เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.3 และการอัพเดทความปลอดภัย 2013-001

เอกสารนี้จะอธิบายเนื้อหาด้านการรักษาความปลอดภัยของ OS X Mountain Lion v10.8.3 และโปรแกรมอัพเดทความปลอดภัย 2013-001

สามารถดาวน์โหลดและติดตั้ง OS X Mountain Lion v10.8.3 และรายการอัพเดตความปลอดภัย 2013-001 ได้ผ่านการตั้งค่ารายการอัพเดทซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ ความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดู "รายการอัพเดทความปลอดภัยของ Apple"

หมายเหตุ: OS X Mountain Lion v10.8.3 รวมถึงเนื้อหาของ Safari 6.0.3 สำหรับรายละเอียดเพิ่มเติม โปรดดู เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.3

OS X Mountain Lion v10.8.3 และรายการอัพเดทความปลอดภัย 2013-001

  • Apache

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: ผู้โจมตีอาจสามารถเข้าถึงไดเรกทอรีที่ป้องกันด้วยการรับรองความถูกต้องของ HTTP โดยไม่ทราบข้อมูลประจำตัวที่ถูกต้อง

    คำอธิบาย: เกิดปัญหา canonicalization ในการจัดการ URI ที่มีลำดับตัวอักษรแบบ Unicode ที่สามารถละเลยได้ ปัญหานี้ได้รับการแก้ไขโดยการอัพเดท mod_hfs_apple ให้ขัดขวางการเข้าถึง URI ที่มีลำดับตัวอักษรแบบ Unicode ที่สามารถละเลยได้

    CVE-ID

    CVE-2013-0966 : Clint Ruoho แห่ง Laconic Security

  • CoreTypes

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่น Java Web Start เปิดใช้โดยอัตโนมัติ แม้ว่าจะปิดใช้งานปลั๊กอิน Java อยู่ก็ตาม

    คำอธิบาย: แอพพลิเคชั่น Java Web Start จะทำงานแม้ว่าจะปิดใช้งานปลั๊กอิน Java อยู่ก็ตาม ปัญหานี้ได้รับการแก้ไขโดยการลบไฟล์ JNLP จากรายชื่อประเภทไฟล์ CoreTypes ที่ปลอดภัย ดังนั้นแอพพลิเคชั่น Web Start จะไม่ถูกเรียกใช้งานเว้นแต่ผู้ใช้จะเปิดแอพพลิเคชั่นดังกล่าวในไดเรกทอรีดาวน์โหลด

    CVE-ID

    CVE-2013-0967

  • องค์ประกอบสากลสำหรับ Unicode

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การไปเว็บไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดภัยคุกคามแบบ Cross-site Scripting ได้

    คำอธิบาย: มีปัญหา canonicalization ในการจัดการการเข้ารหัส EUC-JP ซึ่งอาจทำให้เกิดการโจมตีแบบ Cross-site Scripting บนเว็บไซต์ที่เข้ารหัส EUC-JP ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดทตารางการแม็ป EUC-JP

    CVE-ID

    CVE-2011-3058: Masato Kinugawa

  • บริการระบุตัวตน

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การตรวจสอบยืนยันที่ต้องพึ่งการตรวจสอบยืนยัน Apple ID ตามการรับรองอาจถูกข้ามไป

    คำอธิบาย: มีข้อผิดพลาดในการจัดการกับปัญหาในบริการระบุตัวตน ถ้าใบรับรอง AppleID ของผู้ใช้ไม่สามารถตรวจสอบได้ AppleID ของผู้ใช้จะถือว่าเป็นสตริงเปล่า ถ้าระบบจำนวนมากที่เป็นของผู้ใช้รายอื่นๆ เข้าสู่สถานะนี้ แอพพลิเคชั่นที่ต้องอิงกับการพิจารณาการระบุตัวตนนี้อาจขยายความน่าเชื่อถือที่ผิดพลาดได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบว่าได้ค่า NULL แล้วแทนที่จะเป็นสตริงเปล่า

    CVE-ID

    CVE-2013-0963

  • ImageIO

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การดูไฟล์ TIFF ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์ล้นที่มีอยู่ในการจัดการภาพ TIFF ของ libtiff ปัญหานี้แก้ไขได้ผ่านการตรวจสอบภาพ TIFF เพิ่มเติม

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การดูภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดหมาย หรือมีการสั่งงานรหัสโดยพลการ

    คำอธิบาย: เกิดปัญหาหน่วยความจำเสียหายในการจัดการข้อมูลกราฟิก ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0976 : นักวิจัยที่ไม่ระบุชื่อ

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: แอพพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายหรือเป็นภัยอาจสามารถกำหนดที่อยู่ในเคอร์เนลได้

    คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการจัดการ API ที่เกี่ยวข้องกับส่วนขยายเคอร์เนล การตอบสนองที่มีคีย์ OSBundleMachOHeaders อาจรวมที่อยู่เคอร์เนล ซึ่งอาจช่วยในการบายพาสการป้องกันการสุ่มตำแหน่งหน่วยความจำได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่เลื่อนที่อยู่ก่อนจะส่งกลับ

    CVE-ID

    CVE-2012-3749 : Mark Dowd แห่ง Azimuth Security, Eric Monti แห่ง Square และนักวิจัยนิรนามเพิ่มเติม

  • หน้าต่างเข้าสู่ระบบ

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: ผู้โจมตีที่สามารถใช้งานคีย์บอร์ดของเครื่องอาจดัดแปลงการกำหนดค่าระบบ

    คำอธิบาย: มีข้อผิดพลาดทางตรรกะในการจัดการหน้าต่างเข้าสู่ระบบของ VoiceOver ด้วยเหตุนี้ผู้โจมตีที่สามารถใช้งานคีย์บอร์ดของเครื่องอาจเปิดใช้การตั้งค่าระบบและดัดแปลงการกำหนดค่าระบบได้ ปัญหานี้ได้รับการแก้ไขโดยการป้องกันไม่ให้เปิดใช้แอพพลิเคชั่น VoiceOver ที่หน้าต่างเข้าสู่ระบบ

    CVE-ID

    CVE-2013-0969 : Eric A. Schulman แห่ง Purpletree Labs

  • ข้อความ

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การคลิกลิงก์จากข้อความอาจเริ่มโทรออกด้วย FaceTime โดยไม่ถาม

    คำอธิบาย: การคลิก FaceTime:// URL ที่มีรูปแบบเฉพาะในข้อความอาจบายพาสการถามยืนยันตามมาตรฐาน ปัญหานี้ได้รับการแก้ไขโดยการตรวจสอบ FaceTime:// URL เพิ่มเติม

    CVE-ID

    CVE-2013-0970 : Aaron Sigel แห่ง vtty.com

  • เซิร์ฟเวอร์ข้อความ

    มีให้สำหรับ: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจส่งข้อความ Jabber รวมไปตามเส้นทางต่างๆ อีกครั้ง

    คำอธิบาย: ปัญหาที่มีอยู่ในการจัดการข้อความที่เป็นผลลัพธ์ของการโทรกลับของเซิร์ฟเวอร์ Jabber ผู้โจมตีอาจทำให้เซิร์ฟเวอร์ Jabber เปิดเผยข้อมูลที่มีไว้สำหรับผู้ใช้ของเซิร์ฟเวอร์รวม ปัญหานี้แก้ไขได้ผ่านการจัดการข้อความที่เป็นผลลัพธ์ของการโทรกลับให้ดีขึ้น

    CVE-ID

    CVE-2012-3525

  • PDFKit

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การดูไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหา use-after-free ในการจัดการ Ink Annotations (การเพิ่มคำอธิบายด้วยหมึก) ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0971 : Tobias Klein ที่ทำงานกับ Zero Day Initiative ของ HP TippingPoint

  • เซิร์ฟเวอร์ Podcast Producer

    มีให้สำหรับ: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการพารามิเตอร์ XML ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการปิดใช้งานพารามิเตอร์ XML ในการที่เซิร์ฟเวอร์ Podcast Producer นำ Rails ไปใช้

    CVE-ID

    CVE-2013-0156

  • เซิร์ฟเวอร์ Podcast Producer

    มีให้สำหรับ: OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการข้อมูล JSON ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการสลับไปใช้ backend ของ JSONGem สำหรับการแยกวิเคราะห์ JSON ในการที่เซิร์ฟเวอร์ Podcast Producer นำ Rails ไปใช้

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    มีให้สำหรับ: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ความเปราะบางหลายอย่างใน PostgreSQL

    คำอธิบาย: PostgreSQL ได้รับการอัพเดทเป็นเวอร์ชั่น 9.1.5 เพื่อแก้ไขช่องโหว่จำนวนมาก โดยช่องโหว่ที่รุนแรงที่สุดคืออนุญาตให้ผู้ใช้ฐานข้อมูลอ่านไฟล์จากระบบไฟล์ด้วยสิทธิ์พิเศษของบัญชีที่มีบทบาทเป็นเซิร์ฟเวอร์ฐานข้อมูล สำหรับข้อมูลเพิ่มเติมจะมีให้ผ่านทางเว็บไซต์ PostgreSQL ที่ http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • ผู้จัดการโปรไฟล์

    มีให้สำหรับ: OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการพารามิเตอร์ XML ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการปิดใช้งานพารามิเตอร์ XML ในการที่ Profile Manager นำ Rails ไปใช้

    CVE-ID

    CVE-2013-0156

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์มากเกินไปที่มีอยู่ในการจัดการกล่อง 'rnet' ในไฟล์ MP4 ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2012-3756 : Kevin Szkudlapski แห่ง QuarksLab

  • Ruby

    มีให้สำหรับ: Mac OS X Server 10.6.8

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการสั่งงานรหัสโดยพลการถ้าเรียกใช้งานแอพพลิเคชั่น Rails

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการพารามิเตอร์ XML ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการปิดใช้งาน YAML และสัญลักษณ์ในพารามิเตอร์ XML ใน Rails

    CVE-ID

    CVE-2013-0156

  • ความปลอดภัย

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจดักจับข้อมูลประจำตัวของผู้ใช้หรือข้อมูลที่ละเอียดอ่อนอื่นๆ

    คำอธิบาย: มีการออกใบรับรอง CA ขั้นกลางจำนวนมากอย่างผิดพลาดโดย TURKTRUST ซึ่งอาจทำให้ผู้โจมตีที่เป็นคนกลางรีไดเร็กการเชื่อมต่อและดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่อนุญาตให้มีใบรับรอง SSL ที่ไม่ถูกต้อง

  • รายการอัพเดทซอฟต์แวร์

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิอาจสามารถทำให้เกิดการสั่งงานรหัสโดยพลการได้

    คำอธิบาย: อัพเดทซอฟต์แวร์อนุญาตให้ผู้โจมตีคนกลางสามารถแทรกเนื้อหาปลั๊กอินเข้าไปในข้อความการตลาดที่แสดงเพื่อการอัพเดทได้ ซึ่งทำให้สามารถแสวงหาประโยชน์จากปลั๊กอินที่มีความเสี่ยง หรือทำให้เกิดการโจมตีโดยใช้เทคนิคจิตวิทยา (social engineering attacks) ที่เกี่ยวข้องกับปลั๊กอินได้ ปัญหานี้ไม่มีผลกระทบกับระบบ OS X Mountain Lion และได้รับการแก้ไขโดยการป้องกันไม่ให้โหลดปลั๊กอินใน WebView ข้อความการตลาดของอัพเดทซอฟต์แวร์

    CVE-ID

    CVE-2013-0973 : Emilio Escobar

  • Wiki Server

    มีให้สำหรับ: OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการพารามิเตอร์ XML ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการปิดใช้งานพารามิเตอร์ XML ในการที่ Wiki Server นำ Rails ไปใช้

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    มีให้สำหรับ: OS X Lion Server v10.7 ถึง v10.7.5

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดปัญหาการคัดเลือกประเภทใน Ruby บนการจัดการข้อมูล JSON ของ Rail ปัญหานี้ได้รับการแก้ไขโดยการสลับไปใช้ backend ของ JSONGem สำหรับการแยกวิเคราะห์ JSON ในการที่ Wiki Server นำ Rails ไปใช้

    CVE-ID

    CVE-2013-0333

  • การกำจัดมัลแวร์

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    คำอธิบาย: การอัพเดทนี้จะเรียกใช้เครื่องมือลบมัลแวร์ที่จะลบมัลแวร์ชนิดต่างๆ ที่พบบ่อย หากพบมัลแวร์ ข้อความจะแสดงขึ้นเพื่อแจ้งให้ผู้ใช้ทราบว่าได้ลบมัลแวร์ออกแล้ว หากไม่พบมัลแวร์ จะไม่มีการแจ้งใดๆ ให้ผู้ใช้ทราบ

 

FaceTime อาจไม่สามารถใช้งานได้ในบางประเทศหรือภูมิภาค

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: