Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.3 og sikkerhetsoppdatering 2013-001

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.3 og sikkerhetsoppdatering 2013-001.

OS X Mountain Lion v10.8.3 og sikkerhetsoppdatering 2013-001 kan lastes ned og installeres via Programvareoppdatering-valgene eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se «Apple sikkerhetsoppdateringer».

Merk: OS X Mountain Lion v10.8.3 inkluderer innholdet i Safari 6.0.3. Hvis du vil ha mer informasjon, går du til Om sikkerhetsinnholdet i Safari 6.0.3.

OS X Mountain Lion v10.8.3 og sikkerhetsoppdatering 2013-001

  • Apache

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: En angriper kan få tilgang til kataloger som er beskyttet med HTTP-godkjenning, uten å kjenne til den riktige legitimasjonen

    Beskrivelse: Det var et problem med kanonisering i håndteringen av URI-er med sekvenser av Unicode-tegn som kan ignoreres. Dette problemet ble løst gjennom oppdatering av mod_hfs_apple for å forby tilgang til URI-er med sekvenser av Unicode-tegn som kan ignoreres.

    CVE-ID

    CVE-2013-0966: Clint Ruoho fra Laconic Security

  • CoreTypes

    Tilgjengelig for: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Besøk på et skadelig nettsted kan gi en Java Web Start-app tillatelse til å starte automatisk selv om Java-programtillegget er slått av

    Beskrivelse: Java Web Start-apper kjørte selv om Java-programtillegget var slått av. Dette problemet ble løst gjennom fjerning av JNLP-filer fra listen over sikre CoreTypes-filer, sånn at Web Start-appen ikke kan kjøres med mindre brukeren åpner den i Nedlastinger-katalogen.

    CVE-ID

    CVE-2013-0967

  • Internasjonale komponenter for Unicode

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Besøk på et skadelig nettsted kan føre til et angrep med skripting mellom nettsteder

    Beskrivelse: Det var et problem med kanonisering i håndteringen av EUC-JP-kodingen, noe som kunne føre til et angrep med skripting mellom EUC-JP-kodede nettsteder. Dette problemet ble løst gjennom oppdatering av EUC-JP-mappetabellen.

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • Identitetstjenester

    Tilgjengelig for: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Autentisering som avhenger av sertifikatbasert Apple-ID-autentisering, kan hoppes over

    Beskrivelse: Det var et feilhåndteringsproblem i Identitetstjenester. Hvis valideringen av brukerens Apple-ID-sertifikat mislyktes, ble det antatt at Apple-ID-en var den tomme strengen. Hvis flere systemer som hører til flere brukere går inn i denne tilstanden, kan apper som er avhengig av denne identitetsbestemmelsen, feilaktig gi godkjennelser. Dette problemet ble løst gjennom forsikring om at NULL returneres i stedet for en tom streng.

    CVE-ID

    CVE-2013-0963

  • ImageIO

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Visning av en skadelig TIFF-fil kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i libtiffs håndtering av TIFF-bilder. Dette problemet ble løst gjennom ekstra validering av TIFF-bilder.

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Visning av et skadelig bilde kan føre til uventet systemavslutning eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i håndteringen av grafikkdata. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0976: En anonym forsker

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Skadelige eller kompromitterte programmer kan være i stand til å fastslå adresser i kjernen

    Beskrivelse: Det var et problem med avsløring av informasjon i håndteringen av API-er relatert til kjernetillegg. Svar som inneholdt en OSBundleMachOHeaders-nøkkel, kan ha inkludert kjerneadresser, noe som kan bidra til omgåelse av beskyttelsen som et randomisert adresseområdeoppsett gir. Dette problemet ble løst ved «unsliding» av adressene før de blir returnert.

    CVE-ID

    CVE-2012-3749: Mark Dowd fra Azimuth Security, Eric Monti fra Square og flere anonyme forskere

  • Påloggingsvindu

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.2

    Virkning: En angriper med tastaturtilgang kan endre systemkonfigurasjonen

    Beskrivelse: Det var et problem med VoiceOvers håndtering av påloggingsvinduet, der en angriper med tastaturtilgang kan åpne Systemvalg og endre systemkonfigurasjonen. Dette problemet ble løst gjennom forhindring av at VoiceOver åpner apper fra påloggingsvinduet.

    CVE-ID

    CVE-2013-0969: Eric A. Schulman fra Purpletree Labs

  • Meldinger

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Klikking på linker fra Meldinger kan starte FaceTime-anrop uten at brukeren blir spurt

    Beskrivelse: Klikking på en spesielt formatert FaceTime://-nettadresse i Meldinger kan hoppe over den vanlige bekreftelsesforespørselen. Dette problemet ble løst gjennom ekstra validering av FaceTime://-nettadresser.

    CVE-ID

    CVE-2013-0970: Aaron Sigel hos vtty.com

  • Messages Server

    Tilgjengelig for: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan omdirigere Jabber-føderasjonsmeldinger

    Beskrivelse: Det var et problem med Jabber-tjenerens håndtering av resultatmeldinger for gjenoppringing. En angriper kan føre til at Jabber-tjeneren avslører informasjon som er ment for brukere på føderasjonstjenere. Dette problemet ble løst gjennom forbedret håndtering av resultatmeldinger for gjenoppringing.

    CVE-ID

    CVE-2012-3525

  • PDFKit

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det finnes et bruk-etter-frigivelse-problem i håndteringen av håndskriftskommentarer i PDF-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2013-0971: Tobias Klein arbeider med HP TippingPoints Zero Day Initiative

  • Podcast Producer Server

    Tilgjengelig for: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte XLM-parametere. Dette problemet ble løst gjennom deaktivering av XML-parametere i Rails-implementeringen brukt av Podcast Producer Server.

    CVE-ID

    CVE-2013-0156

  • Podcast Producer Server

    Tilgjengelig for: OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte JSON-data. Dette problemet ble løst gjennom å gå over til å bruke JSONGem-baksiden for JSON-parsing i Rails-implementeringen brukt av Podcast Producer Server.

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    Tilgjengelig for: Mac OS X Server 10.6.8, OS X Lion Server v10.7 til v10.7.5

    Virkning: Flere sårbarheter i PostgreSQL

    Beskrivelse: PostgreSQL ble oppdatert til versjon 9.1.5 for å løse flere sårbarheter, og den mest alvorlige kunne tillate at databasebrukere kunne lese filer fra filsystemet med rettighetene til databasetjenerrollekontoen. Mer informasjon er tilgjengelig via PostgreSQL-nettstedet på http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • Profile Manager

    Tilgjengelig for: OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte XLM-parametere. Dette problemet ble løst gjennom deaktivering av XML-parametere i Rails-implementeringen brukt av Profile Manager.

    CVE-ID

    CVE-2013-0156

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i håndteringen av «rnet»-bokser i MP4-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2012-3756: Kevin Szkudlapski fra QuarksLab

  • Ruby

    Tilgjengelig for Mac OS X Server 10.6.8

    Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode hvis en Rails-app kjører

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte XLM-parametere. Dette problemet ble løst gjennom deaktivering av YAML og symboler i XML-parametere i Rails.

    CVE-ID

    CVE-2013-0156

  • Sikkerhet

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: Flere mellomliggende CA-sertifikater ble feilaktig utstedt av TURKTRUST. Dette kan føre til at en angriper underveis kan omdirigere tilkoblinger og fange opp påloggingsopplysninger eller annen informasjon. Dette problemet ble løst gjennom å ikke tillate de uriktige SSL-sertifikatene.

  • Programvareoppdatering

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å kjøre vilkårlig kode

    Beskrivelse: En programvareoppdatering tillot at en «man in the middle»-angriper kunne legge til programtilleggsinnhold i markedsføringsteksten som vises for oppdateringer. Dette kan føre til at et utsatt programtillegg kan utnyttes, eller legge til rette for sosiale manipuleringsangrep som involverer programtillegg. Dette problemet gjelder ikke OS X Mountain Lion-systemer. Dette problemet ble løst gjennom å forhindre at programtillegg lastes inn i programvareoppdateringens nettvisning av markedsføringsteksten.

    CVE-ID

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Tilgjengelig for: OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte XLM-parametere. Dette problemet ble løst gjennom deaktivering av XML-parametere i Rails-implementeringen brukt av Wiki Server.

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    Tilgjengelig for: OS X Lion Server v10.7 til v10.7.5

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skriftstøping i hvordan Ruby on Rails håndterte JSON-data. Dette problemet ble løst gjennom å gå over til å bruke JSONGem-baksiden for JSON-parsing i Rails-implementeringen brukt av Wiki Server.

    CVE-ID

    CVE-2013-0333

  • Fjerning av skadelig programvare

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Beskrivelse: Denne oppdateringen kjører et verktøy for fjerning av skadelig programvare som fjerner de vanligste typene av skadelig programvare. Hvis det finnes skadelig programvare, får brukeren beskjed om at skadelig programvare er fjernet via en dialog. Brukeren får ikke beskjed hvis skadelig programvare ikke blir funnet.

FaceTime er ikke tilgjengelig i alle land eller regioner.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: