Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002, som kan lastes ned og installeres via Programvareoppdatering-valg eller fra Apple Support Nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
 

OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002

Merk: OS X Mountain Lion v10.8.4 inkluderer innholdet i Safari 6.0.5. Hvis du vil vite mer, kan du se Om sikkerhetsinnholdet i Safari 6.0.5.

  • CFNetwork

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En angriper med tilgang til en brukers økt, kan være i stand til å logge på steder som er besøkt tidligere, selv om Privat nettlesing ble brukt

    Beskrivelse: Permanente informasjonskapsler ble lagret etter at Safari ble avsluttet, selv når Privat nettlesing var aktivert. Denne feilen ble løst med forbedret håndtering av informasjonskapsler.

    CVE-ID

    CVE-2013-0982 : Alexander Traud fra www.traud.de

  • CoreAnimation

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ubegrenset stakktildeling i håndteringen av tekstglyffer. Dette kunne utløses av ondsinnet utformede URL-adresser i Safari. Problemet ble løst ved forbedret grensekontroll.

    CVE-ID

    CVE-2013-0983 : David Fifield fra Stanford University, Ben Syverson

  • CoreMedia Playback

    Tilgjengelig for: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ikke initialisert hukommelsestilgang i håndteringen av tekstspor. Dette problemet ble løst ved ekstra validering av tekstspor.

    CVE-ID

    CVE-2013-1024 : Richard Kuo og Billy Suguitan fra Triemt Corporation

  • CUPS

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En lokal bruker i lpadmin-gruppen kan være i stand til å lese eller skrive vilkårlige filer med systemrettigheter

    Beskrivelse: Det var et problem med eskalering av rettigheter i håndteringen av CUPS-konfigurasjon via CUPS-webgrensesnittet. En lokal bruker i lpadmin-gruppen kan være i stand til å lese eller skrive vilkårlige filer med systemrettigheter. Dette problemet ble løst ved å flytte visse konfigurasjonsdirektiver til cups-files.conf, som ikke kan endres fra CUPS-webgrensesnittet.

    CVE-ID

    CVE-2012-5519

  • Katalogtjeneste

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Virkning: En ekstern angriper kan utføre vilkårlig kode med systemrettigheter i systemer der Directory Service er aktivert

    Beskrivelse: Det var et problem med katalogtjenerens håndtering av meldinger fra nettverket. Ved å sende en ondsinnet utformet melding kunne en ekstern angriper avslutte katalogtjeneren eller utføre vilkårlig kode med systemrettigheter. Dette problemet ble løst ved forbedret grensekontroll. Dette problemet påvirker ikke OS X Lion- eller OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2013-0984 : Nicolas Economou fra Core Security

  • Diskadministrering

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En lokal bruker kan deaktivere FileVault

    Beskrivelse: En lokal bruker som ikke er administrator, kan deaktivere FileVault via kommandolinjen. Dette problemet ble løst ved å legge til ekstra godkjenning.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En angriper kan dekryptere data som er beskyttet av SSL

    Beskrivelse: Det var kjente angrep på konfidensialiteten til TLS 1.0 når komprimering var aktivert. Dette problemet ble løst ved å deaktivere komprimering i OpenSSL.

    CVE-ID

    CVE-2012-4929 : Juliano Rizzo og Thai Duong

  • OpenSSL

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: OpenSSL ble oppdatert til versjon 0.9.8x for å rette flere sårbarheter som kunne føre til tjenestenekt eller fremlegging av en privat nøkkel. Mer informasjon er tilgjengelig via OpenSSL-nettstedet på http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Tilgjengelig for: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Åpning av en skadelig PICT-bildefil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av PICT-bilder. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0975 : Tobias Klein som arbeider med HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en bufferoverflyt i håndteringen av «enof»-atomer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) og Paul Bates (Microsoft) som arbeider med HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig QTIF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av QTIF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0987: roob som arbeider med iDefense VCP

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig FPX-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av FPX-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0988: G. Geshev som arbeider med HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Avspilling av en skadelig MP3-fil kan føre til at programmet avsluttes uventet, eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av MP3-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0989: G. Geshev som arbeider med HPs Zero Day Initiative

  • Ruby

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Virkning: Flere sårbarheter i Ruby on Rails

    Beskrivelse: Det var flere sårbarheter i Ruby on Rails, og de mest alvorlige kunne føre til utføring av vilkårlig kode i systemer som kjører Ruby on Rails-programmer. Disse problemene ble løst ved å oppdatere Ruby on Rails til versjon 2.3.18. Dette problemet kan påvirke OS X Lion- eller OS X Mountain Lion-systemer som ble oppgradert fra Mac OS X 10.6.8 eller eldre. Brukere kan oppdatere berørte gems i slike systemer ved å bruke verktøyet /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Tilgjengelig for: OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En godkjent bruker kan være i stand til å skrive filer utenfor den delte katalogen

    Beskrivelse: Hvis SMB-fildeling er aktivert, kan en godkjent bruker være i stand til å skrive filer utenfor den delte katalogen. Dette problemet ble løst ved forbedret tilgangskontroll.

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • Merk: Fra og med OS X v10.8.4 må Java Web Start-programmer (f.eks. JNLP) som lastes ned fra Internett, signeres med et Developer ID-sertifikat. Gatekeeper vil kontrollere om nedlastede Java Web Start-programmer har signatur, og vil blokkere oppstart av disse programmene hvis de ikke er riktig signert.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: