Сведения о проблемах системы безопасности, устраненных в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004

В данном документе описываются проблемы системы безопасности, устраненные в OS X Mountain Lion 10.8.5 и обновлении системы безопасности 2013-004.

Соответствующие обновления можно загрузить и установить с помощью функции Обновление ПО или раздела Загрузки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах системы безопасности, не подтверждает их и не участвует в их обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье «Использование PGP-ключа безопасности продуктов Apple».

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple

OS X Mountain Lion 10.8.5 и обновление системы безопасности 2013-004

  • Apache

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Обнаружен ряд уязвимостей в Apache.

    Описание. В Apache существовал ряд уязвимостей, наиболее серьезные из которых могли привести к применению межсайтовых сценариев. Эти проблемы устранены благодаря обновлению Apache до версии 2.2.24.

    Идентификатор CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Обнаружен ряд уязвимостей в BIND.

    Описание. В BIND существовал ряд уязвимостей, наиболее серьезные из которых могли вызвать отказ в обслуживании. Эти проблемы устранены благодаря обновлению BIND до версии 9.8.5-P1. Проблемы CVE-2012-5688 не возникали в системах Mac OS X 10.7.

    Идентификатор CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Корневые сертификаты были обновлены.

    Описание. Несколько сертификатов были добавлены в список системных корневых сертификатов или удалены из него. Полный список распознанных системных корневых сертификатов можно просмотреть в приложении «Связка ключей».

  • ClamAV

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Воздействие. Обнаружен ряд уязвимостей ClamAV.

    Описание. В ClamAV существует ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Эти проблемы устранены посредством обновления ClamAV до версии 0.97.8.

    Идентификатор CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Целевые продукты: OS X Mountain Lion 10.8–10.8.4

    Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке данных с кодировкой JBIG2 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.

    Идентификатор CVE

    CVE-2013-1025: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team

  • ImageIO

    Целевые продукты: OS X Mountain Lion 10.8–10.8.4

    Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке данных с кодировкой JPEG2000 в файлах PDF возникало переполнение буфера. Эта проблема устранена благодаря дополнительной проверке границ памяти.

    Идентификатор CVE

    CVE-2013-1026: Феликс Гроберт (Felix Groebert) из подразделения Google Security Team

  • Installer

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Пакеты могут быть открыты после отзыва сертификата.

    Описание. Когда установщик сталкивался с отозванным сертификатом, он выдавал диалоговое окно с предложением продолжить. Проблема устранена посредством удаления диалогового окна и отказа от отозванных пакетов.

    Идентификатор CVE

    CVE-2013-1027

  • IPSec

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Злоумышленник может перехватить данные, защищенные с помощью IPSec Hybrid Auth.

    Описание. DNS-имя сервера IPSec Hybrid Auth не сопоставлялось с сертификатом, что позволяло злоумышленнику с сертификатом для любого сервера выдавать его за любой другой сервер. Эта проблема устранена посредством надлежащей проверки сертификата.

    Идентификатор CVE

    CVE-2013-1028: Александр Трауд (Alexander Traud) из www.traud.de

  • Kernel

    Целевые продукты: OS X Mountain Lion 10.8–10.8.4

    Воздействие. Пользователь локальной сети может вызвать отказ в обслуживании.

    Описание. Из-за некорректной проверки в коде анализа пакетов IGMP в ядре пользователь, способный отправлять пакеты IGMP в систему, мог вызвать фатальную ошибку ядра. Проблема устранена посредством исключения проверки.

    Идентификатор CVE

    CVE-2013-1029: Кристофер Бон (Christopher Bohn) из PROTECTSTAR INC.

  • Mobile Device Management

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Пароли могут быть раскрыты другим локальным пользователям.

    Описание. В командной строке mdmclient передавался пароль, что делало его видимым для других пользователей в той же системе. Проблема устранена посредством передачи пароля «по трубе».

    Идентификатор CVE

    CVE-2013-1030: Пер Олофссон (Per Olofsson) из Гетеборгского университета

  • OpenSSL

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Обнаружен ряд уязвимостей в OpenSSL.

    Описание. В OpenSSL существовал ряд уязвимостей, наиболее серьезные из которых могли привести к раскрытию данных пользователя. Эти проблемы устранены благодаря обновлению OpenSSL до версии 0.9.8y.

    Идентификатор CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Обнаружен ряд уязвимостей в PHP.

    Описание. В PHP существовал ряд уязвимостей, наиболее серьезные из которых могли привести к выполнению произвольного кода. Эти проблемы устранены благодаря обновлению PHP до версии 5.3.26.

    Идентификатор CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Обнаружен ряд уязвимостей в PostgreSQL.

    Описание. В PostgreSQL существует ряд уязвимостей, наиболее серьезные из которых могут привести к повреждению данных или повышению уровня прав. Проблемы CVE-2013-1901 не возникают в системах OS X Lion. Это обновление устраняет проблемы посредством обновления PostgreSQL до версии 9.1.9 в системах OS X Mountain Lion и до версии 9.0.4 в системах OS X Lion.

    Идентификатор CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Целевые продукты: OS X Mountain Lion 10.8–10.8.4

    Воздействие. Заставка может не запуститься по истечении указанного периода времени.

    Описание. Существовала проблема с блокировкой утверждения питания. Эта проблема устранена посредством улучшенной обработки блокировки.

    Идентификатор CVE

    CVE-2013-1031

  • QuickTime

    Целевые продукты: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке атомов idsc в видеофайлах QuickTime возникала проблема повреждения данных в памяти. Эта проблема устранена благодаря дополнительной проверке границ памяти.

    Идентификатор CVE

    CVE-2013-1032: Джейсон Кратцер (Jason Kratzer), работающий в рамках программы iDefense VCP

  • Screen Lock

    Целевые продукты: OS X Mountain Lion 10.8–10.8.4

    Воздействие. Пользователь с общим доступом к экрану может обойти блокировку экрана, если другой пользователь выполнил вход в систему.

    Описание. При обработке сеансов общего доступа к экрану возникала проблема с управлением сеансами. Эта проблема была устранена благодаря улучшенному отслеживанию сеансов.

    Идентификатор CVE

    CVE-2013-1033: Джефф Гриссо (Jeff Grisso) из Atos IT Solutions, Себастьен Стормак (Sébastien Stormacq)

  • sudo

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4

    Воздействие. Злоумышленник, получивший контроль над учетной записью администратора, может получить права пользователя root, не зная пароля пользователя.

    Описание. Установив системные часы, злоумышленник может использовать sudo для получения прав пользователя root в системах, в которых уже выполнялась команда sudo. В OS X только администраторы могут изменять системные часы. Эта проблема устранена благодаря выполнению проверки на наличие недействительной метки времени.

    Идентификатор CVE

    CVE-2013-1775

  • Примечание. В OS X Mountain Lion 10.8.5 также устранена проблема, из-за которой определенные строки юникода могли приводить к неожиданному завершению работы приложений.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: