Over de beveiligingsinhoud van OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004 beschreven.

Deze kunnen worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

OS X Mountain Lion v10.8.5 en beveiligingsupdate 2013-004

• Apache

  Beschikbaar voor: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: meerdere kwetsbaarheden in Apache

  Beschrijving: er is sprake van meerdere kwetsbaarheden in Apache, waarvan de ernstigste kunnen leiden tot cross-site scripting. Deze problemen zijn opgelost door Apache bij te werken naar versie 2.2.24.

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: meerdere kwetsbaarheden in BIND

  Beschrijving: er is sprake van meerdere kwetsbaarheden in BIND, waarvan de ernstigste kunnen leiden tot een denial of service. Deze problemen zijn verholpen door BIND bij te werken naar versie 9.8.5-P1. CVE-2012-5688 is niet van invloed op systemen met Mac OS X v10.7.

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: rootcertificaten zijn bijgewerkt

  Beschrijving: verschillende certificaten zijn toegevoegd aan of verwijderd uit de lijst met systeemroots. De volledige lijst met herkende systeemroots kun je bekijken via de app Sleutelhangertoegang.

• ClamAV

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

  Impact: meerdere kwetsbaarheden in ClamAV

  Beschrijving: er is sprake van meerdere kwetsbaarheden in ClamAV, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze update lost de problemen op door ClamAV bij te werken naar versie 0.97.8.

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

  Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JBIG2 gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

  CVE-ID

  CVE-2013-1025: Felix Groebert van het Google Security Team

• ImageIO

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

  Impact: het bekijken van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van met JPEG2000 gecodeerde gegevens in pdf-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

  CVE-ID

  CVE-2013-1026: Felix Groebert van het Google Security Team

• Installer

  Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: pakketten kunnen mogelijk worden geopend na het intrekken van een certificaat

  Beschrijving: als het installatieprogramma een ingetrokken certificaat aantreft, wordt er een dialoogvenster weergegeven met een optie om door te gaan. Het probleem is opgelost door dit dialoogvenster niet meer weer te geven en pakketten met een ingetrokken certificaat te weigeren.

  CVE-ID

  CVE-2013-1027

• IPSec

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: een aanvaller kan gegevens onderscheppen die zijn beveiligd met IPSec Hybrid Auth

  Beschrijving: de DNS-naam van een IPSec Hybrid Auth-server werd niet vergeleken met het certificaat, waardoor een aanvaller met een certificaat voor elke server zich kon voordoen als een andere persoon. Dit probleem is verholpen door het certificaat op de juiste manier te controleren.

  CVE-ID

  CVE-2013-1028: Alexander Traud van www.traud.de

• Kernel

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

  Impact: een lokale netwerkgebruiker kan een denial of service veroorzaken

  Beschrijving: een onjuiste controle in de IGMP-pakketparseringscode in de kernel kan tot gevolg hebben dat een gebruiker die IGMP-pakketten kan verzenden naar het systeem, een kernel panic kan veroorzaken. Het probleem is verholpen door de controle achterwege te laten.

  CVE-ID

  CVE-2013-1029: Christopher Bohn van PROTECTSTAR INC.

• Mobile Device Management

  Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: wachtwoorden komen mogelijk beschikbaar voor andere lokale gebruikers

  Beschrijving: een wachtwoord werd via de commandoregel doorgegeven aan mdmclient, waarna het zichtbaar was voor andere gebruikers op hetzelfde systeem. Het probleem is opgelost door het wachtwoord door te geven via een pipe.

  CVE-ID

  CVE-2013-1030: Per Olofsson van de universiteit van Gotenburg

• OpenSSL

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: meerdere kwetsbaarheden in OpenSSL

  Beschrijving: er is sprake van meerdere kwetsbaarheden in OpenSSL, waarvan de ernstigste kan leiden tot het vrijgeven van gebruikersgegevens. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8y.

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: meerdere kwetsbaarheden in PHP

  Beschrijving: er is sprake van meerdere kwetsbaarheden in PHP, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze problemen zijn opgelost door PHP bij te werken naar versie 5.3.26.

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: meerdere kwetsbaarheden in PostgreSQL

  Beschrijving: er is sprake van meerdere kwetsbaarheden in PostgreSQL, waarvan de ernstigste kunnen leiden tot gegevensbeschadiging of verhoging van bevoegdheden. CVE-2013-1901 is niet van invloed op systemen met OS X Lion. Deze update lost de problemen op door PostgreSQL bij te werken naar versie 9.1.9 op systemen met OS X Mountain Lion en naar 9.0.4 op systemen met OS X Lion.

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

  Impact: de schermbeveiliging start mogelijk niet na de opgegeven periode

  Beschrijving: er is een probleem met een 'power assertion'-vergrendeling. Dit probleem is verholpen door verbeterde verwerking van vergrendelingen.

  CVE-ID

  CVE-2013-1031

• QuickTime

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van 'idsc'-atomen in QuickTime-filmbestanden. Dit probleem is verholpen door aanvullende bereikcontrole.

  CVE-ID

  CVE-2013-1032: Jason Kratzer in samenwerking met iDefense VCP

• Screen Lock

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.4

  Impact: een gebruiker met toegang tot schermdeling kan mogelijk de schermvergrendeling omzeilen als een andere gebruiker is ingelogd

  Beschrijving: er was een probleem met sessiebeheer bij de verwerking van de schermvergrendeling in schermdelingssessies. Dit probleem is verholpen door verbeterde sessietracking.

  CVE-ID

  CVE-2013-1033: Jeff Grisso van Atos IT Solutions, Sébastien Stormacq

• sudo

  Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 tot v10.8.4

  Impact: een aanvaller die controle heeft over de account van een beheerder, kan mogelijk rootbevoegdheden verkrijgen zonder dat het wachtwoord van de gebruiker bekend is

  Beschrijving: door de systeemklok in te stellen, kan een aanvaller 'sudo' gebruiken om rootbevoegdheden te verkrijgen op systemen waarop 'sudo' eerder is gebruikt. In OS X kunnen alleen beheerders de systeemklok wijzigen. Het probleem is opgelost door te controleren op een ongeldig tijdstempel.

  CVE-ID

  CVE-2013-1775

• Opmerking: in OS X Mountain Lion v10.8.5 wordt ook een probleem opgelost waarbij bepaalde Unicode-tekenreeksen tot gevolg kunnen hebben dat apps onverwacht worden afgesloten.