Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.


OS X Mountain Lion v10.8.4 en Beveiligingsupdate 2013-002
Opmerking: OS X Mountain Lion v10.8.4 bevat de inhoud van Safari 6.0.5. Voor meer informatie raadpleegt u Over de beveiligingsinhoud van Safari 6.0.5.
- 

- 

CFNetwork

Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een aanvaller met toegang tot de sessie van een gebruiker kan inloggen bij eerder geopende websites, zelfs als de Privémodus is gebruikt

Beschrijving: na het stoppen van Safari zijn permanente cookies bewaard, zelfs als de Privémodus is gebruikt. Dit probleem wordt verholpen door een verbeterde verwerking van cookies.

CVE-ID

CVE-2013-0982: Alexander Traud van www.traud.de

 

- 

- 

CoreAnimation

Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er is een probleem opgetreden met een onbegrensde stacktoewijzing bij de verwerking van schrifttekens. Dit kan worden geactiveerd door kwaadwillig vervaardigde URL’s in Safari. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0983: David Fifield van Stanford University, Ben Syverson

 

- 

- 

CoreMedia afspelen

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van tekstsporen. Dit probleem is verholpen door een extra validatie van tekstsporen.

 
CVE-ID

CVE-2013-1024: Richard Kuo en Billy Suguitan van Triemt Corporation

 

- 

- 

CUPS

Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden

Beschrijving: er was een probleem met geëscaleerde bevoegdheden bij de verwerking van CUPS-configuratie via de CUPS-webinterface. Een lokale gebruiker in de lpadmin-groep kan willekeurige bestanden lezen of beschrijven met systeembevoegdheden. Dit probleem wordt verholpen door bepaalde configuratie-instructies te verplaatsen naar cups-files.conf dat niet vanaf de CUPS-webinterface kan worden gewijzigd.

CVE-ID

CVE-2012-5519

 

- 

- 

Adreslijstvoorziening

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Impact: een externe aanvaller kan willekeurige code uitvoeren met systeembevoegdheden op systemen waarbij Directory Service is ingeschakeld

Beschrijving: er was een probleem met de verwerking van berichten van het netwerk door de adreslijstserver. Door het versturen van een kwaadwillig vervaardigd bericht kan een externe aanvaller ervoor zorgen dat de adreslijstserver wordt afgesloten of willekeurige code uitvoert met systeembevoegdheden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Lion of OS X Mountain Lion.

CVE-ID

CVE-2013-0984: Nicolas Economou van Core Security

 

- 

- 

Schijfbeheer

Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een lokale gebruiker kan FileVault uitschakelen

Beschrijving: een lokale gebruiker die geen beheerder is, kan FileVault uitschakelen met de commandoregel. Dit probleem wordt verholpen door een extra authenticatie toe te voegen.

CVE-ID

CVE-2013-0985

 

- 

- 

OpenSSL

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

Beschrijving: er waren gekende aanvallen op de betrouwbaarheid van TLS 1.0 wanneer compressie was ingeschakeld. Dit probleem wordt verholpen door de compressie in OpenSSL uit te schakelen.

CVE-ID

CVE-2012-4929: Juliano Rizzo en Thai Duong

 

- 

- 

OpenSSL

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: meerdere kwetsbaarheden in OpenSSL

Beschrijving: OpenSSL is bijgewerkt naar versie 0.9.8x om meerdere kwetsbaarheden te verhelpen, wat kan leiden tot het weigeren van service of het vrijgeven van een private sleutel. U vindt meer informatie via de website van OpenSSL op http://www.openssl.org/news/

CVE-ID

CVE-2011-1945

CVE-2011-3207

CVE-2011-3210

CVE-2011-4108

CVE-2011-4109

CVE-2011-4576

CVE-2011-4577

CVE-2011-4619

CVE-2012-0050

CVE-2012-2110

CVE-2012-2131

CVE-2012-2333

 

- 

- 

QuickDraw Manager

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.2

Impact: het openen van een kwaadwillig vervaardigde PICT-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverflow bij de afhandeling van PICT-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0975: Tobias Klein in samenwerking met het Zero Day Initiative van HP

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverflow bij de verwerking van ‘enof’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) in samenwerking met het Zero Day Initiative van HP

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: het bekijken van een kwaadwillig vervaardigd QTIF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van QTIF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0987: roob in samenwerking met iDefense VCP

 

- 

- 

QuickTime

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: het bekijken van een kwaadwillig vervaardigd FPX-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverflow bij de verwerking van FPX-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0988: G. Geshev in samenwerking met het Zero Day Initiative van HP

 

- 

- 

QuickTime

Beschikbaar voor: OS X Mountain Lion v10.8 t/m v10.8.3

Impact: het afspelen van een kwaadwillig vervaardigd mp3-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverflow bij de verwerking van mp3-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-ID

CVE-2013-0989: G. Geshev in samenwerking met het Zero Day Initiative van HP

 

- 

- 

Ruby

Beschikbaar voor: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Impact: meerdere kwetsbaarheden in Ruby on Rails

Beschrijving: er waren meerdere kwetsbaarheden in Ruby on Rails waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code bij systemen waarop Ruby on Rails-programma’s worden uitgevoerd. Deze problemen worden verholpen door Ruby on Rails bij te werken naar versie 2.3.18. Dit probleem kan van invloed zijn op systemen met OS X Lion of OS X Mountain Lion waarop de upgrade vanaf Mac OS X 10.6.8 of lager is uitgevoerd. Gebruikers kunnen aangetaste gems op dergelijke systemen bijwerken met het hulpprogramma /usr/bin/gem.

CVE-ID

CVE-2013-0155

CVE-2013-0276

CVE-2013-0277

CVE-2013-0333

CVE-2013-1854

CVE-2013-1855

CVE-2013-1856

CVE-2013-1857

 

- 

- 

SMB

Beschikbaar voor: OS X Lion v10.7 t/m v10.7.5, OS X Lion Server v10.7 t/m v10.7.5, OS X Mountain Lion v10.8 t/m v10.8.3

Impact: een geauthenticeerde gebruiker kan bestanden buiten de gedeelde directory mogelijk beschrijven

Beschrijving: als SMB-bestandsdeling is ingeschakeld, kan een geauthenticeerde gebruiker bestanden buiten de gedeelde directory mogelijk beschrijven. Dit probleem wordt verholpen door een verbeterde toegangscontrole.

CVE-ID

CVE-2013-0990: Ward van Wanrooij

 

- 

- 

Opmerking: vanaf OS X v10.8.4 moeten Java Web Start-programma’s (m.a.w. JNLP) die vanaf het internet zijn gedownload, worden ondertekend met een certificaat van de Developer ID. Gatekeeper controleert of gedownloade Java Web Start-programma’s zijn ondertekend en blokkeert dergelijke programma’s die niet naar behoren zijn ondertekend zodat deze niet kunnen worden geopend.