Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002
Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleegt u Over de beveiligingsinhoud van Safari 6.0.5.
-
CFNetwork
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een aanvaller met toegang tot de sessie van een gebruiker kan inloggen bij eerder geopende websites, zelfs als de Privémodus is gebruikt
Beschrijving: na het stoppen van Safari zijn permanente cookies bewaard, zelfs als de Privémodus is gebruikt. Dit probleem wordt verholpen door een verbeterde verwerking van cookies.
CVE-ID
CVE-2013-0982: Alexander Traud van www.traud.de
-
CoreAnimation
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er is een probleem opgetreden met een onbegrensde stacktoewijzing bij de verwerking van schrifttekens. Dit kan worden geactiveerd door kwaadwillig vervaardigde URL’s in Safari. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0983: David Fifield van Stanford University, Ben Syverson
-
CoreMedia afspelen
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.
CVE-ID
CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation
-
CUPS
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden
Beschrijving: er was een probleem met geëscaleerde bevoegdheden bij de verwerking van CUPS-configuratie via de CUPS-webinterface. Een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden. Dit probleem wordt verholpen door bepaalde configuratie-instructies te verplaatsen naar cups-files.conf dat niet vanaf de CUPS-webinterface kan worden gewijzigd.
CVE-ID
CVE-2012-5519
-
Adreslijstvoorziening
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: een externe aanvaller kan willekeurige code uitvoeren met systeembevoegdheden op systemen waarbij Directory Service is ingeschakeld
Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver wordt afgesloten of willekeurige code uitvoert met systeembevoegdheden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.
CVE-ID
CVE-2013-0984: Nicolas Economou van Core Security
-
Schijfbeheer
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een lokale gebruiker kan FileVault uitschakelen
Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen met de commandoregel. Dit probleem wordt verholpen door een extra authenticatie toe te voegen.
CVE-ID
CVE-2013-0985
-
OpenSSL
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd
Beschrijving: er waren gekende aanvallen op de betrouwbaarheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem wordt verholpen door de compressie in OpenSSL uit te schakelen.
CVE-ID
CVE-2012-4929: Juliano Rizzo en Thai Duong
-
OpenSSL
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: meerdere kwetsbaarheden in OpenSSL
Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen, wat kan leiden tot het weigeren van service of het vrijgeven van een private sleutel. U vindt meer informatie via de website van OpenSSL op http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
-
QuickDraw Manager
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2
Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverflow bij de afhandeling van PICT-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverflow bij de verwerking van ‘enof’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0987: roob in samenwerking met iDefense VCP
-
QuickTime
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverflow bij de verwerking van FPX-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3
Impact: het afspelen van een kwaadwillig vervaardigd mp3-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverflow bij de verwerking van mp3-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP
-
Ruby
Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Impact: meerdere kwetsbaarheden in Ruby on Rails
Beschrijving: er waren meerdere kwetsbaarheden in Ruby on Rails waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code bij systemen waarop Ruby on Rails-programma’s worden uitgevoerd. Deze problemen worden verholpen door Ruby on Rails bij te werken naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion of OS X Mountain Lion waarop de upgrade vanaf Mac OS X 10.6.8 of lager is uitgevoerd. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
-
SMB
Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3
Impact: een geauthenticeerde gebruiker kan bestanden buiten de gedeelde directory mogelijk beschrijven
Beschrijving: als SMB-bestandsdeling is ingeschakeld, kan een geauthenticeerde gebruiker bestanden buiten de gedeelde directory mogelijk beschrijven. Dit probleem wordt verholpen door een verbeterde toegangscontrole.
CVE-ID
CVE-2013-0990: Ward van Wanrooij
-
Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-programma’s (m.a.w. JNLP) die vanaf het internet zijn gedownload, worden ondertekend met een certificaat van de Developer ID. Gatekeeper controleert of gedownloade Java Web Start-programma’s zijn ondertekend en blokkeert dergelijke programma’s die niet naar behoren zijn ondertekend zodat deze niet kunnen worden geopend.