Over de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002

In dit document wordt de beveiligingsinhoud van OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002 beschreven die kan worden gedownload en geïnstalleerd via de voorkeuren voor software-updates of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Mountain Lion v10.8.4 en beveiligingsupdate 2013-002

Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleeg je Over de beveiligingsinhoud van Safari 6.0.5.

• CFNetwork

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

  Impact: een aanvaller met toegang tot de sessie van een gebruiker kan mogelijk inloggen op eerder bezochte sites, zelfs als de privémodus is gebruikt.

  Beschrijving: permanente cookies zijn opgeslagen na het afsluiten van Safari, zelfs toen de privémodus was ingeschakeld. Dit probleem is verholpen door verbeterde verwerking van cookies.

  CVE-ID

  CVE-2013-0982: Alexander Traud van www.traud.de

• CoreAnimation

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het openen van een kwaadwillige site kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met onbeperkte stacktoewijzing bij de verwerking van tekstschrifttekens. Dit kan worden veroorzaakt door kwaadaardig ontworpen URL's in Safari. Dit probleem wordt verholpen door verbeterde bereikcontrole.

  CVE-ID

  CVE-2013-0983: David Fifield van Stanford University, Ben Syverson

• CoreMedia Playback

  Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.

  CVE-ID

  CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation

• CUPS

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

  Impact: een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten

  Beschrijving: er was een probleem met escalatie van bevoegdheden in de verwerking van CUPS-configuratie via de CUPS webinterface. Een lokale gebruiker in de groep 'lpadmin' kan mogelijk willekeurige bestanden lezen of schrijven met systeemrechten. Dit probleem is opgelost door bepaalde configuratierichtlijnen te verplaatsen naar cups-files.conf, dat niet gewijzigd kan worden vanuit de CUPS-webinterface.

  CVE-ID

  CVE-2012-5519

• Directory Service

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Impact: een externe aanvaller kan willekeurige code uitvoeren met systeemrechten op systemen waarop Directory Service is ingeschakeld

  Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de directory server. Via het verzenden van een kwaadaardig vervaardigd bericht kon een externe aanvaller de directoryserver laten afsluiten of willekeurige code uitvoeren met systeemrechten. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.

  CVE-ID

  CVE-2013-0984: Nicolas Economou van Core Security

• Disk Management

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

  Impact: een lokale gebruiker kan FileVault uitschakelen

  Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen via de opdrachtregel. Dit probleem is verholpen door het toevoegen van extra verificatie.

  CVE-ID

  CVE-2013-0985

• OpenSSL

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: een aanvaller kan mogelijk gegevens ontsleutelen die beschermd zijn middels SSL

  Beschrijving: er waren aanvallen bekend op de vertrouwelijkheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem is verholpen door compressie in OpenSSL uit te schakelen.

  CVE-ID

  CVE-2012-4929: Juliano Rizzo en Thai Duong

• OpenSSL

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: meerdere kwetsbaarheden in OpenSSL

  Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen die kunnen leiden tot denial of service of openbaarmaking van een privésleutel. Meer informatie is beschikbaar via de OpenSS-website op http://www.openssl.org/news/

  CVE-ID

  CVE-2011-1945

  CVE-2011-3207

  CVE-2011-3210

  CVE-2011-4108

  CVE-2011-4109

  CVE-2011-4576

  CVE-2011-4577

  CVE-2011-4619

  CVE-2012-0050

  CVE-2012-2110

  CVE-2012-2131

  CVE-2012-2333

• QuickDraw Manager

  Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.2

  Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er trad een bufferoverloop op bij de verwerking van PICT-afbeeldingen. Dit probleem is verholpen door een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP

• QuickTime

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van 'enof'-atomen. Dit probleem is verholpen door een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0986: Tom Gallagher (Microsoft) en Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

• QuickTime

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0987: roob in samenwerking met iDefense VCP

• QuickTime

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van FPX-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP

• QuickTime

  Beschikbaar voor: OS X Mountain Lion v10.8 tot v10.8.3

  Impact: het afspelen van een kwaadwillig vervaardigd MP3-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

  Beschrijving: er was sprake van een bufferoverloop bij de verwerking van MP3-bestanden. Dit probleem is verholpen door een verbeterde controle van de grenzen.

  CVE-ID

  CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP

• Ruby

  Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Impact: meerdere kwetsbaarheden in Ruby on Rails

  Beschrijving: er was sprake van verschillende kwetsbaarheden in Ruby on Rails, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code in systemen waarop Ruby on Rails-toepassingen worden uitgevoerd. Deze problemen zijn opgelost door het bijwerken van Ruby on Rails naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion- of OS X Mountain Lion die zijn geüpgraded van Mac OS X 10.6.8 of ouder. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.

  CVE-ID

  CVE-2013-0155

  CVE-2013-0276

  CVE-2013-0277

  CVE-2013-0333

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• SMB

  Beschikbaar voor: OS X Lion v10.7 tot v10.7.5, OS X Lion Server v10.7 tot v10.7.5, OS X Mountain Lion v10.8 tot v10.8.3

  Impact: een geverifieerde gebruiker kan mogelijk schrijven naar bestanden buiten de gedeelde map

  Beschrijving: als SMB-bestanden delen is ingeschakeld, kan een geverifieerde gebruiker mogelijk bestanden buiten de gedeelde map schrijven. Dit probleem is verholpen door middel van verbeterde toegangscontrole.

  CVE-ID

  CVE-2013-0990: Ward van Wanrooij

• Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-toepassingen (d.w.z., JNLP-bestanden) die van internet worden gedownload, worden ondertekend met een Developer ID-certificaat. Gatekeeper controleert of gedownloade Java Web Start-toepassingen een geldige handtekening bevatten en blokkeert het starten van dergelijke toepassingen als ze niet correct ondertekend zijn.

  Het hulpprogramma voor codesign kan worden gebruikt om het JNLP-bestand te ondertekenen, waardoor de codehandtekening als uitgebreide kenmerken aan het JNLP-bestand wordt toegevoegd. Verpak het JNLP-bestand in een ZIP-, XIP- of DMG-bestand om deze kenmerken te behouden. Wees voorzichtig met het gebruik van de ZIP-indeling, omdat sommige hulpprogramma's van derden de vereiste uitgebreide kenmerken mogelijk niet correct vastleggen.

  Ga voor meer informatie naar Technical Note TN2206: OS X Code Signing In Depth.