Disse kan lastes ned og installeres via Programvareoppdatering-valg eller fra Support Nedlastinger.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004
-
Apache
Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Flere sårbarheter i Apache
Beskrivelse: Det var mange sårbarheter i Apache, og den alvorligste kan føre til skripting mellom nettsteder. Disse problemene ble løst ved å oppdatere Apache til versjon 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
-
Bind
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Flere sårbarheter i BIND
Beskrivelse: Det var flere sårbarheter i BIND, og de alvorligste kan føre til tjenestenekting. Disse problemene ble løst ved å oppdatere BIND til versjon 9.8.5-P1. CVE-2012-5688 påvirket ikke Mac OS X v10.7-systemer.
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
-
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Rotsertifikater har blitt oppdatert
Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots. Den komplette listen over gjenkjente system-roots kan vises via Nøkkelringtilgang-programmet.
-
ClamAV
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
Virkning: Flere sårbarheter i ClamAV
Beskrivelse: Det er mange svakheter i ClamAV, og den alvorligste kan forårsake kjøring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere ClamAV til versjon 0.97.8.
CVE-ID
CVE-2013-2020
CVE-2013-2021
-
CoreGraphics
Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.
CVE-ID
CVE-2013-1025 : Felix Groebert fra Google Security Team
-
ImageIO
Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.
CVE-ID
CVE-2013-1026 : Felix Groebert fra Google Security Team
-
Installeringsprogram
Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Pakker kunne åpnes etter oppheving av sertifikat
Beskrivelse: Da installeringsprogrammet oppdaget et opphevet sertifikat, presenterte det en dialogrute med et valg for å fortsette. Problemet ble løst ved å fjerne dialogruten og avvise alle opphevede pakker.
CVE-ID
CVE-2013-1027
-
IPSec
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: En angriper kan fange opp data som er beskyttet med IPSec Hybrid Auth
Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-tjener ble ikke sammenholdt med sertifikatet slik at en angriper med et sertifikat for hvilken som helst tjener, kunne utgi seg for å være en annen. Dette problemet ble løst med riktig kontroll av sertifikatet.
CVE-ID
CVE-2013-1028: Alexander Traud fra www.traud.de
-
Kjerne
Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4
Virkning: En lokal nettverksbruker kan forårsake tjenestenekt
Beskrivelse: En feil sjekk i IGMP-pakkeanalysekoden i kjernen gjorde det mulig for en bruker som kunne sende IGMP-pakker til systemet, å forårsake en kjernepanikk. Problemet ble løst ved å fjerne sjekken.
CVE-ID
CVE-2013-1029 : Christopher Bohn fra PROTECTSTAR INC.
-
Mobile Device Management
Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Passord kan bli vist til andre lokale brukere
Beskrivelse: Et passord ble sendt på kommandolinjen til mdmclient, noe som gjorde det synlig for andre brukere i samme system. Problemet ble løst ved å kommunisere passordet gjennom et rør.
CVE-ID
CVE-2013-1030 : Per Olofsson fra universitetet i Gøteborg
-
OpenSSL
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Flere sårbarheter i OpenSSL
Beskrivelse: Det var flere sårbarheter i OpenSSL, og den alvorligste kan forårsake fremlegging av brukerdata. Disse problemene ble løst ved å oppdatere OpenSSL til versjon 0.9.8y.
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
-
PHP
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Flere svakheter i PHP
Beskrivelse: Det var mange sårbarheter i PHP, og den alvorligste kan forårsake kjøring av vilkårlig kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.3.26.
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
-
PostgreSQL
Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Flere sårbarheter i PostgreSQL
Beskrivelse: Det er flere sårbarheter i PostgreSQL, og den alvorligste kan føre til dataødeleggelse eller eskalering av rettigheter. CVE-2013-1901 påvirker ikke OS X Lion-systemer. Denne oppdateringen løser problemene ved å oppdatere PostgreSQL til versjon 9.1.9 i OS X Mountain Lion-systemer, og til 9.0.4 i OS X Lion-systemer.
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
-
Strømstyring
Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4
Virkning: Skjermspareren starter kanskje ikke etter angitt tidsperiode
Beskrivelse: Det var et problem med strømpåstandslås. Dette problemet er løst gjennom forbedret låshåndtering.
CVE-ID
CVE-2013-1031
-
QuickTime
Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av "idsc"-atomer i QuickTime-filmfiler. Dette problemet ble løst ved ekstra grensekontroll.
CVE-ID
CVE-2013-1032 : Jason Kratzer som arbeider hos iDefense VCP
-
Skjermlås
Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4
Virkning: En bruker med skjermdelingstilgang kan forbigå skjermlåsen når en annen bruker er logget på
Beskrivelse: Det var et øktadministrasjonsproblem i skjermlåsens håndtering av skjermdelingsøkter. Dette problemet ble løst ved forbedret sporing av økter.
CVE-ID
CVE-2013-1033 : Jeff Grisso fra Atos IT Solutions, Sébastien Stormacq
-
sudo
Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4
Virkning: En angriper med kontroll over en administratorbrukerkonto kan greie å få rotrettigheter uten å kjenne brukerens passord
Beskrivelse: Ved å fastsette systemklokken kan an angriper kunne bruke sudo til å oppnå rotrettigheter i systemer der sudo har vært brukt tidligere. I OS X er det bare administratorbrukere som kan endre systemklokken. Dette problemet ble løst ved å se etter et ugyldig tidsstempel.
CVE-ID
CVE-2013-1775
-
Merk: OS X Mountain Lion v10.8.5 løser også et problem der visse Unicode-strenger kunne føre til at programmer avsluttet uventet.