Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002, som kan lastes ned og installeres via Programvareoppdatering-valgene eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Hvis du vil ha mer informasjon om PGP-nøkkelen for Apple-produktsikkerhet, kan du lese «Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon om andre sikkerhetsoppdateringer finnes her: Apple sikkerhetsoppdateringer.

OS X Mountain Lion v10.8.4 og sikkerhetsoppdatering 2013-002

Merk: OS X Mountain Lion v10.8.4 inkluderer innholdet i Safari 6.0.5. Hvis du vil ha mer informasjon, går du til Om sikkerhetsinnholdet i Safari 6.0.5.

  • CFNetwork

    Tilgjengelig for OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En angriper med tilgang til en brukerøkt kan være i stand til å logge inn på tidligere besøkte nettsteder, selv dersom Privat surfing ble brukt

    Beskrivelse: Permanente informasjonskapsler ble lagret etter avslutning av Safari, selv når Privat surfing ble brukt. Problemet ble løst gjennom forbedret håndtering av informasjonskapsler.

    CVE-ID

    CVE-2013-0982 : Alexander Traud fra www.traud.de

  • CoreAnimation

    Tilgjengelig for OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Besøk på et skadelig nettsted kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med ubegrenset stakkallokering i håndteringen av tekstglyfer. Dette kunne utløses av skadelige nettadresser i Safari. Problemet ble løst gjennom forbedret grenseverdikontroll.

    CVE-ID

    CVE-2013-0983 : David Fifield fra Stanford University, Ben Syverson

  • CoreMedia Playback

    Tilgjengelig for OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig filmfil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med bruk av ikke-initialisert minne i håndteringen av tekstspor. Problemet ble løst gjennom ytterligere validering av tekstspor.

    CVE-ID

    CVE-2013-1024 : Richard Kuo og Billy Suguitan fra Triemt Corporation

  • CUPS

    Tilgjengelig for OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En lokal bruker i lpadmin-gruppen kan være i stand til å lese eller skrive til vilkårlige filer med systemrettigheter

    Beskrivelse: Det var et problem med eskalering av rettigheter i håndteringen av CUPS-konfigurasjonen via CUPS-nettgrensesnittet. En lokal bruker i lpadmin-gruppen kan være i stand til å lese eller skrive til vilkårlige filer med systemrettigheter. Problemet ble løst ved å flytte visse konfigurasjonsdirektiver til cups-files.conf, som ikke kan redigeres via CUPS-nettgrensesnittet.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Virkning: En ekstern angriper kan kjøre vilkårlig kode med systemrettigheter på systemer der Directory Service er aktivert

    Beskrivelse: Det var et problem med katalogtjenerens håndtering av meldinger fra nettverket. Ved å sende en skadelig melding kunne en ekstern angriper få katalogtjeneren til å avsluttes eller kjøre vilkårlig kode med systemrettigheter. Problemet ble løst gjennom forbedret grensekontroll. Dette problemet berører ikke OS X Lion- eller OS X Mountain Lion-systemer.

    CVE-ID

    CVE-2013-0984 : Nicolas Economou fra Core Security

  • Disk Management

    Tilgjengelig for OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En lokal bruker kan deaktivere FileVault

    Beskrivelse: En lokal bruker som ikke er administrator, kan deaktivere FileVault via kommandolinjen. Problemet ble løst ved å legge til ytterligere autentisering.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En angriper kan være i stand til å dekryptere SSL-beskyttede data

    Beskrivelse: Det fantes kjente angrep på konfidensialiteten til TLS 1.0 når komprimering var aktivert. Problemet ble løst ved å deaktivere komprimering i OpenSSL.

    CVE-ID

    CVE-2012-4929 : Juliano Rizzo og Thai Duong

  • OpenSSL

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: OpenSSL ble oppdatert til versjon 0.9.8x for å løse flere sårbarheter som kan føre til tjenestenekt eller lekkasje av en privat nøkkel. Du finner mer informasjon på nettstedet for OpenSSL på http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Tilgjengelig for OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.2

    Virkning: Åpning av et skadelig PICT-bilde kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det fantes en bufferoverflyt i håndteringen av PICT-bilder. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0975 : Tobias Klein i samarbeid med HP Zero Day Initiative

  • QuickTime

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig filmfil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det fantes en bufferoverflyt i håndteringen av «enof»-atomer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0986 : Tom Gallagher (Microsoft) og Paul Bates (Microsoft) i samarbeid med HP Zero Day Initiative

  • QuickTime

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig QTIF-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med minnekorrupsjon i håndteringen av QTIF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0987 : roob i samarbeid med iDefense VCP

  • QuickTime

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Visning av en skadelig FPX-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det fantes en bufferoverflyt i håndteringen av FPX-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0988 : G. Geshev i samarbeid med HP Zero Day Initiative

  • QuickTime

    Tilgjengelig for OS X Mountain Lion v10.8 til v10.8.3

    Virkning: Avspilling av en skadelig MP3-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode

    Beskrivelse: Det fantes en bufferoverflyt i håndteringen av MP3-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-0989 : G. Geshev i samarbeid med HP Zero Day Initiative

  • Ruby

    Tilgjengelig for Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Virkning: Flere sårbarheter i Ruby on Rails

    Beskrivelse: Det fantes flere sårbarheter i Ruby on Rails. Den mest alvorlige av disse kan føre til kjøring av vilkårlig kode på systemer som kjører Ruby on Rails-programmer. Disse problemene ble løst ved å oppdatere Ruby on Rails til versjon 2.3.18. Dette problemet kan berøre OS X Lion- eller OS X Mountain Lion-systemer som er oppgradert fra Mac OS X 10.6.8 eller eldre. Brukere kan oppdatere berørte gem-pakker på slike systemer med verktøyet /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Tilgjengelig for OS X Lion v10.7 til v10.7.5, OS X Lion Server v10.7 til v10.7.5, OS X Mountain Lion v10.8 til v10.8.3

    Virkning: En autentisert bruker kan være i stand til å skrive til filer utenfor den delte katalogen

    Beskrivelse: Hvis SMB-fildeling er aktivert, kan en aktivert bruker være i stand til å skrive til filer utenfor den delte katalogen. Problemet ble løst gjennom forbedret tilgangskontroll.

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • Merk: Fra og med OS X v10.8.4 må Java Web Start (dvs. JNLP)-programmer som lastes ned fra internett, være signert med et utvikler-ID-sertifikat. Gatekeeper kontrollerer nedlastede Java Web Start-programmer for å sjekke om de har en signatur, og blokkerer dem fra å startes hvis de ikke er ordentlig signert.

    Du kan bruke codesign-verktøyet for å signere JNLP-filen. Da blir kodesignaturen lagt ved JNLP-filen som utvidede attributter. For å bevare disse attributtene kan du pakke JNLP-filen i en ZIP-, XIP- eller DMG-fil. Vær forsiktig når du bruker ZIP-formatet, siden enkelte tredjepartsverktøy kanskje ikke registrerer de nødvendige utvidede attributtene på riktig måte.

    Finn ut mer på Technical Note TN2206: OS X Code Signing In Depth (Teknisk merknad TN2206: OS X-kodesignering i detalj).

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: