เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004
เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004
สามารถดาวน์โหลดและติดตั้งได้ทางรายการอัปเดตซอฟต์แวร์ในการตั้งค่า หรือจากรายการดาวน์โหลดของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์
ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"
OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004
Apache
มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ช่องโหว่หลายจุดใน Apache
คำอธิบาย: พบช่องโหว่หลายจุดใน Apache และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการส่งสคริปต์ข้ามไซต์ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต Apache เป็นเวอร์ชั่น 2.2.24.
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ช่องโหว่หลายจุดใน BIND
คำอธิบาย: พบช่องโหว่หลายจุดใน BIND และจุดที่ร้ายแรงที่สุดอาจทำให้เกิด Denial of Service ได้ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต BIND เป็นเวอร์ชั่น 9.8.5-P1 แต่ CVE-2012-5688 ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.7
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ใบรับรองระดับรูทได้รับการอัปเดต
คำอธิบาย: มีการเพิ่มหรือลบใบรับรองหลายจำนวนมากในรายการระดับรูทของระบบ คุณสามารถดูรายการในระดับรูทที่ระบบรู้จักทั้งหมดได้ผ่านทางแอปพลิเคชันการเข้าถึงพวงกุญแจ
ClamAV
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5
ผลกระทบ: ช่องโหว่หลายจุดใน ClamAV
คำอธิบาย: พบช่องโหว่หลายจุดใน ClamAV และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.97.8
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
มีให้สำหรับ: OS X Mountain Lion v10.8 to v10.8.4
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบ Buffer Overflow เมื่อจัดการกับข้อมูลที่เข้ารหัสแบบ JBIG2 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม
CVE-ID
CVE-2013-1025 : Felix Groebert จาก Google Security Team
ImageIO
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบ Buffer Overflow เมื่อจัดการกับข้อมูลที่เข้ารหัสแบบ JPEG2000 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม
CVE-ID
CVE-2013-1026 : Felix Groebert จาก Google Security Team
Installer
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: แพ็คเกจอาจถูกเปิดได้หลังจากมีการเพิกถอนใบรับรอง
คำอธิบาย: เมื่อ Installer พบใบรับรองที่ถูกเพิกถอน จะแสดงข้อความโต้ตอบพร้อมตัวเลือกให้ดำเนินการต่อ ปัญหานี้ได้รับการแก้ไขโดยการเอาข้อความโต้ตอบดังกล่าวออกและปฏิเสธแพ็คเกจทั้งหมดที่ถูกเพิกถอน
CVE-ID
CVE-2013-1027
IPSec
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ผู้โจมตีอาจดักจับข้อมูลที่ปกป้องด้วย IPSec Hybrid Auth
คำอธิบาย: ไม่มีการเทียบชื่อ DNS ของเซิร์ฟเวอร์ IPSec Hybrid Auth กับใบรับรอง ทำให้ผู้โจมตีที่มีใบรับรองสำหรับเซิร์ฟเวอร์ใดก็ตามสามารถสวมรอยเป็นใครก็ได้ ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบใบรับรองอย่างเหมาะสม
CVE-ID
CVE-2013-1028 : Alexander Traud จาก www.traud.de
Kernel
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ผู้ใช้ในเครือข่ายเฉพาะที่อาจทำให้เกิด Denial of Service ได้
คำอธิบาย: การตรวจสอบที่ไม่ถูกต้องในโค้ดสำหรับแยกวิเคราะห์แพ็คเก็ต IGMP ภายในเคอร์เนลทำให้ผู้ใช้ที่สามารถส่งแพ็คเก็ต IGMP ไปยังระบบสามารถทำให้เกิดเคอร์เนลแพนิคได้ ปัญหานี้ได้รับการแก้ไขโดยเอาการตรวจสอบดังกล่าวออก
CVE-ID
CVE-2013-1029 : Christopher Bohn จาก PROTECTSTAR INC.
Mobile Device Management
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: รหัสผ่านอาจถูกเปิดเผยแก่ผู้ใช้เฉพาะเครื่องรายอื่นๆ
คำอธิบาย: รหัสผ่านถูกส่งจากบรรทัดคำสั่งไปยัง mdmclient ซึ่งทำให้ผู้ใช้รายอื่นในระบบเดียวกันมองเห็นรหัสผ่านนั้น ปัญหานี้ได้รับการแก้ไขโดยการสื่อสารรหัสผ่านทางไปป์แทน
CVE-ID
CVE-2013-1030 : Per Olofsson จาก University of Gothenburg
OpenSSL
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL
คำอธิบาย: พบช่องโหว่หลายจุดใน OpenSSL และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต OpenSSL เป็นเวอร์ชั่น 0.9.8y
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ช่องโหว่หลายจุดใน PHP
คำอธิบาย: พบช่องโหว่หลายจุดใน PHP และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต PHP เป็นเวอร์ชั่น 5.3.26
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ช่องโหว่หลายจุดใน PostgreSQL
คำอธิบาย: พบช่องโหว่หลายจุดใน PostgreSQL และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดปัญหาข้อมูลเสียหายหรือมีการยกระดับสิทธิพิเศษได้ แต่ CVE-2013-1901 ไม่ส่งผลกระทบต่อระบบ OS X Lion รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต PostgreSQL เป็นเวอร์ชั่น 9.1.9 บนระบบ OS X Mountain Lion และ 9.0.4 บนระบบ OS X Lion
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: สกรีนเซฟเวอร์อาจไม่เริ่มทำงานเมื่อครบะระยะเวลาที่กำหนดไว้
คำอธิบาย: พบปัญหา Power Assertion Lock ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการกับล็อคให้ดียิ่งขึ้น
CVE-ID
CVE-2013-1031
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ
คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับอะตอม 'idsc' ในไฟล์ภาพยนตร์ QuickTime ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม
CVE-ID
CVE-2013-1032 : Jason Kratzer ซึ่งทำงานร่วมกับ iDefense VCP
Screen Lock
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ผู้ใช้ที่มีสิทธิ์ในการแชร์หน้าจออาจสามารถเลี่ยงการล็อคหน้าจอเมื่อผู้ใช้อีกรายหนึ่งล็อกอินอยู่
คำอธิบาย: พบปัญหา Session Management ในหน้าจอล็อคเมื่อจัดการกับเซสชั่นการแชร์หน้าจอ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามเซสชั่นให้ดียิ่งขึ้น
CVE-ID
CVE-2013-1033 : Jeff Grisso จาก Atos IT Solutions, Sébastien Stormacq
sudo
มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4
ผลกระทบ: ผู้โจมตีที่สามารถควบคุมบัญชีผู้ใช้ที่เป็นผู้ดูแลระบบอาจได้สิทธิ์ระดับรูทโดยไม่ต้องทราบรหัสผ่านของผู้ใช้
คำอธิบาย: ผู้โจมตีอาจสามารถใช้คำสั่ง sudo เพื่อรับสิทธิ์ระดับรูทในระบบที่มีการใช้คำสั่ง sudo มาก่อนโดยใช้วิธีตั้งนาฬิกาของระบบ และใน OS X มีเพียงผู้ใช้ที่เป็นผู้ดูแลระบบเท่านั้นที่เปลี่ยนนาฬิกาของระบบได้ ปัญหานี้ได้รับการแก้ไขโดยการตรวจหาไทม์สแตมป์ที่ไม่ถูกต้อง
CVE-ID
CVE-2013-1775
หมายเหตุ: OS X Mountain Lion v10.8.5 ยังแก้ไขปัญหาสตริง Unicode บางอย่างที่อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดด้วย
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม