Om sikkerhetsinnholdet i OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004.

Disse kan lastes ned og installeres via Programvareoppdatering-valg eller fra Support Nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer

OS X Mountain Lion v10.8.5 og sikkerhetsoppdatering 2013-004

  • Apache

    Tilgjengelig for: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i Apache

    Beskrivelse: Det var mange sårbarheter i Apache, og den alvorligste kan føre til skripting mellom nettsteder. Disse problemene ble løst ved å oppdatere Apache til versjon 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i BIND

    Beskrivelse: Det var flere sårbarheter i BIND, og de alvorligste kan føre til tjenestenekting. Disse problemene ble løst ved å oppdatere BIND til versjon 9.8.5-P1. CVE-2012-5688 påvirket ikke Mac OS X v10.7-systemer.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Flere sertifikater ble lagt til eller fjernet fra listen over system-roots. Den komplette listen over gjenkjente system-roots kan vises via Nøkkelringtilgang-programmet.

  • ClamAV

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Virkning: Flere sårbarheter i ClamAV

    Beskrivelse: Det er mange svakheter i ClamAV, og den alvorligste kan forårsake kjøring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere ClamAV til versjon 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JBIG2-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1025 : Felix Groebert fra Google Security Team

  • ImageIO

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av JPEG2000-kodede data i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1026 : Felix Groebert fra Google Security Team

  • Installeringsprogram

    Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Pakker kunne åpnes etter oppheving av sertifikat

    Beskrivelse: Da installeringsprogrammet oppdaget et opphevet sertifikat, presenterte det en dialogrute med et valg for å fortsette. Problemet ble løst ved å fjerne dialogruten og avvise alle opphevede pakker.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En angriper kan fange opp data som er beskyttet med IPSec Hybrid Auth

    Beskrivelse: DNS-navnet på en IPSec Hybrid Auth-tjener ble ikke sammenholdt med sertifikatet slik at en angriper med et sertifikat for hvilken som helst tjener, kunne utgi seg for å være en annen. Dette problemet ble løst med riktig kontroll av sertifikatet.

    CVE-ID

    CVE-2013-1028: Alexander Traud fra www.traud.de

  • Kjerne

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En lokal nettverksbruker kan forårsake tjenestenekt

    Beskrivelse: En feil sjekk i IGMP-pakkeanalysekoden i kjernen gjorde det mulig for en bruker som kunne sende IGMP-pakker til systemet, å forårsake en kjernepanikk. Problemet ble løst ved å fjerne sjekken.

    CVE-ID

    CVE-2013-1029 : Christopher Bohn fra PROTECTSTAR INC.

  • Mobile Device Management

    Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Passord kan bli vist til andre lokale brukere

    Beskrivelse: Et passord ble sendt på kommandolinjen til mdmclient, noe som gjorde det synlig for andre brukere i samme system. Problemet ble løst ved å kommunisere passordet gjennom et rør.

    CVE-ID

    CVE-2013-1030 : Per Olofsson fra universitetet i Gøteborg

  • OpenSSL

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: Det var flere sårbarheter i OpenSSL, og den alvorligste kan forårsake fremlegging av brukerdata. Disse problemene ble løst ved å oppdatere OpenSSL til versjon 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere svakheter i PHP

    Beskrivelse: Det var mange sårbarheter i PHP, og den alvorligste kan forårsake kjøring av vilkårlig kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Flere sårbarheter i PostgreSQL

    Beskrivelse: Det er flere sårbarheter i PostgreSQL, og den alvorligste kan føre til dataødeleggelse eller eskalering av rettigheter. CVE-2013-1901 påvirker ikke OS X Lion-systemer. Denne oppdateringen løser problemene ved å oppdatere PostgreSQL til versjon 9.1.9 i OS X Mountain Lion-systemer, og til 9.0.4 i OS X Lion-systemer.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Strømstyring

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Skjermspareren starter kanskje ikke etter angitt tidsperiode

    Beskrivelse: Det var et problem med strømpåstandslås. Dette problemet er løst gjennom forbedret låshåndtering.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Tilgjengelig for: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av "idsc"-atomer i QuickTime-filmfiler. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2013-1032 : Jason Kratzer som arbeider hos iDefense VCP

  • Skjermlås

    Tilgjengelig for: OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En bruker med skjermdelingstilgang kan forbigå skjermlåsen når en annen bruker er logget på

    Beskrivelse: Det var et øktadministrasjonsproblem i skjermlåsens håndtering av skjermdelingsøkter. Dette problemet ble løst ved forbedret sporing av økter.

    CVE-ID

    CVE-2013-1033 : Jeff Grisso fra Atos IT Solutions, Sébastien Stormacq

  • sudo

    Tilgjengelig for: , OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 til v10.8.4

    Virkning: En angriper med kontroll over en administratorbrukerkonto kan greie å få rotrettigheter uten å kjenne brukerens passord

    Beskrivelse: Ved å fastsette systemklokken kan an angriper kunne bruke sudo til å oppnå rotrettigheter i systemer der sudo har vært brukt tidligere. I OS X er det bare administratorbrukere som kan endre systemklokken. Dette problemet ble løst ved å se etter et ugyldig tidsstempel.

    CVE-ID

    CVE-2013-1775

 

  • Merk: OS X Mountain Lion v10.8.5 løser også et problem der visse Unicode-strenger kunne føre til at programmer avsluttet uventet.

 

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: