เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004

สามารถดาวน์โหลดและติดตั้งได้ทางรายการอัปเดตซอฟต์แวร์ในการตั้งค่า หรือจากรายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ โปรดดู "รายการอัปเดตความปลอดภัยของ Apple"

OS X Mountain Lion v10.8.5 และรายการอัปเดตความปลอดภัย 2013-004

  • Apache

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน Apache

    คำอธิบาย: พบช่องโหว่หลายจุดใน Apache และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการส่งสคริปต์ข้ามไซต์ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต Apache เป็นเวอร์ชั่น 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน BIND

    คำอธิบาย: พบช่องโหว่หลายจุดใน BIND และจุดที่ร้ายแรงที่สุดอาจทำให้เกิด Denial of Service ได้ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต BIND เป็นเวอร์ชั่น 9.8.5-P1 แต่ CVE-2012-5688 ไม่ส่งผลกระทบต่อระบบ Mac OS X v10.7

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ใบรับรองระดับรูทได้รับการอัปเดต

    คำอธิบาย: มีการเพิ่มหรือลบใบรับรองหลายจำนวนมากในรายการระดับรูทของระบบ คุณสามารถดูรายการในระดับรูทที่ระบบรู้จักทั้งหมดได้ผ่านทางแอปพลิเคชันการเข้าถึงพวงกุญแจ

  • ClamAV

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    ผลกระทบ: ช่องโหว่หลายจุดใน ClamAV

    คำอธิบาย: พบช่องโหว่หลายจุดใน ClamAV และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ปัญหานี้ได้รับการแก้ไขโดยการอัปเดต ClamAV เป็นเวอร์ชั่น 0.97.8

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    มีให้สำหรับ: OS X Mountain Lion v10.8 to v10.8.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Overflow เมื่อจัดการกับข้อมูลที่เข้ารหัสแบบ JBIG2 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1025 : Felix Groebert จาก Google Security Team

  • ImageIO

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบ Buffer Overflow เมื่อจัดการกับข้อมูลที่เข้ารหัสแบบ JPEG2000 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1026 : Felix Groebert จาก Google Security Team

  • Installer

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: แพ็คเกจอาจถูกเปิดได้หลังจากมีการเพิกถอนใบรับรอง

    คำอธิบาย: เมื่อ Installer พบใบรับรองที่ถูกเพิกถอน จะแสดงข้อความโต้ตอบพร้อมตัวเลือกให้ดำเนินการต่อ ปัญหานี้ได้รับการแก้ไขโดยการเอาข้อความโต้ตอบดังกล่าวออกและปฏิเสธแพ็คเกจทั้งหมดที่ถูกเพิกถอน

    CVE-ID

    CVE-2013-1027

  • IPSec

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ผู้โจมตีอาจดักจับข้อมูลที่ปกป้องด้วย IPSec Hybrid Auth

    คำอธิบาย: ไม่มีการเทียบชื่อ DNS ของเซิร์ฟเวอร์ IPSec Hybrid Auth กับใบรับรอง ทำให้ผู้โจมตีที่มีใบรับรองสำหรับเซิร์ฟเวอร์ใดก็ตามสามารถสวมรอยเป็นใครก็ได้ ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบใบรับรองอย่างเหมาะสม

    CVE-ID

    CVE-2013-1028 : Alexander Traud จาก www.traud.de

  • Kernel

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ผู้ใช้ในเครือข่ายเฉพาะที่อาจทำให้เกิด Denial of Service ได้

    คำอธิบาย: การตรวจสอบที่ไม่ถูกต้องในโค้ดสำหรับแยกวิเคราะห์แพ็คเก็ต IGMP ภายในเคอร์เนลทำให้ผู้ใช้ที่สามารถส่งแพ็คเก็ต IGMP ไปยังระบบสามารถทำให้เกิดเคอร์เนลแพนิคได้ ปัญหานี้ได้รับการแก้ไขโดยเอาการตรวจสอบดังกล่าวออก

    CVE-ID

    CVE-2013-1029 : Christopher Bohn จาก PROTECTSTAR INC.

  • Mobile Device Management

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: รหัสผ่านอาจถูกเปิดเผยแก่ผู้ใช้เฉพาะเครื่องรายอื่นๆ

    คำอธิบาย: รหัสผ่านถูกส่งจากบรรทัดคำสั่งไปยัง mdmclient ซึ่งทำให้ผู้ใช้รายอื่นในระบบเดียวกันมองเห็นรหัสผ่านนั้น ปัญหานี้ได้รับการแก้ไขโดยการสื่อสารรหัสผ่านทางไปป์แทน

    CVE-ID

    CVE-2013-1030 : Per Olofsson จาก University of Gothenburg

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: พบช่องโหว่หลายจุดใน OpenSSL และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต OpenSSL เป็นเวอร์ชั่น 0.9.8y

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: พบช่องโหว่หลายจุดใน PHP และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดการรันโค้ดโดยพลการ ปัญหาเหล่านี้ได้รับการแก้ไขโดยการอัปเดต PHP เป็นเวอร์ชั่น 5.3.26

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน PostgreSQL

    คำอธิบาย: พบช่องโหว่หลายจุดใน PostgreSQL และจุดที่ร้ายแรงที่สุดอาจทำให้เกิดปัญหาข้อมูลเสียหายหรือมีการยกระดับสิทธิพิเศษได้ แต่ CVE-2013-1901 ไม่ส่งผลกระทบต่อระบบ OS X Lion รายการอัปเดตนี้แก้ไขปัญหาดังกล่าวโดยการอัปเดต PostgreSQL เป็นเวอร์ชั่น 9.1.9 บนระบบ OS X Mountain Lion และ 9.0.4 บนระบบ OS X Lion

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: สกรีนเซฟเวอร์อาจไม่เริ่มทำงานเมื่อครบะระยะเวลาที่กำหนดไว้

    คำอธิบาย: พบปัญหา Power Assertion Lock ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการจัดการกับล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-1031

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการรันโค้ดโดยพลการ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับอะตอม 'idsc' ในไฟล์ภาพยนตร์ QuickTime ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1032 : Jason Kratzer ซึ่งทำงานร่วมกับ iDefense VCP

  • Screen Lock

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ผู้ใช้ที่มีสิทธิ์ในการแชร์หน้าจออาจสามารถเลี่ยงการล็อคหน้าจอเมื่อผู้ใช้อีกรายหนึ่งล็อกอินอยู่

    คำอธิบาย: พบปัญหา Session Management ในหน้าจอล็อคเมื่อจัดการกับเซสชั่นการแชร์หน้าจอ ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการติดตามเซสชั่นให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-1033 : Jeff Grisso จาก Atos IT Solutions, Sébastien Stormacq

  • sudo

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ผู้โจมตีที่สามารถควบคุมบัญชีผู้ใช้ที่เป็นผู้ดูแลระบบอาจได้สิทธิ์ระดับรูทโดยไม่ต้องทราบรหัสผ่านของผู้ใช้

    คำอธิบาย: ผู้โจมตีอาจสามารถใช้คำสั่ง sudo เพื่อรับสิทธิ์ระดับรูทในระบบที่มีการใช้คำสั่ง sudo มาก่อนโดยใช้วิธีตั้งนาฬิกาของระบบ และใน OS X มีเพียงผู้ใช้ที่เป็นผู้ดูแลระบบเท่านั้นที่เปลี่ยนนาฬิกาของระบบได้ ปัญหานี้ได้รับการแก้ไขโดยการตรวจหาไทม์สแตมป์ที่ไม่ถูกต้อง

    CVE-ID

    CVE-2013-1775

  • หมายเหตุ: OS X Mountain Lion v10.8.5 ยังแก้ไขปัญหาสตริง Unicode บางอย่างที่อาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดด้วย

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: