Om säkerhetsinnehållet i OS X Mountain Lion 10.8.3 och Säkerhetsuppdatering 2013-001

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mountain Lion 10.8.3 och Säkerhetsuppdatering 2013-001.

OS X Mountain Lion 10.8.3 och Säkerhetsuppdatering 2013-001 kan hämtas och installeras via inställningarna i Programuppdatering eller från Apples hämtningssida.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Obs! OS X Mountain Lion 10.8.3 inkluderar Safari 6.0.3. Se Om säkerhetsinnehållet i Safari 6.0.3.

OS X Mountain Lion 10.8.3 säkerhetsuppdatering 2013-001

• Apache

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: En angripare kan få tillgång kataloger som är skyddade med HTTP-autentisering utan att ha rätt referenser

  Beskrivning: Ett regelproblem fanns i hanteringen av URI med förbigående Unicode-teckensekvenser. Detta problem löstes genom att uppdatera mod_hfs_apple att förbjuda tillträde till URI:er med förbigående Unicode-teckensekvenser.

  CVE-ID

  CVE-2013-0966: Clint Ruoho på Laconic Security

• CoreTypes

  Tillgänglig för: OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Besök på en webbplats med skadligt innehåll kan ge en Java Web Start-applikation möjlighet att startas automatiskt även om Java-insticksprogrammet är inaktiverat

  Beskrivning: Java Web Start-applikationer skulle starta även om Java-insticksprogrammet inaktiverats. Detta problem löstes genom att ta bort JNLP-filer från CoreTypes säkra fillista, så med andra ord kommer Web Start-applikationen inte köras om inte användaren öppnar den i nedladdningskatalogen.

  CVE-ID

  CVE-2013-0967

• Internationella komponenter för Unicode

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Problem: Besök på en webbplats med skadligt innehåll kan leda till en attack via skriptkörning över flera platser

  Beskrivning: Det förekom ett problem med kanonikalisering vid hanteringen av EUC-JP-kodningen, vilket skulle kunna leda till en attack via skriptkörning över flera platser på EUC-JP-kodade webbplatser. Det här problemet åtgärdades genom att EUC-JP-kopplingstabellen uppdaterades.

  CVE-ID

  CVE-2011-3058: Masato Kinugawa

• Identitetstjänster

  Tillgänglig för: OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Autentisering som beror på certifikatsbaserad Apple-ID autentisering kan kringgås

  Beskrivning: Det förekom ett problem med felhantering i Identitetstjänster. Om användarens Apple-ID certifikat inte kunde valideras, togs det för givet att användarens Apple-ID var den tomma strängen. Om flera system som tillhör olika användare försätts i det här läget, kan det hända att program som är beroende av den här identitetsbestämningen visar förtroende av misstag. Problemet åtgärdades genom att säkerställa att NULL och inte en tom sträng returneras.

  CVE-ID

  CVE-2013-0963

• ImageIO

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Visning av en skadlig TIFF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

  Beskrivning: Ett buffertspill fanns i libtiffs hantering av TIFF-bilder. Detta löstes genom ytterligare validering av TIFF-bilder.

  CVE-ID

  CVE-2012-2088

• IOAcceleratorFamily

  Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Visning av en uppsåtligt skapad bild kan leda till oväntad systemavstängning eller körning av opålitlig kod

  Beskrivning: Ett problem med minnesfel fanns i hanteringen av grafiska data. Problemet åtgärdades genom förbättrad gränskontroll.

  CVE-ID

  CVE-2013-0976: En anonym forskare

• Kärna

  Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Uppsåtligt skapade eller infiltrerade applikationer kan bestämma adresser i kärnan

  Beskrivning: Ett problem med informationsdelning förekom i hanteringen av API relaterade till kärntillägg. Svar innehållande nyckeln OSBundleMachOHeaders kan ha inkluderat kärnadresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här problemet åtgärdades genom att adresserna togs bort innan de returnerades.

  CVE-ID

  CVE-2012-3749: Mark Dowd på Azimuth Security, Eric Monti på Square och andra anonyma forskare

• Inloggningsfönstret

  Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.2

  Effekt: En angripare med tangentbordstillgång kan ändra systemkonfigurationen

  Beskrivning: Ett logisk fel fanns i VoiceOvers hantering av inloggningsfönstret, där en angripare med tillgång till tangentbordet kunde starta Systeminställningar och ändra systemkonfigurationen. Detta löstes genom att förhindra VoiceOver från att starta program i inloggningsfönstret.

  CVE-ID

  CVE-2013-0969: Eric A. Schulman på Purpletree Labs

• Meddelanden

  Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Om du klickar på en länk från ett meddelanden så kan det starta ett FaceTime-samtal utan att fråga

  Beskrivning: Genom att klicka på ett specialformaterat FaceTime:// URL i meddelanden var det möjligt att kringgå standardbekräftelsen. Detta löstes genom ytterligare validering av FaceTime:// URL: er.

  CVE-ID

  CVE-2013-0970: Aaron Sigel på vtty.com

• Meddelandeserver

  Tillgänglig för: Mac OS X Server 10.6.8, OS X Lion Server 10.7 till 10.7.5

  Effekt: En fjärrangripare kan omdirigera förenade Jabber-meddelanden

  Beskrivning: Ett problem fanns i Jabber-serverns hantering av återkoppling av resultatmeddelanden. En angripare kan orsaka att Jabber-servern visar uppgifter som är avsedda för användare av förenade servrar. Detta löstes genom förbättrad hantering av återkoppling av resultatmeddelanden.

  CVE-ID

  CVE-2012-3525

• PDFKit

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Visning av en PDF-fil som skapats med skadlig kod kan leda till oväntad programavslutning eller körning av godtycklig kod

  Beskrivning: Ett problem med användning-efter-fri fråga fanns i hanteringen av färganteckningar i PDF-filer. Problemet åtgärdades genom förbättrad minneshantering.

  CVE-ID

  CVE-2013-0971: Tobias Klein i samarbete med HP TippingPoints Zero Day Initiative

• Podcast Producer Server

  Tillgänglig för: Mac OS X Server 10.6.8, OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare kan orsaka körning av godtycklig kod

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av XML-parametrar. Detta löstes genom att avaktivera XML-parametrar i Rails genomförande som används av Podcast Producer Server.

  CVE-ID

  CVE-2013-0156

• Podcast Producer Server

  Tillgänglig för: OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare kan orsaka körning av godtycklig kod

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av JSON-data. Detta löstes genom att byta till att använda JSONGem backend istället för JSON parsing i Rails användning av Podcast Producer Server.

  CVE-ID

  CVE-2013-0333

• PostgreSQL

  Tillgänglig för: Mac OS X Server 10.6.8, OS X Lion Server 10.7 till 10.7.5

  Effekt: Flera sårbarheter i PostgreSQL

  Beskrivning: PostgreSQL har uppdaterats till version 9.1.5 för att åtgärda flera sårbarheter, varav de allvarligaste kan ge databasanvändare rättigheter att läsa filer från filsystemet med samma privilegier som databasserverns rollkonto. Ytterligare information finns tillgänglig via PostgreSQL webbplats på http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

  CVE-ID

  CVE-2012-3488

  CVE-2012-3489

• Profilhanteraren

  Tillgänglig för: OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare kan orsaka körning av godtycklig kod

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av XML-parametrar. Detta löstes genom att avaktivera XML-parametrar i Rails genomförande som används av Profile Manager.

  CVE-ID

  CVE-2013-0156

• QuickTime

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

  Beskrivning: Ett buffertspill förekom i hanteringen av 'rnet'-rutor i MP4-filer. Problemet åtgärdades genom förbättrad gränskontroll.

  CVE-ID

  CVE-2012-3756: Kevin Szkudlapski på QuarksLab

• Ruby

  Tillgänglig för: Mac OS X Server 10.6.8

  Effekt: En fjärrangripare kan få möjlighet att orsaka exekvering av godtycklig kod om ett Rails-program körs

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av XML-parametrar. Detta löstes genom att avaktivera yaml och symboler i XML-parametrar i Rails.

  CVE-ID

  CVE-2013-0156

• Säkerhet

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

  Beskrivning: Flera CA-certifikat på mellannivå har av misstag utfärdats av TURKTRUST. Detta kan ge en MITM-angripare (Man-In-The-Middle) möjlighet att omdirigera anslutningar och påverka användarinformation eller annan känslig information. Problemet åtgärdades genom att felaktiga SSL-certifikat inte tilläts.

• Programuppdatering

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare med en privilegierad nätverksposition kan orsaka exekvering av godtycklig kod

  Beskrivning: Programuppdatering tillät en MITM-angripare (Man-In-The-Middle) att infoga insticksprogram i informationstexten som visas för uppdateringar. Detta kan tillåta exploatering av en sårbar plugin eller underlätta för riktade attacker med plugins. Det här problemet påverkar inte OS X Mountain Lion-system. Detta löstes genom att förhindra plugins från att laddas i programuppdateringar av marknadsföringstexten WebView.

  CVE-ID

  CVE-2013-0973: Emilio Escobar

• Wiki Server

  Tillgänglig för: OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare kan orsaka körning av godtycklig kod

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av XML-parametrar. Detta problem löstes genom att avaktivera XML-parametrar i Rails genomförande som används av Wiki Server.

  CVE-ID

  CVE-2013-0156

• Wiki Server

  Tillgänglig för: OS X Lion Server 10.7 till 10.7.5

  Effekt: En angripare kan orsaka körning av godtycklig kod

  Beskrivning: Ett rollfördelningsproblem fanns i Ruby on Rails hantering av JSON-data. Detta löstes genom att byta till att använda JSONGem backend istället för JSON parsing i Rails genomförande som används av Wiki Server.

  CVE-ID

  CVE-2013-0333

• Borttagning av skadlig programvara

  Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7 till 10.7.5, OS X Lion Server 10.7 till 10.7.5, OS X Mountain Lion 10.8 till 10.8.2

  Beskrivning: Denna uppdatering kör ett borttagningsverktyg som tar bort de vanligaste varianterna av skadliga program. Om ett skadligt program hittas, öppnas en dialogruta där användaren meddelas om att ett skadligt program togs bort. Användaren meddelas inte om det inte hittar det skadliga programmet.

FaceTime är inte tillgängligt i alla länder och regioner.