Om säkerhetsinnehållet i OS X Mavericks 10.9

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

OS X Mavericks 10.9

  • Brandvägg för program

    Effekt: socketfilterfw --blockApp kanske inte förhindrar att program godkänner nätverksanslutningar

    Beskrivning: Alternativet --blockApp i kommandoradverktyget socketfilterfw kanske inte förhindrar att program godkänner nätverksanslutningar. Problemet åtgärdades genom förbättrad hantering av --blockApp-alternativen.

    CVE-ID

    CVE-2013-5165: Alexander Frangis från PopCap Games

  • Sandlådan

    Effekt: Sandlådan kan kringgås

    Beskrivning: LaunchServices-gränssnittet för start av program tillät att program i begränsat läge (sandlådan) angav argumentlistan som skickades till den nya processen. Med ett modifierat program i sandlådeläge var det möjligt att kringgå sandlådebegränsningen. Problemet har avhjälpts genom att program i sandlådeläge inte tillåts ange argument.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter från The Soulmen GbR

  • Bluetooth

    Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning

    Beskrivning: Bluetooth USB-styrenheten raderade gränssnitt som behövdes för andra åtgärder. Vi har åtgärdat problemet genom att bevara gränssnittet tills det inte behövs längre.

    CVE-ID

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi, och Aristide Fattori från Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Effekt: Sessionscookies kan finnas kvar även efter återställning av Safari

    Beskrivning: I Safari kunde sessionscookies behållas även efter en nollställning, tills Safari stängdes. Problemet åtgärdades genom förbättrad hantering av sessionscookies.

    CVE-ID

    CVE-2013-5167: Graham Bennett, Rob Ansaldo på Amherst College

  • CFNetwork SSL

    Effekt: En angripare kunde avkryptera delar av en SSL-anslutning

    Beskrivning: Endast SSLv3- och TLS 1.0-versionerna av SSL användes. Dessa versioner är föremål för en protokollsvaghet när blockchiffer används. En MITM-angripare (man-in-the-middle) kunde mata in ogiltiga data, vilket kunde leda till att anslutningen bröts men att viss information om tidigare data spriddes. Om angriparen försökte sig på samma anslutning upprepade gånger kunde han eller hon eventuellt ha avkrypterat de data som skickades, till exempel ett lösenord. Problemet har åtgärdats genom aktivering av TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Systemmeddelanden

    Effekt: Program kunde startas oväntat om användaren klickade på en skadlig loggpost.

    Beskrivning: Med den här uppdateringen ändras systemmeddelandeloggens beteende i situationer då användaren klickar på en loggpost med en bifogad URL. Istället för att webbsidan öppnas, förhandsgranskas sidan med hjälp av Överblick.

    CVE-ID

    CVE-2013-5168: Aaron Sigel på vtty.com

  • CoreGraphics

    Effekt: Fönster kanske är synliga över låsbilden även efter att bildskärmen har försatts i viloläge

    Beskrivning: Det fanns ett logikproblem i CoreGraphics-hanteringen av bildskärmsvila, vilket resulterade i att fönster kunde synas framför låsbilden. Problemet har åtgärdats genom förbättrad hantering av bildskärmsvila.

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    Effekt: Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Det fanns ett problem med buffertunderskott vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-5170: Will Dormann på CERT/CC

  • CoreGraphics

    Effekt: Program som saknar behörighet kunde registrera tangenttryckningar i andra program, även när säkert inmatningsläge användes

    Beskrivning: Genom att vänta på en kortkommandohändelse kunde obehöriga program logga knapptryckningar i andra program, även när säkert inmatningsläge användes. Problemet har åtgärdats genom extra verifiering av kortkommandohändelser.

    CVE-ID

    CVE-2013-5171

  • curl

    Effekt: Fler sårbarheter i curl

    Beskrivning: Det fanns flera sårbarheter i curl, av vilka den allvarligaste kunde leda till körning av opålitlig kod. Vi har åtgärdat problemet genom att uppdatera curl till version 7.30.0

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Effekt: En angripare som kan orsaka körning av opålitlig kod på en enhet kan ha möjlighet att spara kodexekvering över omstarter

    Beskrivning: Buffertspill förekom i openSharedCacheFile()-funktionen för dynamisk inläsning. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning

    Beskrivning: Det förekom en nullpekarreferens i IOCatalogue. Problemet åtgärdades genom förbättrad typkontroll.

    CVE-ID

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Effekt: Körning av ett skadligt program kan leda till körning av opålitlig kod i operativsystemkärnan

    Beskrivning: Matrisåtkomst utanför gränserna förekom i IOSerialFamily-drivrutinen. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • Kärna

    Effekt: Användning av SHA-2-sammandrag i kärnan kunde orsaka oväntad avstängning av datorn

    Beskrivning: En felaktig utdatalängd användes i SHA-2-familjen av sammandragsfunktioner, vilket resulterade i ”kernel panic” när sådana funktioner användes, särskilt med IPSec-anslutningar. Problemet åtgärdades genom användning av förväntad utdatalängd.

    CVE-ID

    CVE-2013-5172: Christoph Nadig från Lobotomo Software

  • Kärna

    Effekt: Operativsystemkärnans stackminne kan visas för lokala användare

    Beskrivning: Problem med avslöjande av information förekom i API:erna för msgctl och segctl. Problemet åtgärdades genom initiering av datastrukturer som returnerats från operativsystemkärnan.

    CVE-ID

    CVE-2013-5142: Kenzley Alphonse från Kenx Technology, Inc

  • Kärna

    Effekt: En lokal användare kan orsaka problem med nekad tjänst

    Beskrivning: Kärnans slumptalsgenerator låstes vid bearbetning av begäranden från användarrymden, vilket innebar att lokala användare kunde skicka stora kommandon och därmed upprätthålla låsningen under lång tid, så att andra personer inte kunde använda slumptalsgeneratorn. Problemet åtgärdades genom att låsningen släpps och återupptas oftare för stora kommandon.

    CVE-ID

    CVE-2013-5173: Jaakko Pero från Aalto University

  • Kärna

    Effekt: En lokal obehörig användare kan orsaka oväntad avstängning av datorn

    Beskrivning: Ett heltalsteckenproblem kunde inträffa vid hantering av TTY-läsning. Problemet har åtgärdats genom förbättrad hantering av TTY-läsning.

    CVE-ID

    CVE-2013-5174: CESG

  • Kärna

    Effekt: En lokal användare kan orsaka röjning av kärnminnesinformation eller göra så att datorn stängs av oväntat

    Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hantering av Mach-O-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-5175

  • Kärna

    Effekt: En lokal användare kan orsaka datorlåsning

    Beskrivning: Ett heltalstrunkeringsproblem kunde uppstå vid hantering av TTY-enheter. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-5176: CESG

  • Kärna

    Effekt: En lokal användare kan orsaka oväntad avstängning av datorn

    Beskrivning: En ”kernel panic” kunde uppstå om en ogiltig iovec-struktur från en användare upptäcktes. Problemet har åtgärdats genom förbättrad verifiering av iovec-strukturer.

    CVE-ID

    CVE-2013-5177: CESG

  • Kärna

    Effekt: Obehöriga processer kan orsaka oväntad datoravstängning eller körning av godtycklig kod i operativsystemkärnan

    Beskrivning: Ett problem med skadat minne förekom i hanteringen av argument till API för posix_spawn. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2013-3954: Stefan Esser

  • Kärna

    Effekt: Källspecifika grupputskicksprogram kan orsaka oväntad datoravstängning när Wi-Fi-nätverk används

    Beskrivning: Det fanns ett felkontrollproblem vid hantering av grupputskickspaket. Problemet har åtgärdats genom förbättrad hantering av grupputskickspaket.

    CVE-ID

    CVE-2013-5184: Octoshape

  • Kärna

    Effekt: En angripare i ett lokalt nätverk kan orsaka en attack som leder till nekade tjänster

    Beskrivning: En angripare i ett lokalt nätverk kan orsaka hög processorbelastning genom att skicka särskilt anpassade IPv6 ICMP-paket. Problemet åtgärdades genom frekvensbegränsning av ICMP-paket före verifiering av kontrollsumman.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kärna

    Effekt: Ett skadligt lokalt program kan orsaka låsning av datorn

    Beskrivning: Ett problem med heltalstrunkering i kärnans socketgränssnitt kunde leda till att processorn tvingades in i en oändlig loop. Problemet åtgärdades genom en större variabel.

    CVE-ID

    CVE-2013-5141: CESG

  • Kext-hantering

    Effekt: En obehörig process kan inaktivera vissa inlästa kärntillägg

    Beskrivning: Vid kext-hanteringen av IPC-meddelanden från ej autentiserade användare kunde problem inträffa. Det här problemet åtgärdades med ytterligare autentiseringskontroller.

    CVE-ID

    CVE-2013-5145: Rainbow PRISM

  • LaunchServices

    Effekt: Fel tillägg kunde visas vid filer.

    Beskrivning: Ett problem kunde inträffa vid hantering av vissa unicode-tecken. Det kunde leda till att fel filnamnstillägg visades vid filnamnen. Vi har åtgärdat problemet genom att filtrera bort visning av osäkra unicode-tecken i filnamn.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman från Mozilla Corporation, Stephane Sudre från Intego

  • Libc

    Effekt: Under ovanliga förhållanden kan det gå att förutsäga vissa slumptal

    Beskrivning: Om kärnans slumptalsgenerator inte var åtkomligt för srandomdev(), användes en alternativ metod som hade tagits bort vid genom optimering. Det här kunde leda till försämrad slumpmässighet. Vi åtgärdade problemet genom att ändra till rätt kod under optimering.

    CVE-ID

    CVE-2013-5180: Xi Wang

  • Mail-konton

    Effekt: Den säkraste autentiseringsmetoden kanske inte valdes i Mail

    Beskrivning: Vid automatisk konfigurering av e-postkonton på vissa servrar, valde Mail-programmet autentisering med vanlig text i stället för CRAM-MD5. Problemet har åtgärdats genom förbättrad logikhantering.

    CVE-ID

    CVE-2013-5181

  • Headervisning i Mail

    Effekt: Ett osignerat meddelande kan se ut som om det har en giltig signatur.

    Beskrivning: Det fanns ett logikfel i Mails hantering av osignerade meddelanden. Dessa kunde, trots att de inte var signerade, innehålla en signerad del. Problemet har åtgärdats genom förbättrad hantering av osignerade meddelanden.

     

    CVE-ID

    CVE-2013-5182: Michael Roitzsch från Technische Universität Dresden

  • Mail och nätverk

    Effekt: Information kan överföras i textform när kryptering utan TLS konfigureras.

    Beskrivning: När Kerberos-autentisering aktiverades och Transport Layer Security inaktiverades, kunde Mail skicka okrypterade data till e-postservern, vilket kunde orsaka oväntad avstängning av anslutningen. Problemet har åtgärdats genom förbättrad hantering av konfigureringen.

    CVE-ID

    CVE-2013-5183: Richard E. Silverman från www.qoxp.net

  • OpenLDAP

    Effekt: Kommandoradsverktyget ldapsearch förbisåg minssf-konfigurationen

    Beskrivning: Kommandoradsverktyget ldapsearch förbisåg minssf-konfigurationen, vilket kunde leda till att svag kryptering tilläts. Problemet åtgärdades genom förbättrad hantering av minssf-konfigurationen.

    CVE-ID

    CVE-2013-5185

  • perl

    Effekt: Perl-skript kan vara mottagliga för nekad tjänst-attacker.

    Beskrivning: En hashmekanism i äldre versioner av Perl kan vara mottagliga för nekad tjänst-attacker i skript som innehåller opålitliga indata som hashnycklar. Problemet åtgärdas genom uppdatering till Perl 5.16.2.

    CVE-ID

    CVE-2013-1667

  • Strömhantering

    Effekt: Skärmlåset kanske inte aktiveras efter en viss tidsperiod

    Beskrivning: Det fanns ett låsningsproblem i strömhanteringsfunktionen. Problemet har åtgärdats genom förbättrad låshantering.

    CVE-ID

    CVE-2013-5186: David Herman från Sensible DB Design

  • python

    Effekt: Fler sårbarheter i python 2.7

    Beskrivning: Det finns flera sårbarheter i python 2.7.2, av vilka den allvarligaste kan leda till dekryptering av innehållet i en SSL-anslutning. Med den här uppdateringen uppdateras python till version 2.7.5 där problemet är åtgärdat. Ytterligare information finns tillgänglig via python-webbplatsen på http://www.python.org/download/releases//

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Effekt: Fler sårbarheter i python 2.6

    Beskrivning: Det finns flera sårbarheter i python 2.6.7, av vilka den allvarligaste kan leda till dekryptering av innehållet i en SSL-anslutning. Den här uppdateringen åtgärdar problemet genom att uppdatera python till version 2.6.8 och installera korrigeringen för CVE-2011-4944 från Python-projektet. Ytterligare information finns tillgänglig via python-webbplatsen på http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: Det fanns ett problem med värdnamnsverifiering i Rubys funktioner för hantering av SSL-certifikat. Vi har åtgärdat problemet genom att uppdatera Ruby till version 2.0.0p247.

    CVE-ID

    CVE-2013-4073

  • Säkerhet

    Effekt: Stöd för X.509-certifikat med MD5-hash kan leda till att användarna utsätts för falsk information och till spridning av information när attackerna utvecklas

    Beskrivning: Certifikat som har signerats med MD5-hashalgoritmen godkändes i OS X. Algoritmen har dock vissa kryptografiska svagheter. Vidare forskning eller en felkonfigurerad certifikatsutfärdare kunde ha tillåtit att X.509-certifikat skapades med angriparkontrollerade värden som systemet skulle ha behandlat som tillförlitliga. Detta skulle göra det möjligt att utsätta X.509-baserade protokoll för falsk information, MITM-attacker (Man-In-The-Middle) och spridning av information. Denna uppdatering inaktiverar stödet för ett X.509-certifikat med en MD5-hash för all annan användning än som ett tillförlitligt root-certifikat.

    CVE-ID

    CVE-2011-3427

  • Säkerhet – auktorisering

    Effekt: En administratörs säkerhetsinställningar kunde kringgås

    Beskrivning: Med inställningen Kräv administratörslösenord för att justera låsta inställningar, kan administratörer lägga till ett extra säkerhetslager för viktiga systeminställningar. Även om administratören hade aktiverat inställningen, kunde den i vissa fall stängas av via programuppdateringar eller uppgraderingar. Vi åtgärdade problemet genom att förbättra hanteringen av auktorisering.

    CVE-ID

    CVE-2013-5189: Greg Onufer

  • Säkerhet – Smart Card-tjänster

    Effekt: Tillgång till Smart Card-tjänsterna kanske tas bort om kontroll av certifikatåterkallande aktiveras

    Beskrivning: Det finns ett logikfel i OS X-systemets kontrollfunktioner för återkallande av Smart Card-certifikat. Problemet har åtgärdats genom förbättrat stöd för certifikatåterkallande.

    CVE-ID

    CVE-2013-5190: Yongjun Jeon från Centrify Corporation

  • Skärmlås

    Effekt: Kommandot Lås skärm kanske inte fungerar omedelbart

    Beskrivning: Kommandot Lås skärm bland alternativen för nyckelringsstatus kanske inte fungerade omedelbart när inställningen Kräv lösenord [tidsperiod] efter att viloläge eller skärmsläckare aktiveras hade löpt ut.

    CVE-ID

    CVE-2013-5187: Michael Kisor från OrganicOrb.com, Christian Knappskog från NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Skärmlås

    Effekt: Det krävdes inget lösenord för att väcka en Mac-dator i viloläge med automatisk inloggning

    Beskrivning: En Mac-dator i viloläge och med aktiverad funktion för automatisk inloggning gick att väcka utan att ange lösenordet. Problemet har åtgärdats genom förbättrad låshantering.

    CVE-ID

    CVE-2013-5188: Levi Musters

  • Skärmdelningsserver

    Effekt: En angripare kan orsaka körning av godtycklig kod

    Beskrivning: Det fanns en formatsträngsrelaterad sårbarhet i skärmdelningsserverns hantering av VNC-användarnamn.

    CVE-ID

    CVE-2013-5135: SilentSignal med iDefense VCP

  • syslog

    Effekt: En gästanvändare kan visa systemmeddelanden från tidigare gästanvändares sessioner

    Beskrivning: Systemmeddelanden var tillgängliga för gästanvändaren som därmed kunde läsa meddelanden från tidigare gästanvändarsessioner. Vi åtgärdade problemet genom att göra gästanvändares systemmeddelanden tillgängliga endast för administratören.

    CVE-ID

    CVE-2013-5191: Sven-S. Porst från earthlingsoft

  • USB

    Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning

    Beskrivning: USB-hubbens styrenhet kontrollerade inte porten och portnumret vid förfrågningar. Vi har åtgärdat problemet genom att lägga till kontroller av portar och portnummer.

    CVE-ID

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi, och Aristide Fattori från Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Obs! OS X Mavericks innehåller Safari 7.0, med visst säkerhetsinnehåll från Safari 6.1. Mer information finns i Om säkerhetsinnehållet i Safari 6.1 på http://support.apple.com/kb/HT6000?viewlocale=sv_SE

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: