Om säkerhetsinnehållet i OS X Mountain Lion 10.8.4 och Säkerhetsuppdatering 2013-002
I det här dokumentet beskrivs säkerhetsinnehållet i OS X Mountain Lion 10.8.4 och Säkerhetsuppdatering 2013-002. De kan hämtas och installeras via inställningarna för Programuppdatering eller från Apples hämtningsbara filer.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple."
OS X Mountain Lion 10.8.4 och Säkerhetsuppdatering 2013-002
Obs! OS X Mountain Lion 10.8.4 inkluderar Safari 6.0.5. Se Om säkerhetsinnehållet i Safari 6.0.5.
CFNetwork
Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.3
Effekt: En angripare med åtkomst till en användares session kan eventuellt logga in på tidigare besökta webbplatser, även om privat surfning användes
Beskrivning: Permanenta cookies sparades efter att ha avslutat Safari, även när privat surfning var aktiverad. Det här problemet åtgärdades genom förbättrad hantering av cookies.
CVE-ID
CVE-2013-0982: Alexander Traud från www.traud.de
CoreAnimation
Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.3
Effekt: Besök på en skadligt utformad webbplats kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det fanns ett problem med stackallokering utan gränser fanns i hanteringen av textglyfer. Detta kan utlösas av skadligt utformade webbadresser i Safari. Det här problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-0983: David Fifield på Stanford University, Ben Syverson
CoreMedia Playback
Tillgängligt för: OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: Visning av en skadligt utformad film kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det fanns ett problem med oinitierad minnesåtkomst i hanteringen av textspår. Detta löstes genom ytterligare validering av textspår.
CVE-ID
CVE-2013-1024: Richard Kuo och Billy Suguitan på Triemt Corporation
CUPS
Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.3
Effekt: En lokal användare i lpadmin-gruppen kan eventuellt läsa eller skriva opålitliga filer med systembehörighet
Beskrivning: Det fanns ett problem med eskalerade behörigheter i hanteringen av CUPS-konfigurationer via CUPS webbgränssnitt. En lokal användare i lpadmin-gruppen kan eventuellt läsa eller skriva opålitliga filer med systembehörighet. Det här problemet åtgärdades genom att flytta vissa konfigurationsdirektiv till cups-files.conf, som inte kan ändras från CUPS webbgränssnitt.
CVE-ID
CVE-2012-5519
Directory Service
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: En fjärrangripare kan köra opålitlig kod med systembehörighet på system med Directory Service aktiverat
Beskrivning: Det fanns ett problem i katalogserverns hantering av meddelanden från nätverket. Genom att skicka ett skadligt utformat meddelande kan en fjärrangripare få katalogservern att avslutas eller köra opålitlig kod med systembehörighet. Problemet åtgärdades med förbättrad kontroll av gränserna. Det här problemet påverkar inte system med OS X Lion eller OS X Mountain Lion.
CVE-ID
CVE-2013-0984: Nicolas Economou på Core Security
Disk Management
Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.3
Effekt: En lokal användare kan inaktivera FileVault
Beskrivning: En lokal användare som inte är administratör kan inaktivera FileVault via kommandorad. Problemet åtgärdades genom ytterligare autentisering.
CVE-ID
CVE-2013-0985
OpenSSL
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: En angripare kan eventuellt dekryptera data som skyddats med SSL
Beskrivning: Det förekom kända attacker mot konfidentialitet för TLS 1.0 med komprimering aktiverad. Problemet åtgärdades genom att inaktivera komprimering i OpenSSL.
CVE-ID
CVE-2012-4929: Juliano Rizzo och Thai Duong
OpenSSL
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: Flera sårbarheter i OpenSSL
Beskrivning: OpenSSL uppdaterades till version 0.9.8x för att åtgärda flera sårbarheter, vilket kan leda till överbelastning eller avslöjande av privata nycklar. Mer information finns via OpenSSL-webbplatsen på http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
Tillgängligt för: OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2
Effekt: Att öppna en skadligt utformad PICT-bild kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det förekom ett buffertspill i hanteringen av PICT-bilder. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2013-0975: Tobias Klein som arbetar på HP:s Zero Day Initiative
QuickTime
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: Att spela upp en skadligt utformad film kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det förekom ett buffertspill i hanteringen av ”enof”-atomer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2013-0986: Tom Gallagher (Microsoft) och Paul Bates (Microsoft) i samarbete med HP:s Zero Day Initiative
QuickTime
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: Att spela upp en skadligt utformad QTIF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det fanns ett problem med minnesfel i hanteringen av QTIF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2013-0987: roob som arbetar med iDefense VCP
QuickTime
Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: Att visa en skadligt utformad FPX-fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det förekom ett buffertspill i hanteringen av FPX-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2013-0988: G. Geshev i samarbete med HP:s Zero Day Initiative
QuickTime
Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.3
Effekt: Att spela upp en skadligt utformad MP3-fil kan leda till oväntad programavslutning eller körning av skadlig kod
Beskrivning: Det förekom ett buffertspill förekom i hanteringen av MP3-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2013-0989: G. Geshev i samarbete med HP:s Zero Day Initiative
Ruby
Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Effekt: Flera sårbarheter i Ruby on Rails
Beskrivning: Det fanns flera sårbarheter i Ruby on Rails, av vilka den allvarligaste kan leda till körning av opålitlig kod på system som kör Ruby on Rails-applikationer. Dessa problem åtgärdades genom att uppdatera Ruby on Rails till version 2.3.18. Det här problemet kan påverka system med OS X Lion eller OS X Mountain Lion som har uppgraderats från Mac OS X 10.6.8 eller tidigare. Användare kan uppdatera berörda gems på sådana system genom att använda verktyget /usr/bin/gem.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
Tillgängligt för: OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.3
Effekt: En autentiserad användare kan eventuellt skriva filer utanför den delade katalogen
Beskrivning: Om SMB-fildelning är aktiverad kan en autentiserad användare eventuellt skriva filer utanför den delade katalogen. Problemet åtgärdades genom förbättrad åtkomstkontroll.
CVE-ID
CVE-2013-0990: Ward van Wanrooij
Obs! Från och med OS X v10.8.4 måste Java Web Start-program (såsom JNLP) som hämtas från Internet signeras med ett utvecklar-ID-certifikat. Gatekeeper kontrollerar hämtade Java Web Start-applikationer för att hitta en underskrift och blockerar sådana applikationer från att starta om de inte är korrekt signerade.
Du kan använda codesign-verktyget för att signera JNLP-filen, som bifogar kodsignaturen till JNLP-filen som utökade attribut. Paketera JNLP-filen i en ZIP-, XIP- eller DMG-fil för att bevara dessa attribut. Var försiktig med att använda ZIP-formatet, eftersom vissa tredjepartsverktyg kanske inte identifierar de nödvändiga utökade attributen korrekt.
Läs mer på Technical Note TN2206: OS X Code Signing In Depth.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.