W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.


Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.4 i Uaktualnienie zabezpieczeń 2013-002
Uwaga: uaktualnienie systemu OS X Mountain Lion do wersji 10.8.4 obejmuje zawartość dotyczącą przeglądarki Safari 6.0.5. Więcej informacji można znaleźć w artykule Informacje o funkcjach przeglądarki Safari 6.0.5 dotyczących zabezpieczeń.
- 

- 

CFNetwork

Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: osoba atakująca, która ma dostęp do sesji użytkownika, może być w stanie zalogować się do poprzednio odwiedzonych witryn, nawet jeśli był używany tryb Przeglądanie prywatne.

Opis: trwałe pliki cookie są zachowywane po zamknięciu przeglądarki Safari, nawet jeśli jest włączony tryb Przeglądanie prywatne. Rozwiązanie problemu polega na poprawieniu procedur obsługi plików cookie.

Identyfikator CVE

CVE-2013-0982: Alexander Traud z witryny www.traud.de

 

- 

- 

CoreAnimation

Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: w procedurach obsługi symboli tekstowych występuje błąd alokacji niepowiązanych stosów. Ten problem może występować w przypadku złośliwie spreparowanych adresów URL w przeglądarce Safari. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0983: David Fifield z uczelni Stanford University, Ben Syverson

 

- 

- 

Odtwarzanie w programie CoreMedia

Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi ścieżek tekstowych występuje błąd niezainicjowanego dostępu do pamięci. Rozwiązanie tego problemu polega na zastosowaniu dodatkowej procedury sprawdzania poprawności ścieżek tekstowych.

 
Identyfikator CVE

CVE-2013-1024: Richard Kuo i Billy Suguitan z firmy Triemt Corporation

 

- 

- 

CUPS

Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: użytkownik lokalny należący do grupy lpadmin może być w stanie odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi.

Opis: w procedurach obsługi konfiguracji systemu CUPS za pośrednictwem interfejsu internetowego systemu CUPS występuje błąd powodujący poszerzenie uprawnień. Użytkownik lokalny należący do grupy lpadmin może odczytywać lub zapisywać dowolne pliki z uprawnieniami systemowymi. Rozwiązanie tego problemu polega na przeniesieniu pewnych dyrektyw konfiguracyjnych do pliku cups-files.conf, którego nie można modyfikować za pomocą interfejsu internetowego systemu CUPS.

Identyfikator CVE

CVE-2012-5519

 

- 

- 

Usługa katalogowa

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Zagrożenie: osoba atakująca zdalnie może uruchamiać dowolny kod z uprawnieniami systemowymi w systemach z włączoną usługą katalogową.

Opis: w procedurach obsługi komunikatów z sieci przez serwer katalogowy istnieje błąd. Wysyłając złośliwie spreparowany komunikat, osoba atakująca zdalnie może spowodować zakończenie działania serwera katalogowego lub wykonanie dowolnego kodu z uprawnieniami systemowymi. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemem OS X Lion lub OS X Mountain Lion.

Identyfikator CVE

CVE-2013-0984: Nicolas Economou z firmy Core Security

 

- 

- 

Zarządzanie dyskami

Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: użytkownik lokalny może wyłączyć funkcję FileVault.

Opis: użytkownik lokalny niebędący administratorem może wyłączyć funkcję FileVault za pomocą wiersza poleceń. Rozwiązanie tego problemu polega na zastosowaniu dodatkowego uwierzytelniania.

Identyfikator CVE

CVE-2013-0985

 

- 

- 

OpenSSL

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

Opis: znane są ataki na poufność komunikacji za pośrednictwem protokołu TLS 1.0 w przypadku włączenia kompresji. Rozwiązanie tego problemu polega na wyłączeniu kompresji w programie OpenSSL.

Identyfikator CVE

CVE-2012-4929: Juliano Rizzo i Thai Duong

 

- 

- 

OpenSSL

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: wiele luk w zabezpieczeniach programu OpenSSL.

Opis: program OpenSSL został uaktualniony do wersji 0.9.8x w celu usunięcia wielu luk w zabezpieczeniach, które mogą pozwolić na przeprowadzenie ataku typu „odmowa usługi” lub spowodować ujawnienie klucza prywatnego. Więcej informacji można znaleźć w witrynie internetowej programu OpenSSL pod adresem http://www.openssl.org/news/

Identyfikator CVE

CVE-2011-1945

CVE-2011-3207

CVE-2011-3210

CVE-2011-4108

CVE-2011-4109

CVE-2011-4576

CVE-2011-4577

CVE-2011-4619

CVE-2012-0050

CVE-2012-2110

CVE-2012-2131

CVE-2012-2333

 

- 

- 

QuickDraw Manager

Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.2

Zagrożenie: otwarcie złośliwie spreparowanego obrazu PICT może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.

Opis: w procedurach obsługi obrazów PICT występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0975: Tobias Klein pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi atomów „enof” występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0986: Tom Gallagher (Microsoft) i Paul Bates (Microsoft) pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku QTIF może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików QTIF występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0987: użytkownik roob pracujący w ramach programu iDefense VCP

 

- 

- 

QuickTime

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku FPX może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików FPX występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0988: G. Geshev pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

QuickTime

Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: odtworzenie złośliwie spreparowanego pliku MP3 może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze obsługi plików MP3 występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

Identyfikator CVE

CVE-2013-0989: G. Geshev pracujący w ramach programu Zero Day Initiative firmy HP

 

- 

- 

Ruby

Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8

Zagrożenie: wiele luk w zabezpieczeniach środowiska Ruby on Rails.

Opis: w środowisku Ruby on Rails występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu w systemie, w którym są uruchomione aplikacje środowiska Ruby on Rails. Rozwiązanie tych problemów polega na uaktualnieniu środowiska Ruby on Rails do wersji 2.3.18. Ten problem może dotyczyć komputerów z systemem OS X Lion lub OS X Mountain Lion, które zostały zaktualizowane z systemu Mac OS X 10.6.8 lub starszego. Za pomocą narzędzia /usr/bin/gem użytkownicy mogą uaktualnić w takich systemach pakiety gem, których dotyczy ten problem.

Identyfikator CVE

CVE-2013-0155

CVE-2013-0276

CVE-2013-0277

CVE-2013-0333

CVE-2013-1854

CVE-2013-1855

CVE-2013-1856

CVE-2013-1857

 

- 

- 

SMB

Dostępne dla: OS X Lion w wersji od 10.7 do 10.7.5, OS X Lion Server w wersji od 10.7 do 10.7.5, OS X Mountain Lion w wersji od 10.8 do 10.8.3

Zagrożenie: uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym.

Opis: gdy jest włączone udostępnianie plików SMB, uwierzytelniony użytkownik może zapisywać pliki poza katalogiem udostępnionym. Rozwiązanie tego problemu polega na poprawieniu kontroli dostępu.

Identyfikator CVE

CVE-2013-0990: Ward van Wanrooij

 

- 

- 

Uwaga: począwszy od systemu OS X 10.8.4, aplikacje Java Web Start (JNLP) pobierane z Internetu muszą być podpisane za pomocą certyfikatu z identyfikatorem Developer ID. Funkcja Gatekeeper sprawdza obecność podpisu w pobieranych aplikacjach Java Web Start i blokuje uruchamianie takich aplikacji, jeśli nie są odpowiednio podpisane.