Om säkerhetsinnehållet i OS X Mountain Lion 10.8.5 och säkerhetsuppdatering 2013-004

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mountain Lion 10.8.5 och säkerhetsuppdatering 2013-004.

Dessa kan hämtas och installeras via inställningarna för Programuppdatering eller från Hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

OS X Mountain Lion 10.8.5 och säkerhetsuppdatering 2013-004

  • Apache

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i Apache

    Beskrivning: Flera sårbarheter förekom i Apache, av vilka den allvarligaste kan leda till skriptkörning över flera platser. Dessa problem åtgärdades genom uppdatering till Apache 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i BIND

    Beskrivning: Fler sårbarheter förekom i BIND, av vilka den allvarligaste kan leda till denial of service. Dessa problem åtgärdades genom att BIND uppdaterades till 9.8.5-P1. CVE-2012-5688 påverkade inte datorer med Mac OS X 10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certifierad förtroendepolicy

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Rotcertifikat har uppdaterats

    Beskrivning: Flera certifikat har lagts till eller tagits bort i listan med systemrötter. Den fullständiga listan med godkända systemrötter kan visas via programmet Nyckelhanterare.

  • ClamAV

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Effekt: Flera sårbarheter i ClamAV

    Beskrivning: Flera sårbarheter förekommer i ClamAV, av vilka den allvarligaste kan leda till exekvering av opålitlig kod. Den här uppdateringen åtgärdar problemen genom att uppdatera ClamAV till 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller exekvering av godtycklig kod

    Beskrivning: Buffertspill förekom vid hantering av JBIG2-kodade data i PDF-filer. Problemet åtgärdades genom utökad gränskontroll.

    CVE-ID

    CVE-2013-1025: Felix Groebert i Google Security Team

  • ImageIO

    Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller exekvering av godtycklig kod

    Beskrivning: Buffertspill förekom vid hantering av JPEG2000-kodade data i PDF-filer. Problemet åtgärdades genom utökad gränskontroll.

    CVE-ID

    CVE-2013-1026: Felix Groebert i Google Security Team

  • Installeraren

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Paket gick inte att öppna efter återkallande av certifikat

    Beskrivning: När installeraren hittade ett återkallat certifikat visades en dialogruta med ett alternativ för att fortsätta. Problemet åtgärdades genom borttagning av dialogrutan och blockering av alla återkallade paket.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Obehöriga kan få tillgång till data som skyddas med IPSec Hybrid Auth

    Beskrivning: DNS-namnet för en IPSec Hybrid Auth-server matchade inte certifikatet, vilket innebar att certifikat från godtyckliga servrar kunde användas som giltiga certifikat. Problemet åtgärdades genom noggrann granskning av certifikatet.

    CVE-ID

    CVE-2013-1028: Alexander Traud på www.traud.de

  • Kärna

    Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Användare i det lokala nätverket kan orsaka denial of service

    Beskrivning: En felaktig kontroll i analyskoden för IGMP-paket i kärnan gjorde det möjligt för användare som kunde skicka IGMP-paket till systemet att orsaka allvarliga inre systemfel (”kernel panic”). Detta problem åtgärdades genom borttagning av kontrollen.

    CVE-ID

    CVE-2013-1029: Christopher Bohn hos PROTECTSTAR INC.

  • Hantering av mobila enheter

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Lokala användare kunde se lösenord

    Beskrivning: Ett lösenord skickades via kommandoraden till mdmclient, så att lösenordet var synligt för andra användare i samma system. Problemet åtgärdades genom att lösenordet skickades i en pipe.

    CVE-ID

    CVE-2013-1030: Per Olofsson på Göteborgs universitet

  • OpenSSL

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i OpenSSL

    Beskrivning: Flera sårbarheter förekom i OpenSSL, av vilka den allvarligaste kan leda till röjda användardata. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i PHP

    Beskrivning: Flera sårbarheter förekom i PHP, av vilka den allvarligaste kan leda till exekvering av opålitlig kod. Dessa problem åtgärdades genom att PHP uppdaterades till 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i PostgreSQL

    Beskrivning: Fler sårbarheten förekommer i PostgreSQL, av vilka den allvarligaste kan leda till skadade data eller behörighetsutdelning. CVE-2013-1901 påverkar inte datorer med OS X Lion. Den här uppdateringen åtgärdar problemen genom att uppdatera PostgreSQL till 9.1.9 i OS X Mountain Lion, och 9.0.4 i OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Strömhantering

    Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Skärmsläckaren kanske inte startar efter den angivna tidsperioden

    Beskrivning: Det fanns ett låsningsproblem i samband med strömförsäkran. Problemet har åtgärdats genom förbättrad låshantering.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Tillgänglig för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom vid hantering av IDSC-atomer i QuickTime-filmfiler. Problemet åtgärdades genom utökad gränskontroll.

    CVE-ID

    CVE-2013-1032: Jason Kratzer som arbetar med iDefense VCP

  • Skärmlås

    Tillgänglig för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: En användare med skärmdelningsåtkomst kan förbigå skärmlåset när en annan användare är inloggad

    Beskrivning: Det fanns ett problem i skärmlåsfunktionens hantering av skärmdelningssessioner. Problemet åtgärdades genom förbättrad sessionsspårning.

    CVE-ID

    CVE-2013-1033: Jeff Grisso hos Atos IT Solutions, Sébastien Stormacq

  • sudo

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Obehöriga med tillgång till en administratörs användarkonto kan tillskansa sig rotbehörighet utan att känna till användarlösenordet

    Beskrivning: Genom att ställa systemklockan kunde obehöriga använda sudo för att tillskansa sig behörighet på datorer där sudo hade använts tidigare. I OS X kan endast administratörer ändra systemklockans inställningar. Problemet åtgärdades genom sökning efter en ogiltig tidsstämpel.

    CVE-ID

    CVE-2013-1775

 

  • Obs! Även i OS X Mountain Lion 10.8.5 åtgärdas ett problem som innebar att vissa Unicode-strängar orsakade oväntade programavstängningar.

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: