console nu een voorvertoning van de URL in Snelle weergave.
CVE-ID
CVE-2013-5168: Aaron Sigel van vtty.com
CoreGraphics
Impact: mogelijk zijn op het toegangsscherm vensters zichtbaar nadat het beeldscherm in sluimerstand is gegaan
Beschrijving: er was een logisch probleem bij de verwerking van de sluimerstand van het beeldscherm door CoreGraphics. Dit leidde tot gegevensbeschadiging wat kon resulteren in de weergave van vensters op het toegangsscherm. Dit probleem is verholpen door een verbeterde verwerking van de sluimerstand van het beeldscherm.
CVE-ID
CVE-2013-5169
CoreGraphics
Impact: het bekijken van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferonderloop bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-5170: Will Dormann van de CERT/CC
CoreGraphics
Impact: een onbevoegd programma kan toetsaanslagen in andere programma’s registeren, zelfs wanneer de veilige invoermodus is ingeschakeld
Beschrijving: door de registratie voor een activiteit met een sneltoets kon een onbevoegd programma toetsaanslagen in andere programma’s registreren, zelfs wanneer de veilige invoermodus was ingeschakeld. Dit probleem is verholpen door een extra validatie van activiteiten met sneltoetsen.
CVE-ID
CVE-2013-5171
curl
Impact: meerdere kwetsbaarheden in curl
Beschrijving: er waren meerdere kwetsbaarheden in curl waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen zijn verholpen door curl bij te werken naar versie 7.30.0
CVE-ID
CVE-2013-0249
CVE-2013-1944
dyld
Impact: een aanvaller, die willekeurige code uitvoert op een apparaat, kan de uitvoering van code forceren door het apparaat opnieuw op te starten
Beschrijving: er waren meerdere bufferoverlopen bij de functie openSharedCacheFile() van dyld. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2013-3950: Stefan Esser
IOKitUser
Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem
Beschrijving: er was een null pointer-dereferentie in IOCatalogue. Dit probleem is verholpen door een verbeterde typcontrole.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-5139: @dent1zt
Kernel
Impact: het gebruik van SHA-2-verwerkingsfuncties in de kernel kan ervoor zorgen dat het systeem onverwacht wordt beëindigd
Beschrijving: een onjuiste uitvoerlengte werd gebruikt voor de SHA-2-familie van diverse functies, waardoor een kernel panic werd veroorzaakt wanneer deze functies werden gebruikt, in het bijzonder tijdens IPSec-verbindingen. Dit probleem is verholpen door het gebruik van de verwachte uitvoerlengte.
CVE-ID
CVE-2013-5172: Christoph Nadig van Lobotomo Software
Kernel
Impact: kernelstapelgeheugen kan worden vrijgegeven aan lokale gebruikers
Beschrijving: er was een probleem met de vrijgave van informatie bij de msgctl en segctl APIs. Dit probleem is verholpen door de initialisatie van gegevensstructuren die worden geretourneerd door de kernel.
CVE-ID
CVE-2013-5142: Kenzley Alphonse van Kenx Technology, Inc
Kernel
Impact: een lokale gebruiker kan ervoor zorgen dat de service wordt geweigerd
Beschrijving: de generator van willekeurige cijfers in de kernel blijft vergrendeld terwijl deze bezig is met een verzoek van een gebruiker. Hierdoor kan een lokale gebruiker een groot verzoek versturen om de vergrendeling zo gedurende lange tijd te behouden. Dit kan dan resulteren in een weigering van service aan andere gebruikers van de generator van willekeurige cijfers. Dit probleem is verholpen door de vergrendeling vaker op te heffen en opnieuw in te stellen voor grote verzoeken.
CVE-ID
CVE-2013-5173: Jaakko Pero van Aalto University
Kernel
Impact: een lokale gebruiker zonder bevoegdheden kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: er was een probleem met het teken van gehele getallen bij de verwerking van tty-afleeswaarden. Dit probleem is verholpen door middel van een verbeterde verwerking van tty-afleeswaarden.
CVE-ID
CVE-2013-5174: CESG
Kernel
Impact: een lokale gebruiker kan zorgen voor het vrijgeven van gegevens in het kernelgeheugen of het onverwacht beëindigen van het systeem
Beschrijving: er was een probleem met het lezen buiten het bereik bij de verwerking van Mach-O-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-5175
Kernel
Impact: een lokale gebruiker kan ervoor zorgen dat het systeem blokkeert
Beschrijving: er was een probleem met de afkapping van gehele getallen bij de verwerking van tty-apparaten. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-5176: CESG
Kernel
Impact: een lokale gebruiker kan ervoor zorgen dat het systeem onverwacht wordt beëindigd
Beschrijving: een kernel panic vond plaats bij de detectie van een ongeldige iovec-structuur die door een gebruiker was opgegeven. Dit probleem is verholpen door een verbeterde validatie van iovec-structuren.
CVE-ID
CVE-2013-5177: CESG
Kernel
Impact: onbevoegde processen kunnen zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van argumenten bij de posix_spawn API. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-3954: Stefan Esser
Kernel
Impact: een bronspecifiek multicastprogramma kan ervoor zorgen dat het systeem onverwacht wordt beëindigd bij het gebruik van een Wi-Fi-netwerk
Beschrijving: er was een probleem met het controleren van fouten bij de verwerking van een multicastpakket. Dit probleem is verholpen door een verbeterde verwerking van multicastpakketten.
CVE-ID
CVE-2013-5184: Octoshape
Kernel
Impact: een aanvaller in een lokaal netwerk kan een weigering van service veroorzaken
Beschrijving: een aanvaller in een lokaal netwerk kan speciaal gemaakte IPv6 ICMP-pakketten verzenden en voor een hoge CPU-belasting zorgen. Het probleem is verholpen door de oplegging van een limiet voor ICMP-pakketten voordat de controlesom wordt gecontroleerd.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Impact: een kwaadaardig lokaal programma kan ervoor zorgen dat het systeem blokkeert
Beschrijving: er was een probleem met de afkapping van gehele getallen in de kernelsocketinterface dat kan worden gebruikt om de CPU in een oneindige loop te forceren. Het probleem is verholpen door een grotere variabele te gebruiken.
CVE-ID
CVE-2013-5141: CESG
Kext-beheer
Impact: een onbevoegd proces kan sommige geladen kernelextensies uitschakelen
Beschrijving: er was een probleem met de verwerking van IPC-berichten van niet-geïdentificeerde zenders in het kext-beheer. Dit probleem is verholpen door extra identiteitscontroles toe te voegen.
CVE-ID
CVE-2013-5145: ‘Rainbow PRISM’
LaunchServices
Impact: een bestand kan de verkeerde extensie tonen.
Beschrijving: er was een probleem bij de verwerking van bepaalde Unicode-tekens waardoor bestandsnamen onjuiste extensies toonden. Het probleem is verholpen door de filtering van onveilige Unicode-tekens voor de weergave van bestandsnamen.
CVE-ID
CVE-2013-5178: Jesse Ruderman van Mozilla Corporation, Stephane Sudre van Intego
Libc
Impact: onder ongewone omstandigheden zijn sommige willekeurige nummers voorspelbaar
Beschrijving: als de generator voor willekeurige nummers in de kernel niet toegankelijk was bij srandomdev(), viel de functie terug op een alternatieve methode die door optimalisatie was verwijderd, waardoor minder willekeurigheid het resultaat was. Dit probleem is verholpen door de code aan te passen om juist te zijn onder optimalisatie.
CVE-ID
CVE-2013-5180: Xi Wang
Mail-accounts
Impact: Mail kiest mogelijk niet de veiligste beschikbare methode voor de identiteitscontrole
Beschrijving: wanneer een e-mailaccount automatisch wordt geconfigureerd op bepaalde e-mailservers, kiest het programma Mail de identiteitscontrole in platte tekst in plaats van CRAM-MD5. Dit probleem is verholpen door een verbeterde verwerking van logische problemen.
CVE-ID
CVE-2013-5181
Weergave van koptekst in Mail
Impact: een niet-ondertekend bericht kan verschijnen als geldig ondertekend
Beschrijving: er was een logisch probleem bij de verwerking van niet-ondertekende berichten in Mail die toch meerdere onderdelen/een ondertekend onderdeel hadden. Het probleem is verholpen door een verbeterde verwerking van niet-ondertekende berichten.
CVE-ID
CVE-2013-5182: Michael Roitzsch van Technische Universität Dresden
Mail-netwerken
Impact: informatie kan even in platte tekst worden overgezet wanneer TLS-codering niet is geconfigureerd
Beschrijving: wanneer Kerberos-identiteitscontrole was ingeschakeld en Transport Layer Security uitgeschakeld, verstuurde Mail sommige niet-gecodeerde gegevens naar de e-mailserver, wat resulteerde in een onverwachte beëindiging van de verbinding. Het probleem is verholpen door een verbeterde verwerking van deze configuratie.
CVE-ID
CVE-2013-5183: Richard E. Silverman van www.qoxp.net
OpenLDAP
Impact: de commandoregel ldapsearch voldoet niet aan de minssf-configuratie
Beschrijving: de commandoregel ldapsearch voldoet niet aan de minssf-configuratie, wat ertoe kan leiden dat een zwakke codering onverwacht is toegestaan. Dit probleem is verholpen door een verbeterde verwerking van de minssf-configuratie.
CVE-ID
CVE-2013-5185
perl
Impact: Perl-scripts zijn mogelijk kwetsbaar voor het weigeren van service.
Beschrijving: het rehash-mechanisme in verouderde versies van Perl is mogelijk kwetsbaar voor weigering van service in scripts die onbetrouwbare invoer als hash-tekens gebruiken. Het probleem is verholpen door bij te werken naar Perl 5.16.2.
CVE-ID
CVE-2013-1667
Power Management
Impact: de schermvergrendeling wordt mogelijk na de opgegeven tijd niet geactiveerd
Beschrijving: een was een probleem met de vergrendeling in Power Management. Het probleem is verholpen door een verbeterde verwerking van de vergrendeling.
CVE-ID
CVE-2013-5186: David Herman van Sensible DB Design
python
Impact: meerdere kwetsbaarheden in python 2.7
Beschrijving: er waren meerdere kwetsbaarheden in python 2.7 waarvan de ernstigste kunnen leiden tot de decodering van de inhoud van een SSL-verbinding. Deze update verhelpt de problemen door python bij te werken naar versie 2.7.5. Meer informatie is beschikbaar via de python-site op http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Impact: meerdere kwetsbaarheden in python 2.6
Beschrijving: er waren meerdere kwetsbaarheden in python 2.6.7 waarvan de ernstigste kunnen leiden tot de decodering van de inhoud van een SSL-verbinding. Deze update verhelpt de problemen door python bij te werken naar versie 2.6.8 en de patch voor CVE-2011-4944 van het Python-project toe te passen. Meer informatie is beschikbaar via de python-site op http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen
Beschrijving: er was een probleem met de validatie van de hostnaam bij de verwerking van SSL-certificaten door Ruby. Dit probleem is verholpen door Ruby bij te werken naar versie 2.0.0p247.
CVE-ID
CVE-2013-4073
Beveiliging
Impact: ondersteuning voor X.509-certificaten met MD5-hashes kan gebruikers blootstellen aan vervalsing en bekendmaking van gegevens naarmate de aanvallen verbeteren
Beschrijving: certificaten die zijn ondertekend met het MD5-hash-algoritme werden door OS X geaccepteerd. Dit algoritme bevat bekende cryptografische zwakheden. Verder onderzoek of een verkeerd geconfigureerde certificaatautoriteit kon het aanmaken van X.509-certificaten met door de aanvaller gecontroleerde waarden hebben toegestaan die het systeem zou hebben vertrouwd. Dit zou de X.509-protocollen hebben blootgesteld aan vervalsing, ‘man-in-the-middle’-aanvallen en vrijgave van gegevens. Deze update schakelt de ondersteuning voor een X.509-certificaat met een MD5-hash uit voor elk ander gebruik dan een vertrouwd rootcertificaat.
CVE-ID
CVE-2011-3427
Beveiliging - Identiteitscontrole
Impact: de beveiligingsvoorkeuren van een beheerder worden mogelijk niet gerespecteerd
Beschrijving: met de instelling ‘Beheerderswachtwoord vereist voor toegang tot systeemvoorkeuren met hangslotsymbool’ kunnen beheerders vertrouwelijke systeeminstellingen extra beveiligen. Als een beheerder deze instelling heeft ingeschakeld, kan bij het installeren van een software-update of -upgrade deze instelling soms worden uitgeschakeld. Dit probleem is verholpen door een verbeterde verwerking van beheerdersrechten.
CVE-ID
CVE-2013-5189: Greg Onufer
Beveiliging - Smart Card-voorzieningen
Impact: Smart Card-voorzieningen zijn mogelijk niet beschikbaar wanneer de controle op intrekking van certificaten is ingeschakeld
Beschrijving: er was een logisch probleem bij de verwerking van de controle op ingetrokken Smart Card-certificaten door OS X. Het probleem is verholpen door middel van een betere ondersteuning voor de intrekking van certificaten.
CVE-ID
CVE-2013-5190: Yongjun Jeon van Centrify Corporation
Schermvergrendeling
Impact: het commando ‘Vergrendel scherm’ gaat mogelijk niet onmiddellijk van kracht
Beschrijving: het commando ‘Vergrendel scherm’ in het onderdeel Sleutelhangerstatus in de menubalk ging niet van kracht totdat de instelling ‘Vraag om wachtwoord [tijd] na sluimerstand of schermbeveiliging’ verliep.
CVE-ID
CVE-2013-5187: Michael Kisor van OrganicOrb.com, Christian Knappskog van NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed
Schermvergrendeling
Impact: een Mac in de sluimerstand waarbij automatisch inloggen is ingeschakeld, vereist mogelijk geen wachtwoord om uit de sluimerstand te worden gehaald
Beschrijving: een Mac in de sluimerstand en waarbij automatisch inloggen is ingeschakeld, vraagt mogelijk geen wachtwoord om uit de sluimerstand te worden gehaald. Dit probleem is verholpen door een verbeterde verwerking van de vergrendeling.
CVE-ID
CVE-2013-5188: Levi Musters
Server voor schermdeling
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een kwetsbaarheid in een structuurtekenreeks bij de verwerking van de VNC-gebruikersnaam door de server voor schermdeling.
CVE-ID
CVE-2013-5135: SilentSignal in samenwerking met iDefense VCP
syslog
Impact: een gastgebruiker kan mogelijk logberichten van een vorige gastgebruiker zien
Beschrijving: het Console-logbestand was zichtbaar voor de gastgebruiker en bevatte berichten van sessies van de vorige gastgebruiker. Dit probleem is verholpen door het Console-logbestand voor gastgebruikers alleen maar voor beheerders zichtbaar te maken.
CVE-ID
CVE-2013-5191: Sven-S. Porst van earthlingsoft
USB
Impact: een kwaadaardig lokaal programma kan zorgen voor een onverwachte beëindiging van het systeem
Beschrijving: de USB-hub controller heeft de poort en het poortnummer van verzoeken niet gecontroleerd. Het probleem is verholpen door de controle van de poort en het poortnummer toe te voegen.
CVE-ID
CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi en Aristide Fattori van Computer and Network Security Lab (LaSER), Università degli Studi di Milano
Opmerking: OS X Mavericks bevat Safari 7.0 waarin de beveiligingsinhoud van Safari 6.1 is opgenomen. Voor meer informatie raadpleegt u ‘Over de beveiligingsinhoud van Safari 6.1’ op http://support.apple.com/kb/HT6000?viewlocale=nl_NL.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.