Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.4 i uaktualnieniu zabezpieczeń 2013-002

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.4 i uaktualnieniu zabezpieczeń 2013-002. Oba uaktualnienia można pobrać i zainstalować przy użyciu preferencji funkcji Uaktualnienia oprogramowania lub z witryny materiałów do pobrania firmy Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
 

Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.4 i Uaktualnienie zabezpieczeń 2013-002

Uwaga: uaktualnienie systemu OS X Mountain Lion do wersji 10.8.4 obejmuje zawartość dotyczącą przeglądarki Safari 6.0.5. Więcej informacji można znaleźć w artykule Informacje o funkcjach przeglądarki Safari 6.0.5 dotyczących zabezpieczeń.

  • CFNetwork

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: osoba atakująca, która ma dostęp do sesji użytkownika, może być w stanie zalogować się do poprzednio odwiedzonych witryn, nawet jeśli był używany tryb Przeglądanie prywatne.

    Opis: trwałe pliki cookie są zachowywane po zamknięciu przeglądarki Safari, nawet jeśli jest włączony tryb Przeglądanie prywatne. Rozwiązanie problemu polega na poprawieniu procedur obsługi plików cookie.

    Identyfikator CVE

    CVE-2013-0982: Alexander Traud z witryny www.traud.de

  • CoreAnimation

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

    Opis: w procedurach obsługi symboli tekstowych występuje błąd alokacji niepowiązanych stosów. Ten problem może występować w przypadku złośliwie spreparowanych adresów URL w przeglądarce Safari. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0983: David Fifield z uczelni Stanford University, Ben Syverson

  • Odtwarzanie w programie CoreMedia

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi ścieżek tekstowych występuje błąd niezainicjowanego dostępu do pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności ścieżek tekstowych.

    Identyfikator CVE

    CVE-2013-1024: Richard Kuo i Billy Suguitan z firmy Triemt Corporation

  • CUPS

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: użytkownik lokalny należący do grupy lpadmin może być w stanie odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi.

    Opis: w procedurach obsługi konfiguracji systemu CUPS za pośrednictwem interfejsu internetowego systemu CUPS występuje błąd powodujący poszerzenie uprawnień. Użytkownik lokalny należący do grupy lpadmin może odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi. Rozwiązanie tego problemu polega na przeniesieniu pewnych dyrektyw konfiguracyjnych do pliku cups-files.conf, którego nie można modyfikować za pomocą interfejsu internetowego systemu CUPS.

    Identyfikator CVE

    CVE-2012-5519

  • Usługa katalogowa

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: osoba atakująca zdalnie może uruchamiać dowolny kod z uprawnieniami systemowymi w systemach z włączoną usługą katalogową.

    Opis: w procedurach obsługi komunikatów z sieci przez serwer katalogowy istnieje błąd. Wysyłając złośliwie spreparowany komunikat, osoba atakująca zdalnie może spowodować zakończenie działania serwera katalogowego lub wykonanie dowolnego kodu z uprawnieniami systemowymi. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Lion lub OS X Mountain Lion.

    Identyfikator CVE

    CVE-2013-0984: Nicolas Economou z firmy Core Security

  • Zarządzanie dyskami

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: użytkownik lokalny może wyłączyć funkcję FileVault.

    Opis: użytkownik lokalny niebędący administratorem może wyłączyć funkcję FileVault za pomocą wiersza poleceń. Rozwiązanie tego problemu polega na zastosowaniu dodatkowego uwierzytelniania.

    Identyfikator CVE

    CVE-2013-0985

  • OpenSSL

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

    Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu TLS 1.0 w przypadku włączenia kompresji. Rozwiązanie tego problemu polega na wyłączeniu kompresji w programie OpenSSL.

    Identyfikator CVE

    CVE-2012-4929: Juliano Rizzo i Thai Duong

  • OpenSSL

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: wiele luk w zabezpieczeniach programu OpenSSL.

    Opis: program OpenSSL został uaktualniony do wersji 0.9.8x w celu usunięcia wielu luk w zabezpieczeniach, które mogą pozwolić na przeprowadzenie ataku typu „odmowa usługi” lub spowodować ujawnienie klucza prywatnego. Więcej informacji można znaleźć w witrynie internetowej programu OpenSSL pod adresem http://www.openssl.org/news/

    Identyfikator CVE

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

    Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi obrazów PICT występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0975: Tobias Klein pracujący w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi atomów „enof” występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0986: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku QTIF może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików QTIF występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0987: użytkownik roob pracujący w ramach programu iDefense VCP

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku FPX może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików FPX występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0988: G. Geshev pracujący w ramach programu Zero Day Initiative firmy HP

  • QuickTime

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku MP3 może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików MP3 występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-0989: G. Geshev pracujący w ramach programu Zero Day Initiative firmy HP

  • Ruby

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Zagrożenie: wiele luk w zabezpieczeniach środowiska Ruby on Rails.

    Opis: w środowisku Ruby on Rails występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu w systemie, w którym są uruchomione aplikacje środowiska Ruby on Rails. Rozwiązanie tych problemów polega na uaktualnieniu środowiska Ruby on Rails do wersji 2.3.18. Ten problem może dotyczyć komputerów z systemem OS X Lion lub OS X Mountain Lion, które zostały zaktualizowane z systemu Mac OS X 10.6.8 lub starszego. Za pomocą narzędzia /usr/bin/gem użytkownicy mogą uaktualnić w takich systemach pakiety gem, których dotyczy ten problem.

    Identyfikator CVE

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

    Zagrożenie: uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym.

    Opis: gdy jest włączone udostępnianie plików SMB, uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym. Rozwiązanie tego problemu polega na poprawieniu kontroli dostępu.

    Identyfikator CVE

    CVE-2013-0990: Ward van Wanrooij

  • Uwaga: począwszy od systemu OS X 10.8.4, aplikacje Java Web Start (JNLP) pobierane z Internetu muszą być podpisane za pomocą certyfikatu z identyfikatorem Developer ID. Funkcja Gatekeeper sprawdza obecność podpisu w pobieranych aplikacjach Java Web Start i blokuje uruchamianie takich aplikacji, jeśli nie są odpowiednio podpisane.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: