Można je pobrać i zainstalować za pomocą preferencji Uaktualnienia programów lub w witrynie materiałów do pobrania firmy Apple.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uaktualnienie systemu OS X Mountain Lion do wersji 10.8.5 i Uaktualnienie zabezpieczeń 2013-004
-
Apache
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: istnieje wiele luk w zabezpieczeniach serwera Apache.
Opis: oprogramowanie Apache zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować atak XSS (cross-site scripting). W celu rozwiązania tych problemów należy uaktualnić serwer Apache do wersji 2.2.24.
Identyfikator CVE
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
-
Bind
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: istnieje wiele luk w zabezpieczeniach programu BIND.
Opis: program BIND zawiera szereg luk w zabezpieczeniach, z których najpoważniejsze mogą pozwolić na atak typu „odmowa usługi”. Rozwiązanie tych problemów polega na uaktualnieniu programu BIND do wersji 9.8.5-P1. Błąd o identyfikatorze CVE-2012-5688 nie występuje na komputerach z systemem Mac OS X 10.7.
Identyfikator CVE
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
-
Zasady dotyczące zaufania dla certyfikatów
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: nastąpiło uaktualnienie certyfikatu głównego
Opis: wiele certyfikatów dodano do lub usunięto z listy certyfikatów głównych. Kompletna lista rozpoznawanych przez system certyfikatów głównych jest dostępna w aplikacji Dostęp do pęku kluczy.
-
ClamAV
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5
Zagrożenie: wiele luk w zabezpieczeniach w programie ClamAV.
Opis: w programie ClamAV występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może doprowadzić do wykonania dowolnego kodu. To uaktualnienie rozwiązuje problemy przez uaktualnienie programu ClamAV do wersji 0.97.8.
Identyfikator CVE
CVE-2013-2020
CVE-2013-2021
-
CoreGraphics
Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi danych zakodowanych metodą JBIG2 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1025: Felix Groebert z zespołu firmy Google do spraw bezpieczeństwa.
-
ImageIO
Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi danych zakodowanych metodą JPEG2000 w plikach PDF występuje błąd powodujący przepełnienie buforu. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1026: Felix Groebert z zespołu firmy Google do spraw bezpieczeństwa.
-
Instalator
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: pakiety mogą być otwierane po unieważnieniu certyfikatu.
Opis: gdy Instalator wykrywa nieważny certyfikat, wyświetla okno dialogowe z opcją kontynuowania. Rozwiązanie tego problemu polega na usunięciu okna dialogowego i wprowadzeniu odmowy użycia nieważnego certyfikatu.
Identyfikator CVE
CVE-2013-1027
-
IPSec
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: osoba atakująca może przechwycić dane chronione przez usługę IPSec Hybrid Auth.
Opis: nie jest sprawdzana zgodność nazwy DNS serwera usługi IPSec Hybrid Auth z danymi certyfikatu, przez co osoba atakująca posiadająca certyfikat dowolnego serwera może podszyć się pod inny. Rozwiązanie tego problemu polega na wprowadzeniu właściwej procedury sprawdzania certyfikatu.
Identyfikator CVE
CVE-2013-1028: Alexander Traud z witryny www.traud.de
-
Jądro
Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4
Zagrożenie: użytkownik w sieci lokalnej może wywołać atak typu „odmowa usługi”.
Opis: nieprawidłowy test w kodzie analizy pakietów IGMP w jądrze umożliwia użytkownikowi mogącemu wysyłać pakietu IGMP do systemu wywołanie błędu jądra. Rozwiązanie tego problemu polega na usunięciu opisanego testu.
Identyfikator CVE
CVE-2013-1029: Christopher Bohn z firmy PROTECTSTAR Inc.
-
Pakiet Mobile Device Management
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: hasła mogą zostać ujawnione użytkownikom lokalnym.
Opis: hasło może zostać przekazane w wierszu polecenia do narzędzia mdmclient, co powoduje jego ujawnienie innym użytkownikom tego samego komputera. Rozwiązanie tego problemu polega na ustawieniu przekazywania hasła przez potok.
Identyfikator CVE
CVE-2013-1030: Per Olofsson z Uniwersytetu w Göteborgu
-
OpenSSL
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: istnieje wiele luk w zabezpieczeniach programu OpenSSL.
Opis: w programie OpenSSL występuje wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować ujawnienie danych użytkownika. Rozwiązanie tych problemów polega na uaktualnieniu programu OpenSSL do wersji 0.9.8y.
Identyfikator CVE
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
-
PHP
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.
Opis: język PHP zawiera wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu. Rozwiązanie tych problemów polega na uaktualnieniu języka PHP do wersji 5.3.26.
Identyfikator CVE
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
-
PostgreSQL
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: istnieje wiele luk w zabezpieczeniach systemu PostgreSQL.
Opis: system PostgreSQL zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą prowadzić do uszkodzenia danych lub poszerzenia uprawnień. Problem CVE-2013-1901 nie występuje na komputerach z systemem OS X Lion. To uaktualnienie rozwiązuje problem przez uaktualnienie systemu PostgreSQL do wersji 9.1.9 na komputerach z systemem OS X Mountain Lion i 9.0.4 na komputerach z systemem OS X Lion.
Identyfikator CVE
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
-
Zarządzanie energią
Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4
Zagrożenie: wygaszacz ekranu może nie zostać uruchomiony po określonym czasie.
Opis: występuje problem z blokadą logiczną w procedurach obsługi zasilania. Rozwiązanie tego problemu polega na poprawieniu procedur obsługi blokad.
Identyfikator CVE
CVE-2013-1031
-
QuickTime
Dostępne dla: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi atomów „idsc” w plikach filmów w formacie QuickTime występuje błąd powodujący uszkodzenie zawartości pamięci. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2013-1032: Jason Kratzer we współpracy z organizacją iDefense VCP
-
Blokada ekranu
Dostępne dla: OS X Mountain Lion w wersji od 10.8 do 10.8.4
Zagrożenie: użytkownik z dostępem do funkcji współdzielenia ekranu może być w stanie ominąć blokadę ekranu, gdy inny użytkownik jest zalogowany.
Opis: procedury zarządzania sesją współdzielenia ekranu przez blokadę ekranu zawierają błąd. Rozwiązanie tego problemu polega na poprawieniu procedur śledzenia sesji.
Identyfikator CVE
CVE-2013-1033: Jeff Grisso z firmy Atos IT Solutions, Sébastien Stormacq
-
sudo
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion w wersjach od 10.8 do 10.8.4
Zagrożenie: osoba atakująca kontrolująca konto administratora może być w stanie uzyskać uprawnienia użytkownika root, nie znając hasła użytkownika.
Opis: ustawiając zegar systemowy, osoba atakująca może być w stanie użyć polecenia sudo, aby uzyskać uprawnienia użytkownika root na komputerze, na którym wcześniej użyto polecenia sudo. W systemie OS X tylko użytkownik będący administratorem może modyfikować zegar systemowy. Rozwiązanie tego problemu polega na dodaniu testu prawidłowości znacznika czasowego.
Identyfikator CVE
CVE-2013-1775
-
Uwaga: w systemie OS X Mountain Lion 10.8.5 usunięto też problem, w wyniku którego niektóre ciągi Unicode mogły powodować nieoczekiwane zamykanie aplikacji.