เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"


OS X Mountain Lion v10.8.4 และการอัพเดทความปลอดภัย 2013-002
หมายเหตุ: OS X Mountain Lion v10.8.4 รวมถึงเนื้อหาของ Safari 6.0.5 สำหรับรายละเอียดเพิ่มเติม โปรดดู เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.5
- 

- 

CFNetwork

มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าใช้งานเซสชั่นของผู้ใช้อาจสามารถเข้าสู่ระบบไซต์ที่เข้าใช้งานก่อนหน้านี้ได้ แม้ว่าจะมีการใช้เลือกชมเว็บแบบส่วนตัวก็ตาม

คำอธิบาย: คุกกี้ถาวรจะถูกบันทึกไว้หลังออกจาก Safari แม้ว่าจะเปิดใช้งานเลือกชมเว็บแบบส่วนตัวก็ตาม ปัญหานี้แก้ไขได้ด้วยการจัดการคุกกี้ที่ปรับปรุงให้ดีขึ้น

CVE-ID

CVE-2013-0982 : Alexander Traud แห่ง www.traud.de

 

- 

- 

CoreAnimation

มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การไปยังไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการจัดสรรสแต็คที่ไม่จำกัดอยู่ในการจัดการตัวอักษรวาด ซึ่งอาจทำให้เกิดขึ้นโดย URL ที่ออกแบบมาเพื่อประสงค์ร้ายใน Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0983 : David Fifield แห่ง Stanford University, Ben Syverson

 

- 

- 

CoreMedia Playback

มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าอยู่ในการจัดการแทร็คข้อความ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบแทร็คข้อความเพิ่มเติม

 
CVE-ID

CVE-2013-1024 : Richard Kuo และ Billy Suguitan แห่ง Triemt Corporation

 

- 

- 

CUPS

มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ

คำอธิบาย: มีปัญหาการยกระดับสิทธิพิเศษอยู่ในการจัดการกำหนดค่า CUPS ผ่านทางเว็บอินเทอร์เฟซ CUPS ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ ปัญหานี้แก้ไขได้ด้วยการย้ายคำสั่งการกำหนดค่าบางคำสั่งไปยัง cups-files.conf ซึ่งไม่สามารถแก้ไขได้จากเว็บอินเทอร์เฟซ CUPS

CVE-ID

CVE-2012-5519

 

- 

- 

บริการไดเรกทอรี

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ บนระบบที่เปิดใช้งานบริการไดเรกทอรี

คำอธิบาย: มีปัญหาอยู่ในการจัดการข้อความจากเครือข่ายของเซิร์ฟเวอร์ไดเรกทอรี ด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีจากระยะไกลอาจทำให้เซิร์ฟเวอร์ไดเรกทอรีหยุดทำงาน หรือใช้รหัสตามอำเภอใจด้วยสิทธิพิเศษของระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลต่อระบบ OS X Lion หรือ OS X Mountain Lion

CVE-ID

CVE-2013-0984 : Nicolas Economou แห่ง Core Security

 

- 

- 

การจัดการดิสก์

มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ผู้ใช้ภายในอาจปิดใช้งาน FileVault

คำอธิบาย: ผู้ใช้ภายในที่ไม่ใช่ผู้ดูแลระบบอาจปิดใช้งาน FileVault โดยใช้บรรทัดคำสั่ง ปัญหานี้แก้ไขได้ด้วยการเพิ่มการตรวจสอบยืนยันเพิ่มเติม

CVE-ID

CVE-2013-0985

 

- 

- 

OpenSSL

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

คำอธิบาย: มีการคุกคามต่อการรักษาความลับของ TLS 1.0 เมื่อเปิดใช้งานการบีบอัดข้อมูล ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานการบีบอัดข้อมูลใน OpenSSL

CVE-ID

CVE-2012-4929 : Juliano Rizzo และ Thai Duong

 

- 

- 

OpenSSL

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

คำอธิบาย: OpenSSL ได้รับการอัพเดทเป็นเวอร์ชั่น 0.9.8x เพื่อแก้ปัญหาช่องโหว่หลายจุด ซึ่งอาจนำไปสู่การปฏิเสธการให้บริการ หรือการเปิดเผยคีย์ส่วนตัวได้ มีข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ OpenSSL ที่ http://www.openssl.org/news/

CVE-ID

CVE-2011-1945

CVE-2011-3207

CVE-2011-3210

CVE-2011-4108

CVE-2011-4109

CVE-2011-4576

CVE-2011-4577

CVE-2011-4619

CVE-2012-0050

CVE-2012-2110

CVE-2012-2131

CVE-2012-2333

 

- 

- 

QuickDraw Manager

มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2

ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ PICT ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0975 : Tobias Klein ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการอะตอม 'enof' ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0986 : Tom Gallagher (Microsoft) และ Paul Bates (Microsoft) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การดูไฟล์ QTIF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาความขัดข้องของหน่วยความจำอยู่ในการจัดการไฟล์ QTIF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0987 : roob ที่ทำงานกับ iDefense VCP

 

- 

- 

QuickTime

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การดูไฟล์ FPX ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ FPX ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0988 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

 

- 

- 

QuickTime

มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: การเล่นไฟล์ MP3 ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ MP3 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-ID

CVE-2013-0989 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

 

- 

- 

Ruby

มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8

ผลกระทบ: ช่องโหว่หลายจุดใน Ruby on Rails

คำอธิบาย: มีช่องโหว่หลายจุดอยู่ใน Ruby on Rails สิ่งที่ร้ายแรงที่สุดคือ อาจนำไปสู่การใช้รหัสโดยอำเภอใจบนระบบที่เรียกใช้งานแอพพลิเคชั่น Ruby on Rails ปัญหานี้แก้ไขได้ด้วยการอัพเดท Ruby on Rails ให้เป็นเวอร์ชั่น 2.3.18 ปัญหานี้อาจส่งผลต่อระบบ OS X Lion หรือ OS X Mountain Lion ที่อัพเกรดจาก Mac OS X 10.6.8 หรือรุ่นก่อนหน้านี้ ผู้ใช้สามารถอัพเดท Gems ที่ได้รับผลกระทบบนระบบนั้นด้วยการใช้ /usr/bin/gem utility

CVE-ID

CVE-2013-0155

CVE-2013-0276

CVE-2013-0277

CVE-2013-0333

CVE-2013-1854

CVE-2013-1855

CVE-2013-1856

CVE-2013-1857

 

- 

- 

SMB

มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3

ผลกระทบ: ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้

คำอธิบาย: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้ ปัญหานี้แก้ไขได้ด้วยการควบคุมการเข้าใช้งานที่ปรับปรุงให้ดีขึ้น

CVE-ID

CVE-2013-0990 : Ward van Wanrooij

 

- 

- 

หมายเหตุ: เริ่มต้นด้วย OS X v10.8.4 แอพพลิเคชั่น Java Web Start (เช่น JNLP) ที่ดาวน์โหลดจากอินเทอร์เน็ตจำเป็นต้องลงชื่อเข้าด้วยใบรับรอง ID ของนักพัฒนา Gatekeeper จะตรวจสอบลายเซ็นของแอพพลิเคชั่น Java Web Start ที่ดาวน์โหลดมา และบล็อกแอพพลิเคชั่นดังกล่าวไม่ให้เปิดใช้หากลายเซ็นไม่ถูกต้อง