Zawartość związana z zabezpieczeniami w systemie OS X Mountain Lion 10.8.4 i uaktualnieniu zabezpieczeń 2013-002

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie OS X Mountain Lion 10.8.4 i uaktualnieniu zabezpieczeń 2013-002, które można zainstalować za pośrednictwem preferencji Uaktualnienia oprogramowania lub z witryny Apple z materiałami do pobrania.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

OS X Mountain Lion 10.8.4 i uaktualnienie zabezpieczeń 2013-002

Uwaga: system OS X Mountain Lion 10.8.4 obejmuje zawartość przeglądarki Safari 6.0.5. Więcej informacji można znaleźć w artykule Zawartość związana z zabezpieczeniami w przeglądarce Safari 6.0.5.

  • CFNetwork

    Dostępne dla: systemu OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: osoba atakująca, która ma dostęp do sesji użytkownika, może być w stanie zalogować się do poprzednio odwiedzonych witryn, nawet jeśli był używany tryb Przeglądanie prywatne.

    Opis: trwałe pliki cookie są zachowywane po zamknięciu przeglądarki Safari, nawet jeśli jest włączony tryb Przeglądanie prywatne. Ten problem rozwiązano przez poprawienie obsługi plików cookie.

    Identyfikator CVE

    CVE-2013-0982: Alexander Traud z witryny www.traud.de

  • CoreAnimation

    Dostępne dla: systemów OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurach obsługi symboli tekstowych występuje błąd alokacji niepowiązanych stosów. Ten problem może występować w przypadku złośliwie spreparowanych adresów URL w przeglądarce Safari. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0983 : David Fifield ze Stanford University, Ben Syverson

  • CoreMedia Playback

    Dostępne dla: systemów OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi ścieżek tekstowych występuje błąd niezainicjowanego dostępu do pamięci. Ten błąd naprawiono przez zastosowanie dodatkowej procedury sprawdzania poprawności ścieżek tekstowych.

    Identyfikator CVE

    CVE-2013-1024: Richard Kuo i Billy Suguitan z Triemt Corporation

  • CUPS

    Dostępne dla: systemu OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: użytkownik lokalny należący do grupy lpadmin może być w stanie odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi.

    Opis: w procedurach obsługi konfiguracji systemu CUPS za pośrednictwem interfejsu internetowego systemu CUPS występuje błąd powodujący poszerzenie uprawnień. Użytkownik lokalny należący do grupy lpadmin może odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi. Rozwiązanie tego problemu polega na przeniesieniu pewnych dyrektyw konfiguracyjnych do pliku cups-files.conf, którego nie można modyfikować za pomocą interfejsu internetowego systemu CUPS.

    Identyfikator CVE

    CVE-2012-5519

  • Directory Service

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: osoba atakująca zdalnie może uruchamiać dowolny kod z uprawnieniami systemowymi w systemach z włączoną usługą katalogową.

    Opis: w procedurach obsługi komunikatów z sieci przez serwer katalogowy istnieje błąd. Wysyłając złośliwie spreparowany komunikat, osoba atakująca zdalnie może spowodować zakończenie działania serwera katalogowego lub wykonanie dowolnego kodu z uprawnieniami systemowymi. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Lion lub OS X Mountain Lion.

    Identyfikator CVE

    CVE-2013-0984: Nicolas Economou z Core Security

  • Disk Management

    Dostępne dla: systemu OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: użytkownik lokalny może wyłączyć funkcję FileVault.

    Opis: użytkownik lokalny niebędący administratorem może wyłączyć funkcję FileVault za pomocą wiersza poleceń. Ten błąd naprawiono przez zastosowanie dodatkowego uwierzytelniania.

    Identyfikator CVE

    CVE-2013-0985

  • OpenSSL

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu TLS 1.0 w przypadku włączenia kompresji. Ten problem rozwiązano przez wyłączenie kompresji w programie OpenSSL.

    Identyfikator CVE

    CVE-2012-4929: Juliano Rizzo i Thai Duong

  • OpenSSL

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: wiele luk w zabezpieczeniach programu OpenSSL.

    Opis: program OpenSSL został uaktualniony do wersji 0.9.8x w celu usunięcia wielu luk w zabezpieczeniach, które mogą pozwolić na przeprowadzenie ataku typu „odmowa usługi” lub spowodować ujawnienie klucza prywatnego. Więcej informacji można znaleźć w witrynie internetowej programu OpenSSL pod adresem http://www.openssl.org/news/

    Identyfikator CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Dostępne dla: systemów OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.2

    Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów PICT występuje błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0975: Tobias Klein w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi atomów „enof” występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku QTIF może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików QTIF występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0987: roob we współpracy z iDefense VCP

  • QuickTime

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku FPX może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików FPX występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0988: G. Geshev w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: systemu OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku MP3 może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików MP3 występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0989: G. Geshev w ramach programu Zero Day Initiative firmy HP

  • Ruby

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: wiele luk w zabezpieczeniach środowiska Ruby on Rails.

    Opis: w środowisku Ruby on Rails występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu w systemie, w którym są uruchomione aplikacje środowiska Ruby on Rails. Te problemy rozwiązano przez uaktualnienie środowiska Ruby on Rails do wersji 2.3.18. Ten problem może dotyczyć komputerów z systemem OS X Lion lub OS X Mountain Lion, które zostały uaktualnione z systemu Mac OS X 10.6.8 lub starszego. Za pomocą narzędzia /usr/bin/gem użytkownicy mogą uaktualnić w takich systemach pakiety gem, których dotyczy ten problem.

    Identyfikator CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Dostępne dla: systemów OS X Lion 10.7 do 10.7.5, OS X Lion Server 10.7 do 10.7.5, OS X Mountain Lion 10.8 do 10.8.3

    Zagrożenie: uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym.

    Opis: gdy jest włączone udostępnianie plików SMB, uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym. Ten błąd naprawiono przez ulepszenie kontroli dostępu.

    Identyfikator CVE

    CVE-2013-0990: Ward van Wanrooij

  • Uwaga: począwszy od systemu OS X 10.8.4, aplikacje Java Web Start (JNLP) pobierane z Internetu muszą być podpisane za pomocą certyfikatu z identyfikatorem Developer ID. Funkcja Gatekeeper sprawdza obecność podpisu w pobieranych aplikacjach Java Web Start i blokuje uruchamianie takich aplikacji, jeśli nie są odpowiednio podpisane.

    Do podpisania pliku JNLP można użyć narzędzia codesign, które dołączy podpis kodu do pliku JNLP jako rozszerzone atrybuty. Aby zachować te atrybuty, spakuj plik JNLP do pliku ZIP, XIP lub DMG. Zachowaj ostrożność podczas korzystania z formatu ZIP, ponieważ niektóre narzędzia innych firm mogą nie przechwytywać poprawnie wymaganych atrybutów rozszerzonych.

    Więcej informacji: Notatka techniczna TN2206: szczegółowy opis podpisywania kodu w systemie OS X.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: