Сведения о проблемах системы безопасности, устраняемых обновлением ОС OS X Mountain Lion 10.8.5 и обновлением системы безопасности 2013-004

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС OS X Mountain Lion 10.8.5 и обновлением системы безопасности 2013-004.

Эти продукты можно загрузить и установить с помощью функции Обновление ПО или со страницы загрузок службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.

Сведения об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple

Обновление ОС OS X Mountain Lion 10.8.5 и обновление системы безопасности 2013-004

  • Apache

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Обнаружен ряд уязвимостей веб-сервера Apache.

    Описание. В Apache присутствовал ряд уязвимостей, наиболее серьезные из которых могли привести к выполнению межсайтовых сценариев. Проблемы устранены путем обновления Apache до версии 2.2.24.

    Идентификатор CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Обнаружен ряд уязвимостей в BIND.

    Описание. В BIND присутствовал ряд уязвимостей, наиболее серьезные из которых могли привести к отказу в обслуживании. Проблемы устранены путем обновления BIND до версии 9.8.5-P1. Ошибка CVE-2012-5688 не возникает в системах Mac OS X 10.7.

    Идентификатор CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Политика доверия к сертификатам

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Обновлены корневые сертификаты.

    Описание. В список корневых сертификатов системы было добавлено несколько сертификатов или удалено из него. Полный список распознаваемых корневых сертификатов системы можно посмотреть через программу «Связка ключей».

  • ClamAV

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5.

    Воздействие. Обнаружен ряд уязвимостей в ClamAV.

    Описание. В ClamAV присутствует ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Обновление устраняет эти проблемы путем обновления ClamAV до версии 0.97.8.

    Идентификатор CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Доступно для ОС OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке данных в кодировке JBIG2 в файлах PDF возникала проблема переполнения буфера. Проблема устранена путем дополнительной проверки границ.

    Идентификатор CVE

    CVE-2013-1025: Феликс Гроберт (Felix Groebert) из команды безопасности Google Chrome

  • ImageIO

    Доступно для ОС OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Просмотр вредоносного файла PDF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке данных в кодировке JPEG2000 в файлах PDF возникала проблема переполнения буфера. Проблема устранена путем дополнительной проверки границ.

    Идентификатор CVE

    CVE-2013-1026: Феликс Гроберт (Felix Groebert) из команды безопасности Google Chrome

  • Программа установки

    Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Пакеты можно открыть после отзыва сертификата.

    Описание. Если программа установки столкнулась с отозванным сертификатом, появится диалоговое окно с запросом на продолжение. Проблема устранена путем закрытия диалогового окна и отклонения отозванного пакета.

    Идентификатор CVE

    CVE-2013-1027

  • IPSec

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Злоумышленник может перехватывать данные, защищенные с помощью IPSec Hybrid Auth.

    Описание. DNS-имя сервера IPSec Hybrid Auth не совпадало с сертификатом, что позволяло злоумышленнику с сертификатом для любого сервера выдавать себя за другого. Проблема устранена путем проведения корректной процедуры проверки сертификата.

    Идентификатор CVE

    CVE-2013-1028: Александр Трауд (Alexander Traud) с сайта www.traud.de

  • Ядро

    Доступно для ОС OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Локальный сетевой пользователь может инициировать отказ в обслуживании.

    Описание. Некорректная проверка кода анализа IGMP-комплектов в ядре позволила пользователю, который мог отправить IGMP-комплекты в систему, вызвать фатальную ошибку ядра. Проблема устранена путем удаления этой проверки.

    Идентификатор CVE

    CVE-2013-1029: Кристофер Бон (Christopher Bohn) из компании PROTECTSTAR INC.

  • Управление мобильными устройствами

    Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Пароли могут стать доступными для других локальных пользователей.

    Описание. Пароль был передан в командную строку mdm-клиенту, который сделал его видимым для других пользователей в этой системе. Проблема устранена путем передачи пароля через канал.

    Идентификатор CVE

    CVE-2013-1030: Пер Олофссон (Per Olofsson) из Гётеборгского университета

  • OpenSSL

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. В OpenSSL обнаружен ряд уязвимостей.

    Описание. В OpenSSL обнаружен ряд уязвимостей, наиболее серьезные из которых могут привести к раскрытию пользовательских данных. Проблемы устранены путем обновления OpenSSL до версии 0.9.8y.

    Идентификатор CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • Язык PHP

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Обнаружен ряд уязвимостей в PHP.

    Описание. В коде PHP обнаружен ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Проблемы устранены путем обновления PHP до версии 5.3.26.

    Идентификатор CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Обнаружен ряд уязвимостей в PostgreSQL.

    Описание. В PostgreSQL присутствует ряд уязвимостей, наиболее серьезные из которых могут привести к повреждению данных или повышению привилегий. Ошибка CVE-2013-1901 не возникает в системах OS X Lion. Обновление устраняет эти проблемы путем обновления PostgreSQL до версии 9.1.9 в ОС OS X Mountain Lion и до версии 9.0.4 в ОС OS X Lion.

    Идентификатор CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Управление питанием

    Доступно для ОС OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Экранная заставка может не запускаться после указанного периода времени.

    Описание. Возникала проблема подтверждения блокировки питания. Проблема устранена путем улучшенной обработки блокировки.

    Идентификатор CVE

    CVE-2013-1031

  • Компонент QuickTime

    Доступно для ОС Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Просмотр вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. При обработке атомов idsc в видеофайлах QuickTime возникало повреждение памяти. Проблема устранена путем дополнительной проверки границ.

    Идентификатор CVE

    CVE-2013-1032: Джейсон Кратцер (Jason Kratzer), работающий с iDefense по программе VCP

  • Блокировка экрана

    Доступно для ОС OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Пользователь с доступом к общему экрану может обойти блокировку экрана, если другой пользователь вошел в систему.

    Описание. При обработке сеансов совместного доступа к экрану возникала ошибка управления сеансом. Проблема была устранена путем улучшенного отслеживания сеанса.

    Идентификатор CVE

    CVE-2013-1033: Джефф Гриссо (Jeff Grisso) из компании Atos IT Solutions, Себастьен Стормак (Sébastien Stormacq)

  • sudo

    Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8–10.8.4.

    Воздействие. Лицо, производящее атаку и контролирующее учетную запись администратора, может получить корневые привилегии, даже не вводя пароль пользователя.

    Описание. Установив системные часы, лицо, производящее атаку, может воспользоваться программой sudo, чтобы получить корневые привилегии в системе, в которой эта программа ранее использовалась. В ОС OS X только администраторы могут изменять настройки системных часов. Проблема устранена путем проверки недействительной временной метки.

    Идентификатор CVE

    CVE-2013-1775

 

  • Примечание. Обновление ОС OS X Mountain Lion 10.8.5 также устраняет проблему, которая может возникнуть при обработке строк Unicode и привести к неожиданному завершению работы программ.

 

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: