Om säkerhetsinnehållet i OS X Mavericks 10.9
Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.
OS X Mavericks 10.9
Brandvägg för program
Effekt: socketfilterfw --blockApp kanske inte förhindrar att program godkänner nätverksanslutningar
Beskrivning: Alternativet --blockApp i kommandoradverktyget socketfilterfw kanske inte förhindrar att program godkänner nätverksanslutningar. Problemet åtgärdades genom förbättrad hantering av --blockApp-alternativen.
CVE-ID
CVE-2013-5165: Alexander Frangis från PopCap Games
Sandlådan
Effekt: Sandlådan kan kringgås
Beskrivning: LaunchServices-gränssnittet för start av program tillät att program i begränsat läge (sandlådan) angav argumentlistan som skickades till den nya processen. Med ett modifierat program i sandlådeläge var det möjligt att kringgå sandlådebegränsningen. Problemet har avhjälpts genom att program i sandlådeläge inte tillåts ange argument.
CVE-ID
CVE-2013-5179: Friedrich Graeter från The Soulmen GbR
Bluetooth
Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning
Beskrivning: Bluetooth USB-styrenheten raderade gränssnitt som behövdes för andra åtgärder. Vi har åtgärdat problemet genom att bevara gränssnittet tills det inte behövs längre.
CVE-ID
CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi, och Aristide Fattori från Computer and Network Security Lab (LaSER), Università degli Studi di Milano
CFNetwork
Effekt: Sessionscookies kan finnas kvar även efter återställning av Safari
Beskrivning: I Safari kunde sessionscookies behållas även efter en nollställning, tills Safari stängdes. Problemet åtgärdades genom förbättrad hantering av sessionscookies.
CVE-ID
CVE-2013-5167: Graham Bennett, Rob Ansaldo på Amherst College
CFNetwork SSL
Effekt: En angripare kunde avkryptera delar av en SSL-anslutning
Beskrivning: Endast SSLv3- och TLS 1.0-versionerna av SSL användes. Dessa versioner är föremål för en protokollsvaghet när blockchiffer används. En MITM-angripare (man-in-the-middle) kunde mata in ogiltiga data, vilket kunde leda till att anslutningen bröts men att viss information om tidigare data spriddes. Om angriparen försökte sig på samma anslutning upprepade gånger kunde han eller hon eventuellt ha avkrypterat de data som skickades, till exempel ett lösenord. Problemet har åtgärdats genom aktivering av TLS 1.2.
CVE-ID
CVE-2011-3389
Systemmeddelanden
Effekt: Program kunde startas oväntat om användaren klickade på en skadlig loggpost.
Beskrivning: Med den här uppdateringen ändras systemmeddelandeloggens beteende i situationer då användaren klickar på en loggpost med en bifogad URL. Istället för att webbsidan öppnas, förhandsgranskas sidan med hjälp av Överblick.
CVE-ID
CVE-2013-5168: Aaron Sigel på vtty.com
CoreGraphics
Effekt: Fönster kanske är synliga över låsbilden även efter att bildskärmen har försatts i viloläge
Beskrivning: Det fanns ett logikproblem i CoreGraphics-hanteringen av bildskärmsvila, vilket resulterade i att fönster kunde synas framför låsbilden. Problemet har åtgärdats genom förbättrad hantering av bildskärmsvila.
CVE-ID
CVE-2013-5169
CoreGraphics
Effekt: Visning av en uppsåtligt skapad PDF-fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det fanns ett problem med buffertunderskott vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-5170: Will Dormann på CERT/CC
CoreGraphics
Effekt: Program som saknar behörighet kunde registrera tangenttryckningar i andra program, även när säkert inmatningsläge användes
Beskrivning: Genom att vänta på en kortkommandohändelse kunde obehöriga program logga knapptryckningar i andra program, även när säkert inmatningsläge användes. Problemet har åtgärdats genom extra verifiering av kortkommandohändelser.
CVE-ID
CVE-2013-5171
curl
Effekt: Fler sårbarheter i curl
Beskrivning: Det fanns flera sårbarheter i curl, av vilka den allvarligaste kunde leda till körning av opålitlig kod. Vi har åtgärdat problemet genom att uppdatera curl till version 7.30.0
CVE-ID
CVE-2013-0249
CVE-2013-1944
dyld
Effekt: En angripare som kan orsaka körning av opålitlig kod på en enhet kan ha möjlighet att spara kodexekvering över omstarter
Beskrivning: Buffertspill förekom i openSharedCacheFile()-funktionen för dynamisk inläsning. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-3950: Stefan Esser
IOKitUser
Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning
Beskrivning: Det förekom en nullpekarreferens i IOCatalogue. Problemet åtgärdades genom förbättrad typkontroll.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Effekt: Körning av ett skadligt program kan leda till körning av opålitlig kod i operativsystemkärnan
Beskrivning: Matrisåtkomst utanför gränserna förekom i IOSerialFamily-drivrutinen. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-5139: @dent1zt
Kärna
Effekt: Användning av SHA-2-sammandrag i kärnan kunde orsaka oväntad avstängning av datorn
Beskrivning: En felaktig utdatalängd användes i SHA-2-familjen av sammandragsfunktioner, vilket resulterade i ”kernel panic” när sådana funktioner användes, särskilt med IPSec-anslutningar. Problemet åtgärdades genom användning av förväntad utdatalängd.
CVE-ID
CVE-2013-5172: Christoph Nadig från Lobotomo Software
Kärna
Effekt: Operativsystemkärnans stackminne kan visas för lokala användare
Beskrivning: Problem med avslöjande av information förekom i API:erna för msgctl och segctl. Problemet åtgärdades genom initiering av datastrukturer som returnerats från operativsystemkärnan.
CVE-ID
CVE-2013-5142: Kenzley Alphonse från Kenx Technology, Inc
Kärna
Effekt: En lokal användare kan orsaka problem med nekad tjänst
Beskrivning: Kärnans slumptalsgenerator låstes vid bearbetning av begäranden från användarrymden, vilket innebar att lokala användare kunde skicka stora kommandon och därmed upprätthålla låsningen under lång tid, så att andra personer inte kunde använda slumptalsgeneratorn. Problemet åtgärdades genom att låsningen släpps och återupptas oftare för stora kommandon.
CVE-ID
CVE-2013-5173: Jaakko Pero från Aalto University
Kärna
Effekt: En lokal obehörig användare kan orsaka oväntad avstängning av datorn
Beskrivning: Ett heltalsteckenproblem kunde inträffa vid hantering av TTY-läsning. Problemet har åtgärdats genom förbättrad hantering av TTY-läsning.
CVE-ID
CVE-2013-5174: CESG
Kärna
Effekt: En lokal användare kan orsaka röjning av kärnminnesinformation eller göra så att datorn stängs av oväntat
Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hantering av Mach-O-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-5175
Kärna
Effekt: En lokal användare kan orsaka datorlåsning
Beskrivning: Ett heltalstrunkeringsproblem kunde uppstå vid hantering av TTY-enheter. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-5176: CESG
Kärna
Effekt: En lokal användare kan orsaka oväntad avstängning av datorn
Beskrivning: En ”kernel panic” kunde uppstå om en ogiltig iovec-struktur från en användare upptäcktes. Problemet har åtgärdats genom förbättrad verifiering av iovec-strukturer.
CVE-ID
CVE-2013-5177: CESG
Kärna
Effekt: Obehöriga processer kan orsaka oväntad datoravstängning eller körning av godtycklig kod i operativsystemkärnan
Beskrivning: Ett problem med skadat minne förekom i hanteringen av argument till API för posix_spawn. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2013-3954: Stefan Esser
Kärna
Effekt: Källspecifika grupputskicksprogram kan orsaka oväntad datoravstängning när Wi-Fi-nätverk används
Beskrivning: Det fanns ett felkontrollproblem vid hantering av grupputskickspaket. Problemet har åtgärdats genom förbättrad hantering av grupputskickspaket.
CVE-ID
CVE-2013-5184: Octoshape
Kärna
Effekt: En angripare i ett lokalt nätverk kan orsaka en attack som leder till nekade tjänster
Beskrivning: En angripare i ett lokalt nätverk kan orsaka hög processorbelastning genom att skicka särskilt anpassade IPv6 ICMP-paket. Problemet åtgärdades genom frekvensbegränsning av ICMP-paket före verifiering av kontrollsumman.
CVE-ID
CVE-2011-2391: Marc Heuse
Kärna
Effekt: Ett skadligt lokalt program kan orsaka låsning av datorn
Beskrivning: Ett problem med heltalstrunkering i kärnans socketgränssnitt kunde leda till att processorn tvingades in i en oändlig loop. Problemet åtgärdades genom en större variabel.
CVE-ID
CVE-2013-5141: CESG
Kext-hantering
Effekt: En obehörig process kan inaktivera vissa inlästa kärntillägg
Beskrivning: Vid kext-hanteringen av IPC-meddelanden från ej autentiserade användare kunde problem inträffa. Det här problemet åtgärdades med ytterligare autentiseringskontroller.
CVE-ID
CVE-2013-5145: Rainbow PRISM
LaunchServices
Effekt: Fel tillägg kunde visas vid filer.
Beskrivning: Ett problem kunde inträffa vid hantering av vissa unicode-tecken. Det kunde leda till att fel filnamnstillägg visades vid filnamnen. Vi har åtgärdat problemet genom att filtrera bort visning av osäkra unicode-tecken i filnamn.
CVE-ID
CVE-2013-5178: Jesse Ruderman från Mozilla Corporation, Stephane Sudre från Intego
Libc
Effekt: Under ovanliga förhållanden kan det gå att förutsäga vissa slumptal
Beskrivning: Om kärnans slumptalsgenerator inte var åtkomligt för srandomdev(), användes en alternativ metod som hade tagits bort vid genom optimering. Det här kunde leda till försämrad slumpmässighet. Vi åtgärdade problemet genom att ändra till rätt kod under optimering.
CVE-ID
CVE-2013-5180: Xi Wang
Mail-konton
Effekt: Den säkraste autentiseringsmetoden kanske inte valdes i Mail
Beskrivning: Vid automatisk konfigurering av e-postkonton på vissa servrar, valde Mail-programmet autentisering med vanlig text i stället för CRAM-MD5. Problemet har åtgärdats genom förbättrad logikhantering.
CVE-ID
CVE-2013-5181
Headervisning i Mail
Effekt: Ett osignerat meddelande kan se ut som om det har en giltig signatur.
Beskrivning: Det fanns ett logikfel i Mails hantering av osignerade meddelanden. Dessa kunde, trots att de inte var signerade, innehålla en signerad del. Problemet har åtgärdats genom förbättrad hantering av osignerade meddelanden.
CVE-ID
CVE-2013-5182: Michael Roitzsch från Technische Universität Dresden
Mail och nätverk
Effekt: Information kan överföras i textform när kryptering utan TLS konfigureras.
Beskrivning: När Kerberos-autentisering aktiverades och Transport Layer Security inaktiverades, kunde Mail skicka okrypterade data till e-postservern, vilket kunde orsaka oväntad avstängning av anslutningen. Problemet har åtgärdats genom förbättrad hantering av konfigureringen.
CVE-ID
CVE-2013-5183: Richard E. Silverman från www.qoxp.net
OpenLDAP
Effekt: Kommandoradsverktyget ldapsearch förbisåg minssf-konfigurationen
Beskrivning: Kommandoradsverktyget ldapsearch förbisåg minssf-konfigurationen, vilket kunde leda till att svag kryptering tilläts. Problemet åtgärdades genom förbättrad hantering av minssf-konfigurationen.
CVE-ID
CVE-2013-5185
perl
Effekt: Perl-skript kan vara mottagliga för nekad tjänst-attacker.
Beskrivning: En hashmekanism i äldre versioner av Perl kan vara mottagliga för nekad tjänst-attacker i skript som innehåller opålitliga indata som hashnycklar. Problemet åtgärdas genom uppdatering till Perl 5.16.2.
CVE-ID
CVE-2013-1667
Strömhantering
Effekt: Skärmlåset kanske inte aktiveras efter en viss tidsperiod
Beskrivning: Det fanns ett låsningsproblem i strömhanteringsfunktionen. Problemet har åtgärdats genom förbättrad låshantering.
CVE-ID
CVE-2013-5186: David Herman från Sensible DB Design
python
Effekt: Fler sårbarheter i python 2.7
Beskrivning: Det finns flera sårbarheter i python 2.7.2, av vilka den allvarligaste kan leda till dekryptering av innehållet i en SSL-anslutning. Med den här uppdateringen uppdateras python till version 2.7.5 där problemet är åtgärdat. Ytterligare information finns tillgänglig via python-webbplatsen på http://www.python.org/download/releases//
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Effekt: Fler sårbarheter i python 2.6
Beskrivning: Det finns flera sårbarheter i python 2.6.7, av vilka den allvarligaste kan leda till dekryptering av innehållet i en SSL-anslutning. Den här uppdateringen åtgärdar problemet genom att uppdatera python till version 2.6.8 och installera korrigeringen för CVE-2011-4944 från Python-projektet. Ytterligare information finns tillgänglig via python-webbplatsen på http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information
Beskrivning: Det fanns ett problem med värdnamnsverifiering i Rubys funktioner för hantering av SSL-certifikat. Vi har åtgärdat problemet genom att uppdatera Ruby till version 2.0.0p247.
CVE-ID
CVE-2013-4073
Säkerhet
Effekt: Stöd för X.509-certifikat med MD5-hash kan leda till att användarna utsätts för falsk information och till spridning av information när attackerna utvecklas
Beskrivning: Certifikat som har signerats med MD5-hashalgoritmen godkändes i OS X. Algoritmen har dock vissa kryptografiska svagheter. Vidare forskning eller en felkonfigurerad certifikatsutfärdare kunde ha tillåtit att X.509-certifikat skapades med angriparkontrollerade värden som systemet skulle ha behandlat som tillförlitliga. Detta skulle göra det möjligt att utsätta X.509-baserade protokoll för falsk information, MITM-attacker (Man-In-The-Middle) och spridning av information. Denna uppdatering inaktiverar stödet för ett X.509-certifikat med en MD5-hash för all annan användning än som ett tillförlitligt root-certifikat.
CVE-ID
CVE-2011-3427
Säkerhet – auktorisering
Effekt: En administratörs säkerhetsinställningar kunde kringgås
Beskrivning: Med inställningen Kräv administratörslösenord för att justera låsta inställningar, kan administratörer lägga till ett extra säkerhetslager för viktiga systeminställningar. Även om administratören hade aktiverat inställningen, kunde den i vissa fall stängas av via programuppdateringar eller uppgraderingar. Vi åtgärdade problemet genom att förbättra hanteringen av auktorisering.
CVE-ID
CVE-2013-5189: Greg Onufer
Säkerhet – Smart Card-tjänster
Effekt: Tillgång till Smart Card-tjänsterna kanske tas bort om kontroll av certifikatåterkallande aktiveras
Beskrivning: Det finns ett logikfel i OS X-systemets kontrollfunktioner för återkallande av Smart Card-certifikat. Problemet har åtgärdats genom förbättrat stöd för certifikatåterkallande.
CVE-ID
CVE-2013-5190: Yongjun Jeon från Centrify Corporation
Skärmlås
Effekt: Kommandot Lås skärm kanske inte fungerar omedelbart
Beskrivning: Kommandot Lås skärm bland alternativen för nyckelringsstatus kanske inte fungerade omedelbart när inställningen Kräv lösenord [tidsperiod] efter att viloläge eller skärmsläckare aktiveras hade löpt ut.
CVE-ID
CVE-2013-5187: Michael Kisor från OrganicOrb.com, Christian Knappskog från NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed
Skärmlås
Effekt: Det krävdes inget lösenord för att väcka en Mac-dator i viloläge med automatisk inloggning
Beskrivning: En Mac-dator i viloläge och med aktiverad funktion för automatisk inloggning gick att väcka utan att ange lösenordet. Problemet har åtgärdats genom förbättrad låshantering.
CVE-ID
CVE-2013-5188: Levi Musters
Skärmdelningsserver
Effekt: En angripare kan orsaka körning av godtycklig kod
Beskrivning: Det fanns en formatsträngsrelaterad sårbarhet i skärmdelningsserverns hantering av VNC-användarnamn.
CVE-ID
CVE-2013-5135: SilentSignal med iDefense VCP
syslog
Effekt: En gästanvändare kan visa systemmeddelanden från tidigare gästanvändares sessioner
Beskrivning: Systemmeddelanden var tillgängliga för gästanvändaren som därmed kunde läsa meddelanden från tidigare gästanvändarsessioner. Vi åtgärdade problemet genom att göra gästanvändares systemmeddelanden tillgängliga endast för administratören.
CVE-ID
CVE-2013-5191: Sven-S. Porst från earthlingsoft
USB
Effekt: Ett skadligt lokalt program kan orsaka oväntad datoravstängning
Beskrivning: USB-hubbens styrenhet kontrollerade inte porten och portnumret vid förfrågningar. Vi har åtgärdat problemet genom att lägga till kontroller av portar och portnummer.
CVE-ID
CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi, och Aristide Fattori från Computer and Network Security Lab (LaSER), Università degli Studi di Milano
Obs! OS X Mavericks innehåller Safari 7.0, med visst säkerhetsinnehåll från Safari 6.1. Mer information finns i Om säkerhetsinnehållet i Safari 6.1 på http://support.apple.com/kb/HT6000?viewlocale=sv_SE
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.