Om sikkerhetsinnholdet i OS X Mavericks v10.9

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Product Security under Slik bruker du PGP-nøkkelen for Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

OS X Mavericks v10.9

  • Programspesifikk brannmur

    Virkning: Det kan hende socketfilterfw --blockApp ikke hindrer programmer i å motta nettverkstilkoblinger

    Beskrivelse: --blockApp-valget i kommandolinjeverktøyet socketfilterfw hindret ikke på riktig måte programmer i å motta nettverkstilkoblinger. Dette problemet ble løst gjennom forbedret håndtering av --blockApp-valgene.

    CVE-ID

    CVE-2013-5165: Alexander Frangis hos PopCap Games

  • App Sandbox

    Virkning: App Sandbox kan omgås

    Beskrivelse: LaunchServices-grensesnittet for å starte et program tillot at programmer i Sandbox kunne spesifisere argumentlisten som ble overført til den nye prosessen. Et kompromittert program i Sandbox kunne utnytte dette til å omgå Sandbox. Problemet ble løst ved å ikke tillate at programmer i Sandbox spesifiserer argumenter.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter hos The Soulmen GbR

  • Bluetooth

    Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

    Beskrivelse: Bluetooth USB-vertskontrolleren slettet grensesnitt som var nødvendig til senere operasjoner. Problemet ble løst ved å beholde grensesnittet til det ikke lenger var bruk for det.

    CVE-ID

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Virkning: Øktinformasjonskapsler kan bestå også etter at Safari har blitt nullstilt

    Beskrivelse: Nullstilling av Safari slettet ikke øktinformasjonskapsler før Safari ble lukket. Problemet ble løst ved forbedret håndtering av øktinformasjonskapsler.

    CVE-ID

    CVE-2013-5167: Graham Bennett, Rob Ansaldo hos Amherst College

  • CFNetwork SSL

    Virkning: En angriper kan dekryptere deler av en SSL-forbindelse

    Beskrivelse: Bare SSLv3- og TLS 1.0-versjonene av SSL ble brukt. Disse versjonene er gjenstand for protokollsvakheter ved bruk av blokkchifrering. En Man-in-the-Middle-angriper kunne injisere ugyldige data som førte til at forbindelsen ble lukket, men samtidig avdekke noe informasjon om tidligere data. Hvis samme forbindelse ble forsøkt gjentatte ganger, kunne angriperen kanskje til slutt dekryptere dataene som ble sendt, for eksempel et passord. Problemet ble løst ved å aktivere TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Konsoll

    Virkning: Å klikke på en skadelig loggoppføring kan føre til at et program kjøres uventet

    Beskrivelse: Denne oppdateringen endret virkemåten til Konsoll når det klikkes på en loggoppføring med en tilknyttet URL-adresse. Istedet for å åpne URL-adressen vil Konsoll nå forhåndsvise URL-adressen med Hurtigvisning.

    CVE-ID

    CVE-2013-5168: Aaron Sigel hos vtty.com

  • CoreGraphics

    Virkning: Windows kan være synlig over låseskjermen etter at skjermen har vært i dvale

    Beskrivelse: Det var et logisk problem i CoreGraphics' håndtering av skjermdvalemodus, som førte til ødeleggelse av data som kunne føre til at et vindu ble synlig over låseskjermen. Problemet ble løst ved forbedret håndtering av skjermdvale.

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var bufferunderflyt i håndteringen av PDF-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-5170: Will Dormann hos CERT/CC

  • CoreGraphics

    Virkning: Et program uten rettigheter kan logge tastaturtrykk som utføres i et annet program, selv om modus for sikre inndata er aktivert

    Beskrivelse: Ved å registrere for en tastatursnarveihendelse kunne et program uten rettigheter logge tastaturtrykk som ble utført i et annet program, selv om modus for sikre inndata var aktivert. Problemet ble løst ved ekstra validering av tastatursnarveier.

    CVE-ID

    CVE-2013-5171

  • curl

    Virkning: Flere sårbarheter i curl

    Beskrivelse: Det var mange sårbarheter i curl, og den alvorligste kan forårsake kjøring av vilkårlig kode. Problemene ble løst ved å oppdatere curl til versjon 7.30.0.

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Virkning: En angriper som har kjøring av vilkårlig kode på en enhet, kan være i stand til å beholde muligheten til å kjøre kode på tvers av omstarter

    Beskrivelse: Flere bufferoverflyter fantes i dylds openSharedCacheFile()-funksjon. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

    Beskrivelse: Det fantes en nullpeker-dereferanse i IOCatalogue. Problemet ble løst ved ekstra typekontroll.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

    Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • Kjerne

    Virkning: Bruk av SHA-2 sammendragsfunksjoner i kjernen kan føre til at systemet avsluttes uventet

    Beskrivelse: En feil utdatalengde ble brukt til SHA-2-serien med sammendragsfunksjoner, og det førte til kjernepanikk når disse funksjonene ble brukt, primært under IPSec-tilkoblinger. Problemet ble løst gjennom bruk av forventet utdatalengde.

    CVE-ID

    CVE-2013-5172: Christoph Nadig hos Lobotomo Software

  • Kjerne

    Virkning: Kjernestakkhukommelse kan bli avslørt for lokale brukere

    Beskrivelse: Det var et problem med fremlegging av informasjon i msgctl- og segctl-APIene. Problemet ble løst ved å initialisere datastrukturer returnert fra kjernen.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse fra Kenx Technology, Inc

  • Kjerne

    Virkning: En lokal bruker kan forårsake tjenestenekt

    Beskrivelse: Generatoren for tilfeldige tall i kjernen holdt en låsing mens forespørselen fra brukerområdet ble tilfredsstilt, noe som tillot at en lokal bruker laget en stor forespørsel og låsingen ble opprettholdt i en lengre tidsperiode, og det hindret tjenester fra generatoren for tilfeldige tall til andre brukere. Problemet ble løst ved å frigi låsingen og be om ny låsing oftere for store forespørsler.

    CVE-ID

    CVE-2013-5173: Jaakko Pero hos Aalto University

  • Kjerne

    Virkning: En lokal bruker uten rettigheter kan forårsake uventet avslutning av et system

    Beskrivelse: Det var et problem med heltallstegn ved håndtering av tty-lesinger. Problemet ble løst ved forbedret håndtering av tty-lesinger.

    CVE-ID

    CVE-2013-5174: CESG

  • Kjerne

    Virkning: En lokal bruker kan avdekke informasjon fra kjernehukommelsen eller få et system til å avsluttes uventet

    Beskrivelse: Det var et problem med lesing utenfor grenser i håndteringen av Mach-O-filer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-5175

  • Kjerne

    Virkning: En lokal bruker kan få et system til å henge

    Beskrivelse: Det var et problem med heltallsavkorting ved håndtering av tty-enheter. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-5176: CESG

  • Kjerne

    Virkning: En lokal bruker kan få et system avsluttes uventet

    Beskrivelse: Det kunne oppstå kjernepanikk når en ugyldig brukerlevert iovec-struktur ble oppdaget. Problemet ble løst med forbedret validering av iovec-strukturer.

    CVE-ID

    CVE-2013-5177: CESG

  • Kjerne

    Virkning: Prosesser uten rettigheter kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av argumenter til posix_spawn-APIen. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kjerne

    Virkning: Et kildespesifikt multicastprogram kan føre til at et system avsluttes uventet når det brukes et Wi-Fi-nettverk

    Beskrivelse: Det var et problem med feilkontroll ved håndtering av multicastpakker. Problemet ble løst ved forbedret håndtering av multicastpakker.

    CVE-ID

    CVE-2013-5184: Octoshape

  • Kjerne

    Virkning: En angriper på et lokalt nettverk kan forårsake nekting av tjenester

    Beskrivelse: En angriper på et lokalt nettverk kan sende spesielt utformede IPv6 ICMP-pakker og forårsake høy CPU-belastning. Problemet ble løst ved å hastighetsbegrense ICMP-pakker før sjekksummen deres verifiseres.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kjerne

    Virkning: Et skadelig lokalt program kunne forårsake at et system henger

    Beskrivelse: En var et problem med avkorting av heltall i kjernesocketgrensesnittet, som kan forårsake at CPUen tvinges inn i en uendelig sløyfe. Problemet ble løst ved å bruke en større variabel.

    CVE-ID

    CVE-2013-5141: CESG

  • Kext-administrasjon

    Virkning: En uautorisert prosess kan deaktivere enkelte innlastede kjerneutvidelser

    Beskrivelse: Det var et problem med kext-administrasjonens håndtering av IPC-meldinger fra uautoriserte sendere. Problemet ble løst ved å legge til ekstra autorisasjonskontroller.

    CVE-ID

    CVE-2013-5145: "Rainbow PRISM"

  • LaunchServices

    Virkning: En fil kunne vise feil filendelse

    Beskrivelse: Det var et problem med håndteringen av enkelte Unicode-tegn som kunne tillate at filnavn viste feil filendelser. Problemet ble løst ved å filtrere usikre Unicode-tegn slik at de ikke ble vist i filnavn.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman hos Mozilla Corporation, Stephane Sudre hos Intego

  • Libc

    Virkning: Under uvanlige omstendigheter kunne enkelte tilfeldige tall være forutsigbare

    Beskrivelse: Hvis generatoren for tilfeldige tall ikke var tilgjengelig for srandomdev(), brukte funksjonen en alternativ metode som hadde blitt fjernet ved optimalisering, og det førte til mangel på tilfeldighet. Problemet ble løst ved å endre koden til å være riktig under optimalisering.

    CVE-ID

    CVE-2013-5180: Xi Wang

  • Mail-kontoer

    Virkning: Det er ikke sikkert Mail velger den sikreste godkjenningsmetoden som er tilgjengelig

    Beskrivelse: Ved automatisk konfigurering av en e-postkonto på enkelte e-posttjenere, ville Mail velge godkjenning i ren tekst i stedet for CRAM-MD5-godkjenning. Problemet ble løst med forbedret logisk håndtering.

    CVE-ID

    CVE-2013-5181

  • Meldingshodevisning

    Virkning: En usignert melding kan vise seg å være gyldig signert

    Beskrivelse: Det var et logisk problem i Mails håndtering av usignerte meldinger som likevel inneholdt en flerdelt/signert del. Problemet ble løst gjennom forbedret håndtering av usignerte meldinger.

     

    CVE-ID

    CVE-2013-5182: Michael Roitzsch ved Technische Universität Dresden

  • Mail-nettverk

    Virkning: Informasjon kan en kort stund overføres som ren tekst når ikke-TLS-kryptering er konfigurert

    Beskrivelse: Når Kerberos-godkjenning var aktivert og TLS (Transport Layer Security) var deaktivert, ville Mail sende enkelte ikke-krypterte data til e-posttjeneren, og det førte til en uventet avslutning av tilkoblingen. Problemet ble løst ved forbedret håndtering av denne konfigurasjonen.

    CVE-ID

    CVE-2013-5183: Richard E. Silverman hos www.qoxp.net

  • OpenLDAP

    Virkning: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen

    Beskrivelse: Kommandolinjeverktøyet ldapsearch tok ikke hensyn til minssf-konfigurasjonen, og det kunne føre til at svak kryptering uventet ble tillatt. Problemet ble løst med forbedret håndtering av minssf-konfigurasjonen.

    CVE-ID

    CVE-2013-5185

  • perl

    Virkning: Perl-skript kan være sårbare for nekting av tjeneste

    Beskrivelse: rehash-merkanismen i utdaterte versjoner av Perl kan være sårbare for nekting av tjeneste i skript som bruker ikke godkjente inndata som hash-nøkler. Problemet ble løst ved å oppdatere til Perl 5.16.2.

    CVE-ID

    CVE-2013-1667

  • Strømstyring

    Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode

    Beskrivelse: Det var et låseproblem i strømstyring. Problemet ble løst ved forbedret låshåndtering.

    CVE-ID

    CVE-2013-5186: David Herman hos Sensible DB Design

  • python

    Virkning: Flere sårbarheter i python 2.7

    Beskrivelse: Det er mange sårbarheter i python 2.7.2, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere python til versjon 2.7.5. Ytterligere informasjon er tilgjengelig via python-nettstedet på http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Virkning: Flere sårbarheter i python 2.6

    Beskrivelse: Det er mange sårbarheter i python 2.6.7, og den alvorligste kan forårsake dekryptering av innholdet i en SSL-tilkobling. Denne oppdateringen løser problemet ved å oppdatere phyton til versjon 2.6.8 og bruke oppdateringsfilen for CVE-2011-4944 fra python-prosjektet. Ytterligere informasjon kan fås på nettstedet for python på http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: Det var et valideringsproblem for vertsnavn i Rubys håndtering av SSL-sertifikater. Problemet ble løst ved å oppdatere Ruby til versjon 2.0.0p247.

    CVE-ID

    CVE-2013-4073

  • Sikkerhet

    Virkning: Støtte for X.509-sertifikater med MD5-hash-koder kan usette brukere for forfalsking og avdekking av informasjon etter hvert som angrep forbedres

    Beskrivelse: Sertifikater som var signert med MD5 hash-algoritmen ble godtatt av OS X. Denne algoritmen har kjente kryptografiske svakheter. Videre undersøkelser eller en feilkonfigurert sertifikatautoritet kunne ha tillatt oppretting av X.509-sertifikater med angriperstyrte verdier som ville blitt godkjent av systemet. Dette ville ha utsatt X.509-baserte protokoller for forfalskning, Man-in-the-Middle-angrep og avdekking av informasjon. Denne oppdateringen deaktiverer støtte for et X.509-sertifikat med MD5-«hash» for all annen bruk enn som et godkjent rotsertifikat.

    CVE-ID

    CVE-2011-3427

  • Sikkerhet - godkjenning

    Virkning: Sikkerhetsvalgene for en administrator respekteres kanskje ikke

    Beskrivelse: Innstillingen "Krev administratorpassord for tilgang til systemvalg med låssymboler" tillater at administratorer legger til et ekstra lag med beskyttelse på sensitive systeminnstillinger. I enkelte tilfeller der en administrator hadde aktivert denne innstillingen, kunne en programvareoppdatering eller -oppgradering ført til deaktivering av innstillingen. Problemet ble løst ved forbedret håndtering av godkjenningsrettigheter.

    CVE-ID

    CVE-2013-5189: Greg Onufer

  • Sikkerhet - smartkorttjenester

    Virkning: Smartkorttjenester kan være utilgjengelige når sertifikattilbakekallingskontroller er aktivert

    Beskrivelse: Det var et logikkproblem i OS Xs håndtering av sertifikattilbakekallingskontroller for smartkort. Problemet ble løst med forbedret sertifikattilbakekallingsstøtte.

    CVE-ID

    CVE-2013-5190: Yongjun Jeon hos Centrify Corporation

  • Skjermlås

    Virkning: Det kan hende Lås skjerm-kommandoen ikke trer i kraft umiddelbart

    Beskrivelse: Lås skjerm-kommandoen i menylinjeobjektet Nøkkelringstatus ble ikke tatt i bruk før etter at innstillingen "Krev passord [tid] etter aktivering av dvale eller skjermsparer" hadde utløpt.

    CVE-ID

    CVE-2013-5187: Michael Kisor hos OrganicOrb.com, Christian Knappskog hos NTNU (Norges teknisk-naturvitenskapelige universitet), Stefan Grönke (CCC Trier), Patrick Reed

  • Skjermlås

    Virkning: En Mac-maskin i dvalemodus med Automatisk pålogging krever kanskje ikke et passord for å kunne vekkes

    Beskrivelse: En Mac-maskin i dvalemodus og automatisk pålogging aktivert kan tillate vekking fra dvale uten at det bes om et passord. Dette problemet er løst gjennom forbedret låshåndtering.

    CVE-ID

    CVE-2013-5188: Levi Musters

  • Skjermdelingstjener

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var en formatstrengsårbarhet i skjermdelingstjenerens håndtering av VNC-brukernavnet.

    CVE-ID

    CVE-2013-5135: SilentSignal som arbeider med iDefense VCP

  • syslog

    Virkning: En Gjest-bruker kan se loggmeldinger fra tidligere gjester

    Beskrivelse: Konsolloggen var synlig for Gjest-brukeren og inneholdt meldinger fra tidligere Gjest-brukerøkter. Problemet ble løst ved å gjøre konsolloggen for Gjest-brukere synlig bare for administratorer.

    CVE-ID

    CVE-2013-5191: Sven-S. Porst hos earthlingsoft

  • USB

    Virkning: Et skadelig lokalt program kunne forårsake at systemet avsluttes uventet

    Beskrivelse: USB-hubkontrolleren kontrollerte ikke porten og portnummeret til forespørsler. Problemet ble løst ved å legge til kontroller for porten og portnummeret.

    CVE-ID

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi og Aristide Fattori hos Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Merk: OS X Mavericks inkluderer Safari 7.0, som inkluderer sikkerhetsinnholdet til Safari 6.1. Hvis du vil vite mer, kan du se "Om sikkerhetsinnholdet i Safari 6.1" på http://support.apple.com/kb/HT6000?viewlocale=no_NO

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: