Сведения о проблемах системы безопасности, устраненных в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004
В данном документе описываются проблемы системы безопасности, устраненные в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004.
Соответствующие обновления можно загрузить и установить с помощью функции Обновление ПО или раздела Загрузки Apple.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах системы безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».
Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple
OS X Mountain Lion 10.8.5 и обновление системы безопасности 2013-004
Apache
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Обнаружен ряд уязвимостей в Apache.
Описание. В Apache существовал ряд уязвимостей, наиболее серьезные из которых могли привести к применению межсайтовых сценариев. Эти проблемы устранены благодаря обновлению Apache до версии 2.2.24.
Идентификатор CVE
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Обнаружен ряд уязвимостей в BIND.
Описание. В BIND существовал ряд уязвимостей, наиболее серьезные из которых могли вызвать отказ в обслуживании. Эти проблемы устранены благодаря обновлению BIND до версии 9.8.5-P1. Проблемы CVE-2012-5688 не возникали в системах Mac OS X 10.7.
Идентификатор CVE
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Корневые сертификаты были обновлены.
Описание. Несколько сертификатов были добавлены в список системных корневых сертификатов или удалены из него. Полный список распознанных системных корневых сертификатов можно просмотреть в приложении «Связка ключей».
ClamAV
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5
Воздействие. Обнаружен ряд уязвимостей ClamAV.
Описание. В ClamAV существует ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Эти проблемы устранены посредством обновления ClamAV до версии 0.97.8.
Идентификатор CVE
CVE-2013-2020
CVE-2013-2021
CoreGraphics
Целевые продукты: OS X Mountain Lion 10.8–10.8.4
Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. При обработке данных с кодировкой JBIG2 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.
Идентификатор CVE
CVE-2013-1025: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team
ImageIO
Целевые продукты: OS X Mountain Lion 10.8–10.8.4
Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. При обработке данных с кодировкой JPEG2000 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.
Идентификатор CVE
CVE-2013-1026: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team
Installer
Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Пакеты могут быть открыты после отзыва сертификата.
Описание. Когда установщик сталкивался с отозванным сертификатом, он выдавал диалоговое окно с предложением продолжить. Проблема устранена посредством удаления диалогового окна и отказа от отозванных пакетов.
Идентификатор CVE
CVE-2013-1027
IPSec
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Злоумышленник может перехватить данные, защищенные с помощью IPSec Hybrid Auth.
Описание. DNS-имя сервера IPSec Hybrid Auth не сопоставлялось с сертификатом, что позволяло злоумышленнику с сертификатом для любого сервера выдавать его за любой другой сервер. Эта проблема устранена посредством надлежащей проверки сертификата.
Идентификатор CVE
CVE-2013-1028: Александр Трауд (Alexander Traud) из www.traud.de
Kernel
Целевые продукты: OS X Mountain Lion 10.8–10.8.4
Воздействие. Пользователь локальной сети может вызвать отказ в обслуживании.
Описание. Из-за некорректной проверки в коде анализа пакетов IGMP в ядре пользователь, способный отправлять пакеты IGMP в систему, мог вызвать фатальную ошибку ядра. Проблема устранена посредством исключения проверки.
Идентификатор CVE
CVE-2013-1029: Кристофер Бон (Christopher Bohn) из PROTECTSTAR INC.
Mobile Device Management
Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Пароли могут быть раскрыты другим локальным пользователям.
Описание. В командной строке mdmclient передавался пароль, что делало его видимым для других пользователей в той же системе. Проблема устранена посредством передачи пароля «по трубе».
Идентификатор CVE
CVE-2013-1030: Пер Олофссон (Per Olofsson) из Гетеборгского университета
OpenSSL
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Обнаружен ряд уязвимостей в OpenSSL.
Описание. В OpenSSL существовал ряд уязвимостей, наиболее серьезные из которых могли привести к раскрытию данных пользователя. Эти проблемы устранены благодаря обновлению OpenSSL до версии 0.9.8y.
Идентификатор CVE
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Обнаружен ряд уязвимостей в PHP.
Описание. В PHP существовал ряд уязвимостей, наиболее серьезные из которых могли привести к выполнению произвольного кода. Эти проблемы устранены благодаря обновлению PHP до версии 5.3.26.
Идентификатор CVE
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Обнаружен ряд уязвимостей в PostgreSQL.
Описание. В PostgreSQL существует ряд уязвимостей, наиболее серьезные из которых могут привести к повреждению данных или повышению уровня прав. Проблемы CVE-2013-1901 не возникают в системах OS X Lion. Это обновление устраняет проблемы посредством обновления PostgreSQL до версии 9.1.9 в системах OS X Mountain Lion и до версии 9.0.4 в системах OS X Lion.
Идентификатор CVE
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
Целевые продукты: OS X Mountain Lion 10.8–10.8.4
Воздействие. Заставка может не запуститься по истечении указанного периода времени.
Описание. Существовала проблема с блокировкой утверждения питания. Эта проблема устранена посредством улучшенной обработки блокировки.
Идентификатор CVE
CVE-2013-1031
QuickTime
Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. При обработке атомов idsc в видеофайлах QuickTime возникала проблема повреждения данных в памяти. Эта проблема устранена благодаря дополнительной проверке границ памяти.
Идентификатор CVE
CVE-2013-1032: Джейсон Кратцер (Jason Kratzer), работающий в рамках программы iDefense VCP
Screen Lock
Целевые продукты: OS X Mountain Lion 10.8–10.8.4
Воздействие. Пользователь с общим доступом к экрану может обойти блокировку экрана, если другой пользователь выполнил вход в систему.
Описание. При обработке сеансов общего доступа к экрану возникала проблема с управлением сеансами. Эта проблема была устранена благодаря улучшенному отслеживанию сеансов.
Идентификатор CVE
CVE-2013-1033: Джефф Гриссо (Jeff Grisso) из Atos IT Solutions, Себастьен Стормак (Sébastien Stormacq)
sudo
Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4
Воздействие. Злоумышленник, получивший контроль над учетной записью администратора, может получить права пользователя root, не зная пароля пользователя.
Описание. Установив системные часы, злоумышленник может использовать sudo для получения прав пользователя root в системах, в которых уже выполнялась команда sudo. В OS X только администраторы могут изменять системные часы. Эта проблема устранена благодаря выполнению проверки на наличие недействительной метки времени.
Идентификатор CVE
CVE-2013-1775
Примечание. В OS X Mountain Lion 10.8.5 также устранена проблема, из-за которой определенные строки юникода могли приводить к неожиданному завершению работы приложений.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.