Om säkerhetsinnehållet i OS X Mountain Lion 10.8.5 och Säkerhetsuppdatering 2013-004

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mountain Lion 10.8.5 och Säkerhetsuppdatering 2013-004.

Dessa kan hämtas och installeras via inställningarna för Programuppdatering eller från Apples hämtningsbara filer.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

OS X Mountain Lion 10.8.5 säkerhetsuppdatering 2013-004

  • Apache

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i Apache

    Beskrivning: Flera sårbarheter förekom i Apache, varav den allvarligaste kan leda till skriptkörning över flera webbplatser. Dessa problem åtgärdades genom en uppdatering av Apache till version 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    Tillgängligt för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i BIND

    Beskrivning: Flera sårbarheter förekom i BIND, varav den allvarligaste kan leda till ett överbelastningsangrepp. Dessa problem åtgärdades genom att BIND uppdaterades till 9.8.5-P1. CVE-2012-5688 påverkade inte Mac OS X 10.7-system.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Rotcertifikat har uppdaterats

    Beskrivning: Flera certifikat har lagts till eller tagits bort från listan över systemrötter. Du kan se den fullständiga listan över systemrötter som känns igen via appen för nyckelringsåtkomst.

  • ClamAV

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5

    Effekt: Flera sårbarheter i ClamAV

    Beskrivning: Flera sårbarheter förekommer i ClamAV, varav den allvarligaste kan leda till att opålitlig kod körs. Den här uppdateringen åtgärdar problemen genom att uppdatera ClamAV till version 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Visning av en skadlig PDF-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom vid hanteringen av JBIG2-kodad data i PDF-filer. Problemet åtgärdades med ytterligare kontroll av gränserna.

    CVE-ID

    CVE-2013-1025: Felix Groebert på Google Security Team

  • ImageIO

    Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Visning av en skadlig PDF-fil kan leda till oväntad appavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom vid hanteringen av JPEG2000-kodad data i PDF-filer. Problemet åtgärdades med ytterligare kontroll av gränserna.

    CVE-ID

    CVE-2013-1026: Felix Groebert från Google Security Team

  • Installer

    Tillgängligt för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Paket kunde öppnas efter annullering av certifikat

    Beskrivning: Om installeraren stötte på ett annullerat certifikat visades ett meddelande med alternativet att fortsätta. Problemet åtgärdades genom att ta bort meddelandet och avvisa annullerade paket.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: En angripare kan samla in data som skyddas med IPSec Hybrid Auth

    Beskrivning: DNS-namnet på en IPSec Hybrid Auth-server matchades inte mot certifikatet, vilket gjorde att en angripare med ett certifikat för vilken server som helst kunde utge sig för att vara någon annan. Problemet åtgärdades genom att korrekt kontrollera certifikatet.

    CVE-ID

    CVE-2013-1028: Alexander Traud från www.traud.de

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: En lokal användare kan orsaka ett överbelastningsangrepp i systemet

    Beskrivning: En felaktig kontroll i analyskoden för IGMP-paket i en kernel gjorde det möjligt för användare som kunde skicka IGMP-paket till systemet att orsaka allvarliga inre systemfel (”kernel panic”). Problemet åtgärdades genom att ta bort kontrollen.

    CVE-ID

    CVE-2013-1029: Christopher Bohn på PROTECTSTAR INC.

  • Mobile Device Management

    Tillgängligt för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Lösenord kan exponeras för andra lokala användare

    Beskrivning: Ett lösenord skickades på kommandoraden till mdmclient, vilket gjorde det synligt för andra användare på samma system. Problemet åtgärdades genom att kommunicera lösenordet genom en ”lina”.

    CVE-ID

    CVE-2013-1030: Per Olofsson vid Göteborgs universitet

  • OpenSSL

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i OpenSSL

    Beskrivning: Flera sårbarheter förekom i OpenSSL, varav den allvarligaste kan leda till otillåtet röjande av användardata. Dessa problem åtgärdades genom att OpenSSL uppgraderades till version 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i PHP

    Beskrivning: Flera sårbarheter förekom i PHP, varav den allvarligaste kan leda till körning av opålitlig kod. Dessa problem åtgärdades genom att uppdatera PHP till version 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Tillgängligt för OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Flera sårbarheter i PostgreSQL

    Beskrivning: Flera sårbarheter förekom i PostgreSQL, varav den allvarligaste kan leda till datakorruption eller behörighetseskalering. CVE-2013-1901 påverkar inte OS X Lion-system. Den här uppdateringen åtgärdar problemen genom att uppdatera PostgreSQL till version 9.1.9 på OS X Mountain Lion-system, och 9.0.4 på OS X Lion-system.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Skärmlåset kanske inte startar efter den angivna tidsperioden

    Beskrivning: Ett problem med strömbekräftelselås förekom. Problemet åtgärdades genom förbättrad låshantering.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Tillgängligt för: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: Visning av en skadlig film kan leda till att wn app oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Det förekom ett problem med minnesfel i hanteringen av IDSC-atomer i QuickTime-filmfiler. Problemet åtgärdades med ytterligare kontroll av gränserna.

    CVE-ID

    CVE-2013-1032: Jason Kratzer i samarbete med iDefense VCP

  • Screen Lock

    Tillgängligt för: OS X Mountain Lion 10.8 till 10.8.4

    Effekt: En användare med skärmdelningsåtkomst kan kringgå skärmlåset när en annan användare är inloggad

    Beskrivning: Ett problem med sessionshantering förekom i hanteringen av skärmdelningssessioner. Problemet åtgärdades genom förbättrad sessionsspårning.

    CVE-ID

    CVE-2013-1033: Jeff Grisso på Atos IT Solutions, Sébastien Stormacq

  • sudo

    Tillgängligt för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8 till 10.8.4

    Effekt: En angripare som kontrollerar en administratörs användarkonto kan få åtkomst till rotbehörigheter utan att veta användarens lösenord

    Beskrivning: Genom att ställa in systemklockan kan en angripare använda sudo för att få åtkomst till rotbehörigheter på system där sudo tidigare har använts. I OS X är det endast administratörsanvändare som kan ändra systemklockan. Problemet åtgärdades genom att söka efter en ogiltig tidsstämpel.

    CVE-ID

    CVE-2013-1775

  • Obs! OS X Mountain Lion 10.8.5 åtgärdar även ett problem där vissa Unicode-strängar kunde leda till att appar oväntat avslutades.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: