เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.4 และรายการอัปเดตความปลอดภัย 2013-002

เอกสารฉบับนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.4 และรายการอัปเดตความปลอดภัย 2013-002 ซึ่งสามารถดาวน์โหลดและติดตั้งผ่านทางการตั้งค่ารายการอัปเดตซอฟต์แวร์ หรือจากรายการดาวน์โหลดของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบแบบเต็มรูปแบบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่การรักษาความปลอดภัยของผลิตภัณฑ์ Apple ในเว็บไซต์

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่ "วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่ "รายการอัปเดตความปลอดภัยของ Apple"

OS X Mountain Lion v10.8.4 และรายการอัปเดตความปลอดภัย 2013-002

หมายเหตุ: OS X Mountain Lion v10.8.4 รวมถึงเนื้อหาของ Safari 6.0.5 สำหรับรายละเอียดเพิ่มเติม โปรดดู เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.5

  • CFNetwork

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้โจมตีที่สามารถเข้าถึงเซสชั่นของผู้ใช้อาจเข้าสู่ระบบเว็บไซต์ที่เข้าใช้งานก่อนหน้านี้ได้แม้ว่าจะใช้การท่องเว็บแบบส่วนตัวก็ตาม

    คำอธิบาย: ระบบบันทึกคุกกี้ไว้อย่างถาวรเมื่อออกจาก Safari แม้ว่าจะเปิดใช้งานการท่องเว็บแบบส่วนตัวก็ตาม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการคุกกี้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0982 : Alexander Traud จาก www.traud.de

  • CoreAnimation

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การเข้าเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการจัดสรรสแต็คที่ไม่จำกัดเมื่อจัดการกับสัญลักษณ์ข้อความ ซึ่ง URL ใน Safari ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดขึ้นโดยอัตโนมัติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0983 : David Fifield จากมหาวิทยาลัยสแตนฟอร์ด, Ben Syverson

  • CoreMedia Playback

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าเมื่อจัดการกับการติดตามข้อความ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบการติดตามข้อความเพิ่มเติม

    CVE-ID

    CVE-2013-1024 : Richard Kuo และ Billy Suguitan จาก Triemt Corporation

  • CUPS

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้งานอุปกรณ์ในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: พบปัญหาการยกระดับสิทธิพิเศษในการจัดการการกำหนดค่า CUPS ผ่านทางอินเทอร์เฟซเว็บของ CUPS ผู้ใช้งานอุปกรณ์ในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการย้ายคำสั่งในการกำหนดค่าบางรายการไปยัง cups-files.conf ซึ่งไม่สามารถแก้ไขได้จากอินเทอร์เฟซเว็บของ CUPS

    CVE-ID

    CVE-2012-5519

  • Directory Service

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้โค้ดได้โดยอำเภอใจด้วยสิทธิพิเศษในระบบที่เปิดใช้งาน Directory Service

    คำอธิบาย: มีปัญหาในการจัดการกับข้อความจากเครือข่ายของเซิร์ฟเวอร์ไดเรกทอรี เมื่อส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีระยะไกลอาจทำให้เซิร์ฟเวอร์ไดเรกทอรีหยุดทำงานหรือใช้โค้ดได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่ส่งผลกระทบต่อระบบ OS X Lion หรือ OS X Mountain Lion

    CVE-ID

    CVE-2013-0984 : Nicolas Economou จาก Core Security

  • Disk Management

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้งานอุปกรณ์อาจปิดใช้งาน FileVault

    คำอธิบาย: ผู้ใช้งานอุปกรณ์ที่ไม่ใช่ผู้ดูแลระบบอาจปิดใช้งาน FileVault โดยการใช้บรรทัดคำสั่ง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการรับรองความถูกต้องเพิ่มเติม

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัสข้อมูลที่ปกป้องโดย SSL

    คำอธิบาย: พบการโจมตีส่วนการรักษาความลับของ TLS 1.0 เมื่อเปิดใช้งานการบีบอัด ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปิดใช้งานการบีบอัดใน OpenSSL

    CVE-ID

    CVE-2012-4929 : Juliano Rizzo และ Thai Duong

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: OpenSSL อัปเดตเป็นเวอร์ชัน 0.9.8x เพื่อแก้ไขช่องโหว่หลายจุด ซึ่งอาจนําไปสู่การปฏิเสธการให้บริการหรือการเปิดเผยคีย์ส่วนตัว ดูข้อมูลเพิ่มเติมได้ทางเว็บไซต์ของ OpenSSL ที่ http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

    ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นเมื่อจัดการกับภาพ PICT ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0975 : Tobias Klein ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นเมื่อจัดการกับอะตอม 'enof' ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0986 : Tom Gallagher (Microsoft) และ Paul Bates (Microsoft) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ QTIF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับไฟล์ QTIF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0987 : roob ที่ทำงานร่วมกับ iDefense VCP

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การดูไฟล์ FPX ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นเมื่อจัดการกับไฟล์ FPX ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0988 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QuickTime

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: การเปิดไฟล์ MP3 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นเมื่อจัดการกับไฟล์ MP3 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0989 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Ruby

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    ผลกระทบ: ช่องโหว่หลายจุดใน Ruby บน Rails

    คำอธิบาย: มีช่องโหว่จำนวนมากใน Ruby บน Rails ซึ่งในกรณีที่ร้ายแรงที่สุดอาจทำให้เกิดการใช้รหัสโดยอำเภอใจในระบบที่ใช้งาน Ruby บนแอปพลิเคชัน Rails ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการอัปเดต Ruby บน Rails เป็นเวอร์ชัน 2.3.18 ปัญหานี้อาจส่งผลกระทบต่อระบบ OS X Lion หรือ OS X Mountain Lion ที่อัปเกรดจาก Mac OS X 10.6.8 หรือเก่ากว่า ผู้ใช้สามารถอัปเดตอัญมณีที่ได้รับผลกระทบในระบบดังกล่าวได้โดยการใช้ยูทิลิตี้ /usr/bin/gem

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

    ผลกระทบ: ผู้ใช้ที่ผ่านการรับรองความถูกต้องอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้

    คำอธิบาย: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์อาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมการเข้าถึงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • หมายเหตุ: เริ่มตั้งแต่ OS X v10.8.4 เป็นต้นไป แอปพลิเคชัน Java Web Start (เช่น JNLP) ที่ดาวน์โหลดจากอินเทอร์เน็ตต้องลงชื่อด้วยใบรับรอง ID นักพัฒนา Gatekeeper จะตรวจหาลายเซ็นของแอปพลิเคชัน Java Web Start ที่ดาวน์โหลด และบล็อกไม่ให้แอปพลิเคชันดังกล่าวเปิดใช้งานหากไม่มีการลงชื่ออย่างถูกต้อง

    คุณสามารถใช้ยูทิลิตี้ codesign เพื่อลงชื่อในไฟล์ JNLP ซึ่งจะแนบลายเซ็นรหัสไปกับไฟล์ JNLP เป็นคุณลักษณะเพิ่มเติม เพื่อเป็นการรักษาคุณลักษณะเหล่านี้ ให้นำไฟล์ JNLP ไปไว้ในแพ็คเกจไฟล์ ZIP, XIP หรือ DMG โปรดใช้ความระมัดระวังในการใช้รูปแบบ ZIP เนื่องจากเครื่องมือของบริษัทอื่นอาจไม่บันทึกคุณลักษณะเพิ่มเติมที่กำหนดอย่างถูกต้อง

    ดูข้อมูลเพิ่มเติมที่ หมายเหตุด้านเทคนิค TN2206: เนื้อหาเชิงลึกเกี่ยวกับการลงชื่อรหัสบน OS X

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: