Om sikkerhetsinnholdet i OS X Mavericks v10.9
Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Product Security under Slik bruker du PGP-nøkkelen for Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
OS X Mavericks v10.9
Programspesifikk brannmur
Virkning: Det kan hende socketfilterfw --blockApp ikke hindrer programmer i å motta nettverkstilkoblinger
Beskrivelse: --blockApp-valget i kommandolinjeverktøyet socketfilterfw hindret ikke på riktig måte programmer i å motta nettverkstilkoblinger. Dette problemet ble løst gjennom forbedret håndtering av --blockApp-valgene.
CVE-ID
CVE-2013-5165: Alexander Frangis hos PopCap Games
App Sandbox
Virkning: App Sandbox kan omgås
Beskrivelse: LaunchServices-grensesnittet for å starte et program tillot at programmer i Sandbox kunne spesifisere argumentlisten som ble overført til den nye prosessen. Et kompromittert program i Sandbox kunne utnytte dette til å omgå Sandbox. Problemet ble løst ved å ikke tillate at programmer i Sandbox spesifiserer argumenter.
CVE-ID
CVE-2013-5179: Friedrich Graeter hos The Soulmen GbR
Bluetooth
Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet
Beskrivelse: Bluetooth USB-vertskontrolleren slettet grensesnitt som var nødvendig til senere operasjoner. Problemet ble løst ved å beholde grensesnittet til det ikke lenger var bruk for det.
CVE-ID
CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano
CFNetwork
Virkning: Øktinformasjonskapsler kan bestå også etter at Safari har blitt nullstilt
Beskrivelse: Nullstilling av Safari slettet ikke øktinformasjonskapsler før Safari ble lukket. Problemet ble løst ved forbedret håndtering av øktinformasjonskapsler.
CVE-ID
CVE-2013-5167: Graham Bennett, Rob Ansaldo hos Amherst College
CFNetwork SSL
Virkning: En angriper kan dekryptere deler av en SSL-forbindelse
Beskrivelse: Bare SSLv3- og TLS 1.0-versjonene av SSL ble brukt. Disse versjonene er gjenstand for protokollsvakheter ved bruk av blokkchifrering. En Man-in-the-Middle-angriper kunne injisere ugyldige data som førte til at forbindelsen ble lukket, men samtidig avdekke noe informasjon om tidligere data. Hvis samme forbindelse ble forsøkt gjentatte ganger, kunne angriperen kanskje til slutt dekryptere dataene som ble sendt, for eksempel et passord. Problemet ble løst ved å aktivere TLS 1.2.
CVE-ID
CVE-2011-3389
Konsoll
Virkning: Å klikke på en skadelig loggoppføring kan føre til at et program kjøres uventet
Beskrivelse: Denne oppdateringen endret virkemåten til Konsoll når det klikkes på en loggoppføring med en tilknyttet URL-adresse. Istedet for å åpne URL-adressen vil Konsoll nå forhåndsvise URL-adressen med Hurtigvisning.
CVE-ID
CVE-2013-5168: Aaron Sigel hos vtty.com
CoreGraphics
Virkning: Windows kan være synlig over låseskjermen etter at skjermen har vært i dvale
Beskrivelse: Det var et logisk problem i CoreGraphics' håndtering av skjermdvalemodus, som førte til ødeleggelse av data som kunne føre til at et vindu ble synlig over låseskjermen. Problemet ble løst ved forbedret håndtering av skjermdvale.
CVE-ID
CVE-2013-5169
CoreGraphics
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var bufferunderflyt i håndteringen av PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-5170: Will Dormann hos CERT/CC
CoreGraphics
Virkning: Et program uten rettigheter kan logge tastaturtrykk som utføres i et annet program, selv om modus for sikre inndata er aktivert
Beskrivelse: Ved å registrere for en tastatursnarveihendelse kunne et program uten rettigheter logge tastaturtrykk som ble utført i et annet program, selv om modus for sikre inndata var aktivert. Problemet ble løst ved ekstra validering av tastatursnarveier.
CVE-ID
CVE-2013-5171
curl
Virkning: Flere sårbarheter i curl
Beskrivelse: Det var mange sårbarheter i curl, og den alvorligste kan forårsake kjøring av vilkårlig kode. Problemene ble løst ved å oppdatere curl til versjon 7.30.0.
CVE-ID
CVE-2013-0249
CVE-2013-1944
dyld
Virkning: En angriper som har kjøring av vilkårlig kode på en enhet, kan være i stand til å beholde muligheten til å kjøre kode på tvers av omstarter
Beskrivelse: Flere bufferoverflyter fantes i dylds openSharedCacheFile()-funksjon. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-3950: Stefan Esser
IOKitUser
Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet
Beskrivelse: Det fantes en nullpeker-dereferanse i IOCatalogue. Problemet ble løst ved ekstra typekontroll.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen
Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-5139: @dent1zt
Kjerne
Virkning: Bruk av SHA-2 sammendragsfunksjoner i kjernen kan føre til at systemet avsluttes uventet
Beskrivelse: En feil utdatalengde ble brukt til SHA-2-serien med sammendragsfunksjoner, og det førte til kjernepanikk når disse funksjonene ble brukt, primært under IPSec-tilkoblinger. Problemet ble løst gjennom bruk av forventet utdatalengde.
CVE-ID
CVE-2013-5172: Christoph Nadig hos Lobotomo Software
Kjerne
Virkning: Kjernestakkhukommelse kan bli avslørt for lokale brukere
Beskrivelse: Det var et problem med fremlegging av informasjon i msgctl- og segctl-APIene. Problemet ble løst ved å initialisere datastrukturer returnert fra kjernen.
CVE-ID
CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc
Kjerne
Virkning: En lokal bruker kan forårsake tjenestenekt
Beskrivelse: Generatoren for tilfeldige tall i kjernen holdt en låsing mens forespørselen fra brukerområdet ble tilfredsstilt, noe som tillot at en lokal bruker laget en stor forespørsel og låsingen ble opprettholdt i en lengre tidsperiode, og det hindret tjenester fra generatoren for tilfeldige tall til andre brukere. Problemet ble løst ved å frigi låsingen og be om ny låsing oftere for store forespørsler.
CVE-ID
CVE-2013-5173: Jaakko Pero hos Aalto University
Kjerne
Virkning: En lokal bruker uten rettigheter kan forårsake uventet avslutning av et system
Beskrivelse: Det var et problem med heltallstegn ved håndtering av tty-lesinger. Problemet ble løst ved forbedret håndtering av tty-lesinger.
CVE-ID
CVE-2013-5174: CESG
Kjerne
Virkning: En lokal bruker kan avdekke informasjon fra kjernehukommelsen eller få et system til å avsluttes uventet
Beskrivelse: Det var et problem med lesing utenfor grenser i håndteringen av Mach-O-filer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-5175
Kjerne
Virkning: En lokal bruker kan få et system til å henge
Beskrivelse: Det var et problem med heltallsavkorting ved håndtering av tty-enheter. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-5176: CESG
Kjerne
Virkning: En lokal bruker kan få et system avsluttes uventet
Beskrivelse: Det kunne oppstå kjernepanikk når en ugyldig brukerlevert iovec-struktur ble oppdaget. Problemet ble løst med forbedret validering av iovec-strukturer.
CVE-ID
CVE-2013-5177: CESG
Kjerne
Virkning: Prosesser uten rettigheter kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av argumenter til posix_spawn-APIen. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2013-3954: Stefan Esser
Kjerne
Virkning: Et kildespesifikt multicastprogram kan føre til at et system avsluttes uventet når det brukes et Wi-Fi-nettverk
Beskrivelse: Det var et problem med feilkontroll ved håndtering av multicastpakker. Problemet ble løst ved forbedret håndtering av multicastpakker.
CVE-ID
CVE-2013-5184: Octoshape
Kjerne
Virkning: En angriper på et lokalt nettverk kan forårsake nekting av tjenester
Beskrivelse: En angriper på et lokalt nettverk kan sende spesielt utformede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst ved å hastighetsbegrense ICMP-pakker før sjekksummen deres verifiseres.
CVE-ID
CVE-2011-2391: Marc Heuse
Kjerne
Virkning: Et skadelig lokalt program kunne forårsake at et system henger
Beskrivelse: En var et problem med avkorting av heltall i kjernesocketgrensesnittet, som kan forårsake at CPUen tvinges inn i en uendelig sløyfe. Problemet ble løst ved å bruke en større variabel.
CVE-ID
CVE-2013-5141: CESG
Kext-administrasjon
Virkning: En uautorisert prosess kan deaktivere enkelte innlastede kjerneutvidelser
Beskrivelse: Det var et problem med kext-administrasjonens håndtering av IPC-meldinger fra uautoriserte sendere. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.
CVE-ID
CVE-2013-5145: "Rainbow PRISM"
LaunchServices
Virkning: En fil kunne vise feil filendelse
Beskrivelse: Det var et problem med håndteringen av enkelte Unicode-tegn som kunne tillate at filnavn viste feil filendelser. Problemet ble løst ved å filtrere usikre Unicode-tegn slik at de ikke ble vist i filnavn.
CVE-ID
CVE-2013-5178: Jesse Ruderman hos Mozilla Corporation, Stephane Sudre hos Intego
Libc
Virkning: Under uvanlige omstendigheter kunne enkelte tilfeldige tall være forutsigbare
Beskrivelse: Hvis generatoren for tilfeldige tall ikke var tilgjengelig for srandomdev(), brukte funksjonen en alternativ metode som hadde blitt fjernet ved optimalisering, og det førte til mangel på tilfeldighet. Problemet ble løst ved å endre koden til å være riktig under optimalisering.
CVE-ID
CVE-2013-5180: Xi Wang
Mail-kontoer
Virkning: Det er ikke sikkert Mail velger den sikreste godkjenningsmetoden som er tilgjengelig
Beskrivelse: Ved automatisk konfigurering av en e-postkonto på enkelte e-posttjenere, ville Mail velge godkjenning i ren tekst i stedet for CRAM-MD5-godkjenning. Problemet ble løst med forbedret logisk håndtering.
CVE-ID
CVE-2013-5181
Meldingshodevisning
Virkning: En usignert melding kan vise seg å være gyldig signert
Beskrivelse: Det var et logisk problem i Mails håndtering av usignerte meldinger som likevel inneholdt en flerdelt/signert del. Problemet ble løst gjennom forbedret håndtering av usignerte meldinger.
CVE-ID
CVE-2013-5182: Michael Roitzsch ved Technische Universität Dresden
Mail-nettverk
Virkning: Informasjon kan en kort stund overføres som ren tekst når ikke-TLS-kryptering er konfigurert
Beskrivelse: Når Kerberos-godkjenning var aktivert og TLS (Transport Layer Security) var deaktivert, ville Mail sende enkelte ikke-krypterte data til e-posttjeneren, og det førte til en uventet avslutning av tilkoblingen. Problemet ble løst ved forbedret håndtering av denne konfigurasjonen.
CVE-ID
CVE-2013-5183: Richard E. Silverman hos www.qoxp.net
OpenLDAP
Virkning: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen
Beskrivelse: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen, og det kunne føre til at svak kryptering uventet ble tillatt. Problemet ble løst med forbedret håndtering av minssf-konfigurasjonen.
CVE-ID
CVE-2013-5185
perl
Virkning: Perl-skript kan være sårbare for nekting av tjeneste
Beskrivelse: rehash-merkanismen i utdaterte versjoner av Perl kan være sårbare for nekting av tjeneste i skript som bruker ikke godkjente inndata som hash-nøkler. Problemet ble løst ved å oppdatere til Perl 5.16.2.
CVE-ID
CVE-2013-1667
Strømstyring
Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode
Beskrivelse: Det var et låseproblem i strømstyring. Problemet ble løst ved forbedret låshåndtering.
CVE-ID
CVE-2013-5186: David Herman hos Sensible DB Design
python
Virkning: Flere sårbarheter i python 2.7
Beskrivelse: Det er mange sårbarheter i python 2.7.2, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere python til versjon 2.7.5. Ytterligere informasjon er tilgjengelig via python-nettstedet på http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Virkning: Flere sårbarheter i python 2.6
Beskrivelse: Det er mange sårbarheter i python 2.6.7, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere phyton til versjon 2.6.8 og bruke oppdateringsfilen for CVE-2011-4944 fra python-prosjektet. Ytterligere informasjon kan fås på nettstedet for python på http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon
Beskrivelse: Det var et valideringsproblem for vertsnavn i Rubys håndtering av SSL-sertifikater. Problemet ble løst ved å oppdatere Ruby til versjon 2.0.0p247.
CVE-ID
CVE-2013-4073
Sikkerhet
Virkning: Støtte for X.509-sertifikater med MD5-hash-koder kan usette brukere for forfalsking og avdekking av informasjon etter hvert som angrep forbedres
Beskrivelse: Sertifikater som var signert med MD5 hash-algoritmen ble godtatt av OS X. Denne algoritmen har kjente kryptografiske svakheter. Videre undersøkelser eller en feilkonfigurert sertifikatautoritet kunne ha tillatt oppretting av X.509-sertifikater med angriperstyrte verdier som ville blitt godkjent av systemet. Dette ville ha utsatt X.509-baserte protokoller for forfalskning, Man-in-the-Middle-angrep og avdekking av informasjon. Denne oppdateringen deaktiverer støtte for et X.509-sertifikat med MD5-«hash» for all annen bruk enn som et godkjent rotsertifikat.
CVE-ID
CVE-2011-3427
Sikkerhet - godkjenning
Virkning: Sikkerhetsvalgene for en administrator respekteres kanskje ikke
Beskrivelse: Innstillingen "Krev administratorpassord for tilgang til systemvalg med låssymboler" tillater at administratorer legger til et ekstra lag med beskyttelse på sensitive systeminnstillinger. I enkelte tilfeller der en administrator hadde aktivert denne innstillingen, kunne en programvareoppdatering eller -oppgradering ført til deaktivering av innstillingen. Problemet ble løst ved forbedret håndtering av godkjenningsrettigheter.
CVE-ID
CVE-2013-5189: Greg Onufer
Sikkerhet - smartkorttjenester
Virkning: Smartkorttjenester kan være utilgjengelige når sertifikattilbakekallingskontroller er aktivert
Beskrivelse: Det var et logikkproblem i OS Xs håndtering av sertifikattilbakekallingskontroller for smartkort. Problemet ble løst med forbedret sertifikattilbakekallingsstøtte.
CVE-ID
CVE-2013-5190: Yongjun Jeon hos Centrify Corporation
Skjermlås
Virkning: Det kan hende Lås skjerm-kommandoen ikke trer i kraft umiddelbart
Beskrivelse: Lås skjerm-kommandoen i menylinjeobjektet Nøkkelringstatus ble ikke tatt i bruk før etter at innstillingen "Krev passord [tid] etter aktivering av dvale eller skjermsparer" hadde utløpt.
CVE-ID
CVE-2013-5187: Michael Kisor hos OrganicOrb.com, Christian Knappskog hos NTNU (Norges teknisk-naturvitenskapelige universitet), Stefan Grönke (CCC Trier), Patrick Reed
Skjermlås
Virkning: En Mac-maskin i dvalemodus med Automatisk pålogging krever kanskje ikke et passord for å kunne vekkes
Beskrivelse: En Mac-maskin i dvalemodus og automatisk pålogging aktivert kan tillate vekking fra dvale uten at det bes om et passord. Dette problemet er løst gjennom forbedret låshåndtering.
CVE-ID
CVE-2013-5188: Levi Musters
Skjermdelingstjener
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Det var en formatstrengsårbarhet i skjermdelingstjenerens håndtering av VNC-brukernavnet.
CVE-ID
CVE-2013-5135: SilentSignal som arbeider med iDefense VCP
syslog
Virkning: En Gjest-bruker kan se loggmeldinger fra tidligere gjester
Beskrivelse: Konsolloggen var synlig for Gjest-brukeren og inneholdt meldinger fra tidligere Gjest-brukerøkter. Problemet ble løst ved å gjøre konsolloggen for Gjest-brukere synlig bare for administratorer.
CVE-ID
CVE-2013-5191: Sven-S. Porst hos earthlingsoft
USB
Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet
Beskrivelse: USB-hubkontrolleren kontrollerte ikke porten og portnummeret til forespørsler. Problemet ble løst ved å legge til kontroller for porten og portnummeret.
CVE-ID
CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano
Merk: OS X Mavericks inkluderer Safari 7.0, som inkluderer sikkerhetsinnholdet til Safari 6.1. Hvis du vil vite mer, kan du se "Om sikkerhetsinnholdet i Safari 6.1" på http://support.apple.com/kb/HT6000?viewlocale=no_NO
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.