Informacje o zawartości dotyczącej zabezpieczeń w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.5 i uaktualnieniu zabezpieczeń 2013-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.5 i uaktualnieniu zabezpieczeń 2013-004.

Można je pobrać i zainstalować za pośrednictwem preferencji obszaru Uaktualnienia oprogramowania lub z witryny Apple z materiałami do pobrania.

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.

Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.5 i uaktualnienie zabezpieczeń 2013-004

• Apache

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: istnieje wiele luk w zabezpieczeniach serwera Apache.

  Opis: oprogramowanie Apache zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować atak XSS (cross-site scripting). Te problemy rozwiązano przez uaktualnienie serwera Apache do wersji 2.2.24.

  Identyfikator CVE

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: istnieje wiele luk w zabezpieczeniach programu BIND.

  Opis: program BIND zawiera szereg luk w zabezpieczeniach, z których najpoważniejsze mogą pozwolić na atak typu „odmowa usługi”. Te problemy rozwiązano przez uaktualnienie programu BIND do wersji 9.8.5-P1. Błąd o identyfikatorze CVE-2012-5688 nie występuje na komputerach z systemem Mac OS X 10.7.

  Identyfikator CVE

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: nastąpiło uaktualnienie certyfikatu głównego.

  Opis: wiele certyfikatów dodano do listy lub usunięto z listy certyfikatów głównych. Kompletna lista rozpoznawanych przez system certyfikatów głównych jest dostępna w aplikacji Dostęp do pęku kluczy.

• ClamAV

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

  Zagrożenie: istnieje wiele luk w zabezpieczeniach w programie ClamAV.

  Opis: w programie ClamAV występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje ten problem przez uaktualnienie programu ClamAV do wersji 0.97.8.

  Identyfikator CVE

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi danych zakodowanych metodą JBIG2 w plikach PDF występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2013-1025: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

• ImageIO

  Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi danych zakodowanych metodą JPEG2000 w plikach PDF występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2013-1026: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google

• Installer

  Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: pakiety mogą być otwierane po unieważnieniu certyfikatu.

  Opis: gdy Instalator wykrywa nieważny certyfikat, wyświetla okno dialogowe z opcją kontynuowania. Ten problem rozwiązano przez usunięcie okna dialogowego i wprowadzeniu odmowy użycia nieważnego certyfikatu.

  Identyfikator CVE

  CVE-2013-1027

• IPSec

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: osoba atakująca może przechwycić dane chronione przez usługę IPSec Hybrid Auth.

  Opis: nie jest sprawdzana zgodność nazwy DNS serwera usługi IPSec Hybrid Auth z danymi certyfikatu, przez co osoba atakująca posiadająca certyfikat dowolnego serwera może podszyć się pod inny. Ten problem rozwiązano przez wprowadzenie właściwej procedury sprawdzania certyfikatu.

  Identyfikator CVE

  CVE-2013-1028: Alexander Traud z witryny www.traud.de

• Kernel

  Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

  Zagrożenie: użytkownik w sieci lokalnej może wywołać atak typu „odmowa usługi”.

  Opis: nieprawidłowy test w kodzie analizy pakietów IGMP w jądrze umożliwia użytkownikowi mogącemu wysyłać pakietu IGMP do systemu wywołanie błędu jądra. Ten problem rozwiązano przez usunięcie opisanego testu.

  Identyfikator CVE

  CVE-2013-1029: Christopher Bohn z PROTECTSTAR INC.

• Mobile Device Management

  Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: hasła mogą zostać ujawnione innym użytkownikom lokalnym.

  Opis: hasło może zostać przekazane w wierszu polecenia do narzędzia mdmclient, co powoduje jego ujawnienie innym użytkownikom tego samego komputera. Ten problem rozwiązano przez ustawienie przekazywania hasła przez potok.

  Identyfikator CVE

  CVE-2013-1030: Per Olofsson z Uniwersytetu w Göteborgu

• OpenSSL

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: istnieje wiele luk w zabezpieczeniach programu OpenSSL.

  Opis: w programie OpenSSL występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować ujawnienie danych użytkownika. Te problemy rozwiązano przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8y.

  Identyfikator CVE

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.

  Opis: w programie PHP występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może doprowadzić do wykonania dowolnego kodu. Te problemy rozwiązano przez uaktualnienie serwera PHP do wersji 5.3.26.

  Identyfikator CVE

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: istnieje wiele luk w zabezpieczeniach systemu PostgreSQL.

  Opis: system PostgreSQL zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą prowadzić do uszkodzenia danych lub poszerzenia uprawnień. Problem CVE-2013-1901 nie ma wpływu na komputery z systemem OS X Lion. To uaktualnienie rozwiązuje ten problem przez uaktualnienie systemu PostgreSQL do wersji 9.1.9 na komputerach z systemem OS X Mountain Lion i 9.0.4 na komputerach z systemem OS X Lion.

  Identyfikator CVE

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

  Zagrożenie: wygaszacz ekranu może nie zostać uruchomiony po określonym czasie.

  Opis: występuje problem z blokadą logiczną w procedurach obsługi zasilania. Ten problem rozwiązano przez poprawienie procedury obsługi blokad.

  Identyfikator CVE

  CVE-2013-1031

• QuickTime

  Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

  Opis: w procedurach obsługi atomów „idsc” w plikach filmów w formacie QuickTime występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2013-1032: Jason Kratzer we współpracy z organizacją iDefense VCP

• Screen Lock

  Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

  Zagrożenie: użytkownik z dostępem do funkcji współdzielenia ekranu może być w stanie ominąć blokadę ekranu, gdy inny użytkownik jest zalogowany.

  Opis: procedury zarządzania sesją współdzielenia ekranu przez blokadę ekranu zawierają błąd. Ten problem rozwiązano przez poprawienie procedur śledzenia sesji.

  Identyfikator CVE

  CVE-2013-1033: Jeff Grisso z Atos IT Solutions, Sébastien Stormacq

• sudo

  Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

  Zagrożenie: osoba atakująca kontrolująca konto administratora może być w stanie uzyskać uprawnienia użytkownika root, nie znając hasła użytkownika.

  Opis: ustawiając zegar systemowy, osoba atakująca może być w stanie użyć polecenia sudo, aby uzyskać uprawnienia użytkownika root na komputerze, na którym wcześniej użyto polecenia sudo. W systemie OS X tylko użytkownik będący administratorem może modyfikować zegar systemowy. Ten problem rozwiązano przez dodanie testu prawidłowości znacznika czasowego.

  Identyfikator CVE

  CVE-2013-1775

• Uwaga: w systemie OS X Mountain Lion 10.8.5 usunięto też problem, w wyniku którego niektóre ciągi Unicode mogły powodować nieoczekiwane zamykanie aplikacji.