Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.5 i Uaktualnieniu zabezpieczeń 2013-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mountain Lion do wersji 10.8.5 i Uaktualnieniu zabezpieczeń 2013-004.

Można je pobrać i zainstalować za pomocą preferencji Uaktualnienia programów lub w witrynie materiałów do pobrania firmy Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple

Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.5 i Uaktualnienie zabezpieczeń 2013-004

  • Apache

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: istnieje wiele luk w zabezpieczeniach serwera Apache.

    Opis: oprogramowanie Apache zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować atak XSS (cross-site scripting). W celu rozwiązania tych problemów należy uaktualnić serwer Apache do wersji 2.2.24.

    Identyfikator CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: istnieje wiele luk w zabezpieczeniach programu BIND.

    Opis: program BIND zawiera szereg luk w zabezpieczeniach, z których najpoważniejsze mogą pozwolić na atak typu „odmowa usługi”. Rozwiązanie tych problemów polega na uaktualnieniu programu BIND do wersji 9.8.5-P1. Błąd o identyfikatorze CVE-2012-5688 nie występuje na komputerach z systemem Mac OS X 10.7.

    Identyfikator CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Zasady dotyczące zaufania dla certyfikatów

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: nastąpiło uaktualnienie certyfikatu głównego

    Opis: wiele certyfikatów dodano do lub usunięto z listy certyfikatów głównych. Kompletna lista rozpoznawanych przez system certyfikatów głównych jest dostępna w aplikacji Dostęp do pęku kluczy.

  • ClamAV

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Zagrożenie: wiele luk w zabezpieczeniach w programie ClamAV.

    Opis: w programie ClamAV występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje problemy przez uaktualnienie programu ClamAV do wersji 0.97.8.

    Identyfikator CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi danych zakodowanych metodą JBIG2 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1025: Felix Groebert z zespołu firmy Google do spraw bezpieczeństwa.

  • ImageIO

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi danych zakodowanych metodą JPEG2000 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1026: Felix Groebert z zespołu firmy Google do spraw bezpieczeństwa.

  • Instalator

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: pakiety mogą być otwierane po unieważnieniu certyfikatu.

    Opis: gdy Instalator wykrywa nieważny certyfikat, wyświetla okno dialogowe z opcją kontynuowania. Rozwiązanie tego problemu polega na usunięciu okna dialogowego i wprowadzeniu odmowy użycia nieważnego certyfikatu.

    Identyfikator CVE

    CVE-2013-1027

  • IPSec

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: osoba atakująca może przechwycić dane chronione przez usługę IPSec Hybrid Auth.

    Opis: nie jest sprawdzana zgodność nazwy DNS serwera usługi IPSec Hybrid Auth z danymi certyfikatu, przez co osoba atakująca posiadająca certyfikat dowolnego serwera może podszyć się pod inny. Rozwiązanie tego problemu polega na wprowadzeniu właściwej procedury sprawdzania certyfikatu.

    Identyfikator CVE

    CVE-2013-1028: Alexander Traud z witryny www.traud.de

  • Jądro

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

    Zagrożenie: użytkownik w sieci lokalnej może wywołać atak typu „odmowa usługi”.

    Opis: nieprawidłowy test w kodzie analizy pakietów IGMP w jądrze umożliwia użytkownikowi mogącemu wysyłać pakietu IGMP do systemu wywołanie błędu jądra. Rozwiązanie tego problemu polega na usunięciu opisanego testu.

    Identyfikator CVE

    CVE-2013-1029: Christopher Bohn z firmy PROTECTSTAR Inc.

  • Pakiet Mobile Device Management

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: hasła mogą zostać ujawnione użytkownikom lokalnym.

    Opis: hasło może zostać przekazane w wierszu polecenia do narzędzia mdmclient, co powoduje jego ujawnienie innym użytkownikom tego samego komputera. Rozwiązanie tego problemu polega na ustawieniu przekazywania hasła przez potok.

    Identyfikator CVE

    CVE-2013-1030: Per Olofsson z Uniwersytetu w Göteborgu

  • OpenSSL

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: istnieje wiele luk w zabezpieczeniach programu OpenSSL.

    Opis: w programie OpenSSL występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować ujawnienie danych użytkownika. Rozwiązanie tych problemów polega na uaktualnieniu programu OpenSSL do wersji 0.9.8y.

    Identyfikator CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.

    Opis: język PHP zawiera wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu. Rozwiązanie tych problemów polega na uaktualnieniu języka PHP do wersji 5.3.26.

    Identyfikator CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: istnieje wiele luk w zabezpieczeniach systemu PostgreSQL.

    Opis: system PostgreSQL zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą prowadzić do uszkodzenia danych lub poszerzenia uprawnień. Problem CVE-2013-1901 nie występuje na komputerach z systemem OS X Lion. To uaktualnienie rozwiązuje problem przez uaktualnienie systemu PostgreSQL do wersji 9.1.9 na komputerach z systemem OS X Mountain Lion i 9.0.4 na komputerach z systemem OS X Lion.

    Identyfikator CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Zarządzanie energią

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

    Zagrożenie: wygaszacz ekranu może nie zostać uruchomiony po określonym czasie.

    Opis: występuje problem z blokadą logiczną w procedurach obsługi zasilania. Rozwiązanie tego problemu polega na poprawieniu procedur obsługi blokad.

    Identyfikator CVE

    CVE-2013-1031

  • QuickTime

    Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi atomów „idsc” w plikach filmów w formacie QuickTime występuje błąd powodujący uszkodzenie zawartości pamięci. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2013-1032: Jason Kratzer we współpracy z organizacją iDefense VCP

  • Blokada ekranu

    Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4

    Zagrożenie: użytkownik z dostępem do funkcji współdzielenia ekranu może być w stanie ominąć blokadę ekranu, gdy inny użytkownik jest zalogowany.

    Opis: procedury zarządzania sesją współdzielenia ekranu przez blokadę ekranu zawierają błąd. Rozwiązanie tego problemu polega na poprawieniu procedur śledzenia sesji.

    Identyfikator CVE

    CVE-2013-1033: Jeff Grisso z firmy Atos IT Solutions, Sébastien Stormacq

  • sudo

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4

    Zagrożenie: osoba atakująca kontrolująca konto administratora może być w stanie uzyskać uprawnienia użytkownika root, nie znając hasła użytkownika.

    Opis: ustawiając zegar systemowy, osoba atakująca może być w stanie użyć polecenia sudo, aby uzyskać uprawnienia użytkownika root na komputerze, na którym wcześniej użyto polecenia sudo. W systemie OS X tylko użytkownik będący administratorem może modyfikować zegar systemowy. Rozwiązanie tego problemu polega na dodaniu testu prawidłowości znacznika czasowego.

    Identyfikator CVE

    CVE-2013-1775

 

  • Uwaga: w systemie OS X Mountain Lion 10.8.5 usunięto też problem, w wyniku którego niektóre ciągi Unicode mogły powodować nieoczekiwane zamykanie aplikacji.

 

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: