Informacje o zawartości dotyczącej zabezpieczeń w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.3 i uaktualnieniu zabezpieczeń 2013-001

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.3 i uaktualnieniu zabezpieczeń 2013-001.

Uaktualnienie systemu Mountain Lion do wersji 10.8.3 i uaktualnienie zabezpieczeń 2013-001 można pobrać i zainstalować przy użyciu preferencji funkcji Uaktualnienia oprogramowania albo z witryny materiałów do pobrania firmy Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uwaga: uaktualnienie systemu OS X Mountain Lion do wersji 10.8.3 obejmuje zawartość dotyczącą przeglądarki Safari 6.0.3. Więcej informacji można znaleźć w artykule Informacje o zawartości związanej z zabezpieczeniami w przeglądarce Safari 6.0.3.

Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.3 i uaktualnienie zabezpieczeń 2013-001

  • Apache

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: atakująca osoba może być w stanie uzyskać dostęp do katalogów chronionych za pomocą uwierzytelniania HTTP, nie znając poprawnych poświadczeń.

    Opis: w procedurze obsługi identyfikatorów URI z ignorowalnymi sekwencjami znaków Unicode występował błąd sprowadzania do postaci kanonicznej. Ten błąd naprawiono przez uaktualnienie modułu mod_hfs_apple tak, aby nie zezwalać na dostęp do identyfikatorów URI z ignorowalnymi sekwencjami znaków Unicode.

    Identyfikator CVE

    CVE-2013-0966: Clint Ruoho z Laconic Security

  • CoreTypes

    Dostępne dla: systemów OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do automatycznego uruchomienia aplikacji Java Web Start, nawet jeśli wtyczka Java jest wyłączona.

    Opis: aplikacje Java Web Start mogły zostać uruchomione nawet wtedy, gdy wtyczka Java była wyłączona. Ten błąd naprawiono przez usunięcie plików JNLP z listy bezpiecznych typów plików CoreTypes, tak aby aplikacja Web Start mogła być uruchamiana tylko w sytuacji, gdy użytkownik otworzy ją w katalogu Pobrane.

    Identyfikator CVE

    CVE-2013-0967

  • Biblioteka ICU (International Components for Unicode)

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować atak XSS (cross-site scripting).

    Opis: w procedurach kodowania EUC-JP występował błąd sprowadzania do postaci kanonicznej, który mógł spowodować atak XSS (cross-site scripting) na witryny kodowane w standardzie EUC-JP. Ten błąd naprawiono przez uaktualnienie tablicy mapowania EUC-JP.

    Identyfikator CVE

    CVE-2011-3058: Masato Kinugawa

  • Usługi tożsamości

    Dostępne dla: systemów OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: uwierzytelnianie oparte na certyfikacie i identyfikatorze Apple ID może być pomijane.

    Opis: w procedurze obsługi błędów przez usługi tożsamości występował błąd. Jeśli nie uda się sprawdzić poprawności certyfikatu Apple ID użytkownika, przyjmuje się, że identyfikator Apple ID użytkownika jest pustym ciągiem. Jeśli wiele systemów należących do różnych użytkowników zostanie wprowadzonych w ten stan, aplikacje polegające na tym mechanizmie ustalania tożsamości mogą błędnie rozszerzać zakres zaufania. Ten błąd naprawiono przez dodanie mechanizmu zapewniania, że zamiast pustego ciągu zwracana jest wartość NULL.

    Identyfikator CVE

    CVE-2013-0963

  • ImageIO

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku TIFF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi obrazów TIFF przez bibliotekę libtiff występował błąd przepełnienia buforu. Ten błąd naprawiono przez zastosowanie dodatkowej procedury sprawdzania poprawności obrazów TIFF.

    Identyfikator CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Dostępne dla: systemu OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi danych graficznych występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0976: anonimowy badacz

  • Jądro

    Dostępne dla: systemu OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: złośliwie spreparowane lub zmodyfikowane aplikacje mogą być w stanie ustalić adresy w jądrze.

    Opis: w procedurze obsługi interfejsów API powiązanych z rozszerzeniami jądra występuje błąd mogący powodować ujawnienie informacji. Odpowiedzi zawierające klucz OSBundleMachOHeaders mogą zawierać adresy jądra, co może ułatwić ominięcie ochrony polegającej na losowym wybieraniu układu przestrzeni adresowej. Ten błąd naprawiono przez cofnięcie przesunięcia adresów przed zwróceniem ich.

    Identyfikator CVE

    CVE-2012-3749: Mark Dowd z firmy Azimuth Security, Eric Monti z firmy Square i inni anonimowi badacze

  • Okno logowania

    Dostępne dla: systemu OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: atakująca osoba, która ma dostęp do klawiatury, może zmodyfikować konfigurację systemu.

    Opis: w obsłudze okna logowania przez funkcję VoiceOver występował błąd logiczny, w wyniku którego atakująca osoba z dostępem do klawiatury mogła otworzyć Preferencje systemowe i zmodyfikować konfigurację systemu. Ten błąd naprawiono przez uniemożliwienie funkcji VoiceOver uruchamiania aplikacji w oknie logowania.

    Identyfikator CVE

    CVE-2013-0969: Eric A. Schulman z Purpletree Labs

  • Wiadomości

    Dostępne dla: systemu OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: kliknięcie łącza w aplikacji Wiadomości może spowodować nawiązanie połączenia FaceTime bez wyświetlania monitu.

    Opis: kliknięcie specjalnie sformatowanego adresu FaceTime:// w aplikacji Wiadomości mógł spowodować obejście standardowego monitu o potwierdzenie. Ten błąd naprawiono przez zastosowanie dodatkowej procedury sprawdzania poprawności adresów FaceTime://.

    Identyfikator CVE

    CVE-2013-0970: Aaron Sigel z vtty.com

  • Serwer wiadomości

    Dostępne dla: systemów Mac OS X Server 10.6.8, OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować zmianę trasy federacyjnych wiadomości programu Jabber.

    Opis: w procedurze obsługi komunikatów z wynikiem oddzwaniania przez serwer programu Jabber występował błąd. Atakująca osoba może sprawić, że serwer programu Jabber ujawni informacje przeznaczone dla użytkowników serwerów federacyjnych. Ten błąd naprawiono przez poprawienie obsługi komunikatów z wynikiem oddzwaniania.

    Identyfikator CVE

    CVE-2012-3525

  • PDFKit

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi odręcznych adnotacji w plikach PDF występował błąd dotyczący użycia po zwolnieniu. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

    Identyfikator CVE

    CVE-2013-0971: Tobias Klein pracujący w ramach programu Zero Day Initiative firmy HP TippingPoint

  • Podcast Producer Server

    Dostępne dla: systemów Mac OS X Server 10.6.8, OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi parametrów XML przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez wyłączenie parametrów XML w implementacji środowiska Rails używanej przez program Podcast Producer Server.

    Identyfikator CVE

    CVE-2013-0156

  • Podcast Producer Server

    Dostępne dla: systemu OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi danych JSON przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez zastosowanie zaplecza JSONGem na potrzeby parsowania danych JSON w implementacji środowiska Rails używanej przez program Podcast Producer Server.

    Identyfikator CVE

    CVE-2013-0333

  • PostgreSQL

    Dostępne dla: systemów Mac OS X Server 10.6.8, OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: wiele luk w zabezpieczeniach systemu PostgreSQL.

    Opis: system PostgreSQL został uaktualniony do wersji 9.1.5, aby usunąć szereg luk w zabezpieczeniach, z których najpoważniejsze mogły pozwolić użytkownikom bazy danych na odczytywanie plików z systemu plików z uprawnieniami konta mającego rolę serwera bazy danych. Więcej informacji można znaleźć w witrynie systemu PostgreSQL pod adresem http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    Identyfikator CVE

    CVE-2012-3488

    CVE-2012-3489

  • Profile Manager

    Dostępne dla: systemu OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi parametrów XML przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez wyłączenie parametrów XML w implementacji środowiska Rails używanej przez narzędzie Profile Manager.

    Identyfikator CVE

    CVE-2013-0156

  • QuickTime

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu

    Opis: w procedurze obsługi ramek „rnet” w plikach MP4 występował błąd przepełnienia buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2012-3756: Kevin Szkudlapski z firmy QuarksLab

  • Ruby

    Dostępne dla: systemu Mac OS X Server 10.6.8

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu, jeśli jest uruchomiona aplikacja Rails.

    Opis: w procedurze obsługi parametrów XML przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez wyłączenie obsługi języka YAML i symboli w parametrach XML w środowisku Rails.

    Identyfikator CVE

    CVE-2013-0156

  • Zabezpieczenia

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.

    Opis: urząd TURKTRUST omyłkowo wystawił kilka certyfikatów pośrednich. W rezultacie napastnik może zastosować metodę man-in-the-middle, aby przekierowywać połączenia i przechwytywać dane uwierzytelniania użytkownika oraz inne poufne informacje. Ten błąd naprawiono przez zablokowanie niepoprawnych certyfikatów SSL.

  • Uaktualnienie oprogramowania

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może spowodować wykonanie dowolnego kodu.

    Opis: aplikacja Uaktualnienia oprogramowania umożliwiała przeprowadzenie ataku „man in the middle” mającego na celu wstawienie treści współpracującej z wtyczkami internetowymi w tekście marketingowym wyświetlanym razem z uaktualnieniami. Może to pozwolić na wykorzystanie podatnej wtyczki lub ułatwić ataki socjotechniczne z użyciem wtyczek. Ten problem nie występuje na komputerach z systemem OS X Mountain Lion. Ten błąd naprawiono przez uniemożliwienie wczytywania wtyczek w widoku WebView z tekstem marketingowym w aplikacji Uaktualnienia oprogramowania.

    Identyfikator CVE

    CVE-2013-0973: Emilio Escobar

  • Serwer Wiki

    Dostępne dla: systemu OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi parametrów XML przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez wyłączenie parametrów XML w implementacji środowiska Rails używanej przez serwer Wiki.

    Identyfikator CVE

    CVE-2013-0156

  • Serwer Wiki

    Dostępne dla: systemu OS X Lion Server w wersji od 10.7 do 10.7.5

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi danych JSON przez środowisko Ruby on Rails występował błąd z rzutowaniem typów. Ten błąd naprawiono przez zastosowanie zaplecza JSONGem na potrzeby parsowania danych JSON w implementacji środowiska Rails używanej przez serwer Wiki.

    Identyfikator CVE

    CVE-2013-0333

  • Usuwanie złośliwego oprogramowania

    Dostępne dla: systemów Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Opis: to uaktualnienie powoduje uruchomienie narzędzia do usuwania złośliwego oprogramowania, które usunie najczęściej występujące warianty złośliwego oprogramowania. W przypadku znalezienia złośliwego oprogramowania zostanie wyświetlone okno dialogowe w celu powiadomienia użytkownika o usunięciu tego oprogramowania. Jeśli złośliwe oprogramowanie nie zostanie znalezione, nie będzie przedstawiane żadne powiadomienie dla użytkownika.

 

Funkcja FaceTime nie jest dostępna we wszystkich krajach i regionach.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: