Сведения о проблемах системы безопасности, устраняемых ОС OS X Mountain Lion 10.8.3 и обновлением системы безопасности 2013-001

В данном документе описываются проблемы системы безопасности, устраняемые ОС OS X Mountain Lion 10.8.3 и обновлением системы безопасности 2013-001.

ОС OS X Mountain Lion 10.8.3 и обновление системы безопасности 2013-001 можно загрузить для последующей установки с помощью функции Обновление ПО или со страницы загрузок Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Примечание. ОС OS X Mountain Lion 10.8.3 включает проблемы системы безопасности, устраняемые Safari 6.0.3. Дополнительную информацию см. в статье Сведения о проблемах безопасности, устраняемых Safari 6.0.3.

ОС OS X Mountain Lion 10.8.3 и обновление системы безопасности 2013-001

• Apache

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Злоумышленник может получить доступ к каталогам, защищенным HTTP-авторизацией, не вводя учетные данные.

  Описание. При обработке строк URI с игнорируемыми последовательностями символов Unicode возникала проблема каноникализации. Проблема устранена путем настройки блокировки в mod_hfs_apple на доступ к строкам URI с игнорируемыми последовательностями символов Unicode.

  Идентификатор CVE

  CVE-2013-0966: Клинт Руохо (Clint Ruoho) из Laconic Security

• CoreTypes

  Доступно для: ОС OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2

  Воздействие. Посещение вредоносного сайта может привести к автоматическому запуску программы Java Web Start даже при отключенном плагине Java.

  Описание. Программы Java Web Start могут запускаться даже при отключенном плагине Java. Проблема устранена путем удаления файлов JNLP из списка безопасных типов файлов CoreTypes, что позволило предотвратить выполнение программы Web Start до открытия их пользователем в папке «Загрузки».

  Идентификатор CVE

  CVE-2013-0967

• Международные компоненты для Unicode (ICU)

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Посещение вредоносного веб-сайта может привести к атаке с использованием межсайтовых сценариев.

  Описание. При обработке кодировки EUC-JP возникала проблема каноникализации. Это делает возможным проведение атак с использованием межсайтового скриптинга на сайты с кодировкой EUC-JP. Проблема устранена путем обновления таблицы отображения кодировки EUC-JP.

  Идентификатор CVE

  CVE-2011-3058: Масато Кинугава (Masato Kinugawa)

• Службы идентификации

  Доступно для: ОС OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5, OS X Mountain Lion 10.8–10.8.2

  Воздействие. Возможность обойти аутентификацию на основе цифровых сертификатов идентификатора Apple ID.

  Описание. В службах идентификации возникала проблема с обработкой ошибок. Если сертификат идентификатора Apple ID пользователя не подтверждался, то идентификатор Apple ID принимался за пустую строку. Если несколько систем, принадлежавших разным пользователям, оказывались в этом состоянии, программы, применяющие такой способ идентификации, могли ошибочно расширить круг доверенных пользователей. Проблема устранена путем возвращения значения NULL вместо пустой строки.

  Идентификатор CVE

  CVE-2013-0963

• ImageIO

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Просмотр вредоносного файла TIFF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке изображений TIFF в библиотеке libtiff возникала проблема переполнения буфера. Проблема устранена путем дополнительной проверки изображений TIFF.

  Идентификатор CVE

  CVE-2012-2088

• IOAcceleratorFamily

  Доступно для ОС OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Просмотр вредоносного файла изображения может привести к неожиданному завершению работы системы или выполнению произвольного кода.

  Описание. При обработке графических данных возникала проблема повреждения памяти. Проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2013-0976: анонимный исследователь

• Ядро

  Доступно для ОС OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Вредоносные или взломанные программы могут определять адреса в ядре.

  Описание. При обработке API-интерфейсов, связанных с расширениями ядра, возникает проблема раскрытия информации. Ответы, содержащие ключ OSBundleMachOHeaders, могли включать адреса ядра, что создавало потенциальную возможность для обхода защиты адресного пространства путем рандомизации схемы размещения (ASLR). Проблема устранена путем отмены смещения адресов перед их возвращением.

  Идентификатор CVE

  CVE-2012-3749: Марк Дауд (Mark Dowd) из Azimuth Security, Эрик Монти (Eric Monti) из Square и другие анонимные исследователи

• Окно входа

  Доступно для ОС OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Злоумышленник, имеющий доступ к клавиатуре, может изменить конфигурацию системы.

  Описание. При обработке окна входа функцией VoiceOver возникала ошибка логики, в связи с которой злоумышленник, имеющий доступ к клавиатуре, мог запустить программу «Системные настройки» и изменить конфигурацию системы. Проблема устранена путем предотвращения запуска программ из окна входа с помощью VoiceOver.

  Идентификатор CVE

  CVE-2013-0969: Эрик А. Шульман (Eric A. Schulman) из Purpletree Labs

• Сообщения

  Доступно для ОС OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Переход по ссылке в программе «Сообщения» может инициировать вызов FaceTime без отображения запроса.

  Описание. Переход по специальной URL-ссылке FaceTime:// в программе «Сообщения» позволял обходить стандартный запрос на подтверждение. Проблема устранена путем дополнительной проверки URL-адресов FaceTime://.

  Идентификатор CVE

  CVE-2013-0970: Аарон Сигел (Aaron Sigel) с сайта vtty.com

• Сервер сообщений

  Доступно для ОС Mac OS X Server 10.6.8 и OS X Lion Server 10.7–10.7.5.

  Воздействие. Злоумышленник может удаленно перенаправлять объединенные сообщения Jabber.

  Описание. При обработке сервером Jabber сообщений о результатах обратного вызова возникала проблема. Злоумышленник мог инициировать раскрытие информации сервером Jabber, предназначенной только для пользователей объединенных серверов. Проблема устранена путем улучшенной обработки сообщений о результатах обратного вызова.

  Идентификатор CVE

  CVE-2012-3525

• PDFKit

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Просмотр вредоносного PDF-файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке рукописных заметок в PDF-файлах возникала проблема использования после очистки. Эта проблема устранена путем улучшенного управления памятью.

  Идентификатор CVE

  CVE-2013-0971: Тобиас Кляйн (Tobias Klein), работающий с компанией HP TippingPoint по программе Zero Day Initiative

• Podcast Producer Server

  Доступно для ОС Mac OS X Server 10.6.8 и OS X Lion Server 10.7–10.7.5.

  Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

  Описание. При обработке параметров XML в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем отключения параметров XML в реализации Rails, используемой Podcast Producer Server.

  Идентификатор CVE

  CVE-2013-0156

• Podcast Producer Server

  Доступно для ОС OS X Lion Server 10.7–10.7.5.

  Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

  Описание. При обработке данных JSON в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем использования процессора JSONGem для синтаксического анализа JSON в реализации Rails, используемой Podcast Producer Server.

  Идентификатор CVE

  CVE-2013-0333

• PostgreSQL

  Доступно для ОС Mac OS X Server 10.6.8 и OS X Lion Server 10.7–10.7.5.

  Воздействие. Обнаружен ряд уязвимостей в PostgreSQL.

  Описание. В обновлении PostgreSQL 9.1.5 устранен ряд уязвимостей, наиболее серьезные из которых позволяли пользователям базы данных читать файлы в файловой системе с правами роли сервера базы данных. Дополнительная информация доступна на сайте PostgreSQL: http://www.postgresql.org/docs/9.1/static/release-9-1-5.html.

  Идентификатор CVE

  CVE-2012-3488

  CVE-2012-3489

• Менеджер профилей

  Доступно для ОС OS X Lion Server 10.7–10.7.5.

  Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

  Описание. При обработке параметров XML в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем отключения параметров XML в реализации Rails, используемой программой «Менеджер профилей».

  Идентификатор CVE

  CVE-2013-0156

• Компонент QuickTime

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

  Описание. При обработке блоков rnet в файлах MP4 возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

  Идентификатор CVE

  CVE-2012-3756: Кевин Шкудлапский (Kevin Szkudlapski) из QuarksLab

• Ruby

  Доступно для ОС Mac OS X Server 10.6.8.

  Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода, когда запущена программа Rails.

  Описание. При обработке параметров XML в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем отключения YAML и символов в параметрах XML в среде Rails.

  Идентификатор CVE

  CVE-2013-0156

• Безопасность

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Воздействие. Злоумышленник, находящийся в привилегированном участке сети, может перехватывать учетные данные пользователя или другую конфиденциальную информацию.

  Описание. Центр сертификации TURKTRUST по ошибке выпустил несколько промежуточных сертификатов. Благодаря этому злоумышленник в ходе атаки «человек посередине» может перенаправлять подключения и перехватывать учетные данные пользователя или другую конфиденциальную информацию. Проблема устранена путем заперта неправильных сертификатов SSL.

• Обновление ПО

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5 и OS X Lion Server 10.7–10.7.5.

  Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может вызвать исполнение произвольного кода.

  Описание. Функция «Обновление ПО» позволяла злоумышленнику, выполняющего атаку с перехватом, вставлять содержимое, требующее наличия плагина, в маркетинговый текст для описания обновлений. Это могло привести к использованию уязвимостей отдельных плагинов, а также способствовать проведению психологических атак, связанных с плагинами. Эта проблема не распространяется на ОС OS X Mountain Lion. Проблема устранена путем блокировки загрузки плагинов в маркетинговый текст WebView функции «Обновление ПО».

  Идентификатор CVE

  CVE-2013-0973: Эмилио Эскобар (Emilio Escobar)

• Wiki Server

  Доступно для ОС OS X Lion Server 10.7–10.7.5.

  Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

  Описание. При обработке параметров XML в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем отключения параметров XML в реализации Rails, используемой Wiki Server.

  Идентификатор CVE

  CVE-2013-0156

• Wiki Server

  Доступно для ОС OS X Lion Server 10.7–10.7.5.

  Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

  Описание. При обработке данных JSON в среде Ruby on Rails возникала проблема преобразования типов. Проблема устранена путем использования сервера JSONGem для синтаксического анализа JSON в реализации Rails, используемой Wiki Server.

  Идентификатор CVE

  CVE-2013-0333

• Удаление вредоносных программ

  Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7–10.7.5, OS X Lion Server 10.7–10.7.5 и OS X Mountain Lion 10.8–10.8.2.

  Описание. Данное обновление запускает инструмент для удаления наиболее распространенных разновидностей вредоносного ПО. При обнаружении вредоносного ПО отображается диалоговое окно с уведомлением об удалении вредоносного ПО. Если такое ПО не обнаруживается, уведомления не отображаются.

Служба FaceTime доступна не во всех странах и регионах.