เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.4 และการอัพเดทความปลอดภัย 2013-002

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.4 และการอัพเดทความปลอดภัย 2013-002 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านการตั้งค่า การอัพเดทซอฟต์แวร์ หรือจาก ดาวน์โหลด Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"
 

OS X Mountain Lion v10.8.4 และการอัพเดทความปลอดภัย 2013-002

หมายเหตุ: OS X Mountain Lion v10.8.4 รวมถึงเนื้อหาของ Safari 6.0.5 สำหรับรายละเอียดเพิ่มเติม โปรดดู เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.5

  • CFNetwork

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าใช้งานเซสชั่นของผู้ใช้อาจสามารถเข้าสู่ระบบไซต์ที่เข้าใช้งานก่อนหน้านี้ได้ แม้ว่าจะมีการใช้เลือกชมเว็บแบบส่วนตัวก็ตาม

    คำอธิบาย: คุกกี้ถาวรจะถูกบันทึกไว้หลังออกจาก Safari แม้ว่าจะเปิดใช้งานเลือกชมเว็บแบบส่วนตัวก็ตาม ปัญหานี้แก้ไขได้ด้วยการจัดการคุกกี้ที่ปรับปรุงให้ดีขึ้น

    CVE-ID

    CVE-2013-0982 : Alexander Traud แห่ง www.traud.de

  • CoreAnimation

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การไปยังไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการจัดสรรสแต็คที่ไม่จำกัดอยู่ในการจัดการตัวอักษรวาด ซึ่งอาจทำให้เกิดขึ้นโดย URL ที่ออกแบบมาเพื่อประสงค์ร้ายใน Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0983 : David Fifield แห่ง Stanford University, Ben Syverson

  • CoreMedia Playback

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าอยู่ในการจัดการแทร็คข้อความ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบแทร็คข้อความเพิ่มเติม

    CVE-ID

    CVE-2013-1024 : Richard Kuo และ Billy Suguitan แห่ง Triemt Corporation

  • CUPS

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีปัญหาการยกระดับสิทธิพิเศษอยู่ในการจัดการกำหนดค่า CUPS ผ่านทางเว็บอินเทอร์เฟซ CUPS ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ ปัญหานี้แก้ไขได้ด้วยการย้ายคำสั่งการกำหนดค่าบางคำสั่งไปยัง cups-files.conf ซึ่งไม่สามารถแก้ไขได้จากเว็บอินเทอร์เฟซ CUPS

    CVE-ID

    CVE-2012-5519

  • บริการไดเรกทอรี

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ บนระบบที่เปิดใช้งานบริการไดเรกทอรี

    คำอธิบาย: มีปัญหาอยู่ในการจัดการข้อความจากเครือข่ายของเซิร์ฟเวอร์ไดเรกทอรี ด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีจากระยะไกลอาจทำให้เซิร์ฟเวอร์ไดเรกทอรีหยุดทำงาน หรือใช้รหัสตามอำเภอใจด้วยสิทธิพิเศษของระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลต่อระบบ OS X Lion หรือ OS X Mountain Lion

    CVE-ID

    CVE-2013-0984 : Nicolas Economou แห่ง Core Security

  • การจัดการดิสก์

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้ภายในอาจปิดใช้งาน FileVault

    คำอธิบาย: ผู้ใช้ภายในที่ไม่ใช่ผู้ดูแลระบบอาจปิดใช้งาน FileVault โดยใช้บรรทัดคำสั่ง ปัญหานี้แก้ไขได้ด้วยการเพิ่มการตรวจสอบยืนยันเพิ่มเติม

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีการคุกคามต่อการรักษาความลับของ TLS 1.0 เมื่อเปิดใช้งานการบีบอัดข้อมูล ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานการบีบอัดข้อมูลใน OpenSSL

    CVE-ID

    CVE-2012-4929 : Juliano Rizzo และ Thai Duong

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: OpenSSL ได้รับการอัพเดทเป็นเวอร์ชั่น 0.9.8x เพื่อแก้ปัญหาช่องโหว่หลายจุด ซึ่งอาจนำไปสู่การปฏิเสธการให้บริการ หรือการเปิดเผยคีย์ส่วนตัวได้ มีข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ OpenSSL ที่ http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ PICT ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0975 : Tobias Klein ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการอะตอม 'enof' ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0986 : Tom Gallagher (Microsoft) และ Paul Bates (Microsoft) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ QTIF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความขัดข้องของหน่วยความจำอยู่ในการจัดการไฟล์ QTIF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0987 : roob ที่ทำงานกับ iDefense VCP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ FPX ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ FPX ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0988 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การเล่นไฟล์ MP3 ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ MP3 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0989 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Ruby

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: ช่องโหว่หลายจุดใน Ruby on Rails

    คำอธิบาย: มีช่องโหว่หลายจุดอยู่ใน Ruby on Rails สิ่งที่ร้ายแรงที่สุดคือ อาจนำไปสู่การใช้รหัสโดยอำเภอใจบนระบบที่เรียกใช้งานแอพพลิเคชั่น Ruby on Rails ปัญหานี้แก้ไขได้ด้วยการอัพเดท Ruby on Rails ให้เป็นเวอร์ชั่น 2.3.18 ปัญหานี้อาจส่งผลต่อระบบ OS X Lion หรือ OS X Mountain Lion ที่อัพเกรดจาก Mac OS X 10.6.8 หรือรุ่นก่อนหน้านี้ ผู้ใช้สามารถอัพเดท Gems ที่ได้รับผลกระทบบนระบบนั้นด้วยการใช้ /usr/bin/gem utility

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้

    คำอธิบาย: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้ ปัญหานี้แก้ไขได้ด้วยการควบคุมการเข้าใช้งานที่ปรับปรุงให้ดีขึ้น

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • หมายเหตุ: เริ่มต้นด้วย OS X v10.8.4 แอพพลิเคชั่น Java Web Start (เช่น JNLP) ที่ดาวน์โหลดจากอินเทอร์เน็ตจำเป็นต้องลงชื่อเข้าด้วยใบรับรอง ID ของนักพัฒนา Gatekeeper จะตรวจสอบลายเซ็นของแอพพลิเคชั่น Java Web Start ที่ดาวน์โหลดมา และบล็อกแอพพลิเคชั่นดังกล่าวไม่ให้เปิดใช้หากลายเซ็นไม่ถูกต้อง

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: