เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้
เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"
OS X Mountain Lion v10.8.4 และการอัพเดทความปลอดภัย 2013-002
หมายเหตุ: OS X Mountain Lion v10.8.4 รวมถึงเนื้อหาของ Safari 6.0.5 สำหรับรายละเอียดเพิ่มเติม โปรดดู เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.0.5
-
CFNetwork
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ผู้โจมตีที่มีสิทธิ์เข้าใช้งานเซสชั่นของผู้ใช้อาจสามารถเข้าสู่ระบบไซต์ที่เข้าใช้งานก่อนหน้านี้ได้ แม้ว่าจะมีการใช้เลือกชมเว็บแบบส่วนตัวก็ตาม
คำอธิบาย: คุกกี้ถาวรจะถูกบันทึกไว้หลังออกจาก Safari แม้ว่าจะเปิดใช้งานเลือกชมเว็บแบบส่วนตัวก็ตาม ปัญหานี้แก้ไขได้ด้วยการจัดการคุกกี้ที่ปรับปรุงให้ดีขึ้น
CVE-ID
CVE-2013-0982 : Alexander Traud แห่ง www.traud.de
-
CoreAnimation
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การไปยังไซต์ที่ออกมาแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการจัดสรรสแต็คที่ไม่จำกัดอยู่ในการจัดการตัวอักษรวาด ซึ่งอาจทำให้เกิดขึ้นโดย URL ที่ออกแบบมาเพื่อประสงค์ร้ายใน Safari ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0983 : David Fifield แห่ง Stanford University, Ben Syverson
-
CoreMedia Playback
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ยังไม่ได้กำหนดค่าอยู่ในการจัดการแทร็คข้อความ ปัญหานี้แก้ไขได้ด้วยการตรวจสอบแทร็คข้อความเพิ่มเติม
CVE-ID
CVE-2013-1024 : Richard Kuo และ Billy Suguitan แห่ง Triemt Corporation
-
CUPS
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ
คำอธิบาย: มีปัญหาการยกระดับสิทธิพิเศษอยู่ในการจัดการกำหนดค่า CUPS ผ่านทางเว็บอินเทอร์เฟซ CUPS ผู้ใช้ภายในในกลุ่ม lpadmin อาจสามารถอ่านหรือเขียนไฟล์ได้โดยอำเภอใจด้วยสิทธิพิเศษของระบบ ปัญหานี้แก้ไขได้ด้วยการย้ายคำสั่งการกำหนดค่าบางคำสั่งไปยัง cups-files.conf ซึ่งไม่สามารถแก้ไขได้จากเว็บอินเทอร์เฟซ CUPS
CVE-ID
CVE-2012-5519
-
บริการไดเรกทอรี
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8
ผลกระทบ: ผู้โจมตีจากระยะไกลอาจใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ บนระบบที่เปิดใช้งานบริการไดเรกทอรี
คำอธิบาย: มีปัญหาอยู่ในการจัดการข้อความจากเครือข่ายของเซิร์ฟเวอร์ไดเรกทอรี ด้วยการส่งข้อความที่ออกแบบมาเพื่อประสงค์ร้าย ผู้โจมตีจากระยะไกลอาจทำให้เซิร์ฟเวอร์ไดเรกทอรีหยุดทำงาน หรือใช้รหัสตามอำเภอใจด้วยสิทธิพิเศษของระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ไม่มีผลต่อระบบ OS X Lion หรือ OS X Mountain Lion
CVE-ID
CVE-2013-0984 : Nicolas Economou แห่ง Core Security
-
การจัดการดิสก์
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ผู้ใช้ภายในอาจปิดใช้งาน FileVault
คำอธิบาย: ผู้ใช้ภายในที่ไม่ใช่ผู้ดูแลระบบอาจปิดใช้งาน FileVault โดยใช้บรรทัดคำสั่ง ปัญหานี้แก้ไขได้ด้วยการเพิ่มการตรวจสอบยืนยันเพิ่มเติม
CVE-ID
CVE-2013-0985
-
OpenSSL
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ผู้โจมตีอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้
คำอธิบาย: มีการคุกคามต่อการรักษาความลับของ TLS 1.0 เมื่อเปิดใช้งานการบีบอัดข้อมูล ปัญหานี้แก้ไขได้ด้วยการปิดใช้งานการบีบอัดข้อมูลใน OpenSSL
CVE-ID
CVE-2012-4929 : Juliano Rizzo และ Thai Duong
-
OpenSSL
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL
คำอธิบาย: OpenSSL ได้รับการอัพเดทเป็นเวอร์ชั่น 0.9.8x เพื่อแก้ปัญหาช่องโหว่หลายจุด ซึ่งอาจนำไปสู่การปฏิเสธการให้บริการ หรือการเปิดเผยคีย์ส่วนตัวได้ มีข้อมูลเพิ่มเติมผ่านทางเว็บไซต์ OpenSSL ที่ http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
-
QuickDraw Manager
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.2
ผลกระทบ: การเปิดภาพ PICT ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการภาพ PICT ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0975 : Tobias Klein ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
-
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการอะตอม 'enof' ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0986 : Tom Gallagher (Microsoft) และ Paul Bates (Microsoft) ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
-
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การดูไฟล์ QTIF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาความขัดข้องของหน่วยความจำอยู่ในการจัดการไฟล์ QTIF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0987 : roob ที่ทำงานกับ iDefense VCP
-
QuickTime
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การดูไฟล์ FPX ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ FPX ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0988 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
-
QuickTime
มีให้สำหรับ: OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: การเล่นไฟล์ MP3 ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นอยู่ในการจัดการไฟล์ MP3 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2013-0989 : G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ HP
-
Ruby
มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8
ผลกระทบ: ช่องโหว่หลายจุดใน Ruby on Rails
คำอธิบาย: มีช่องโหว่หลายจุดอยู่ใน Ruby on Rails สิ่งที่ร้ายแรงที่สุดคือ อาจนำไปสู่การใช้รหัสโดยอำเภอใจบนระบบที่เรียกใช้งานแอพพลิเคชั่น Ruby on Rails ปัญหานี้แก้ไขได้ด้วยการอัพเดท Ruby on Rails ให้เป็นเวอร์ชั่น 2.3.18 ปัญหานี้อาจส่งผลต่อระบบ OS X Lion หรือ OS X Mountain Lion ที่อัพเกรดจาก Mac OS X 10.6.8 หรือรุ่นก่อนหน้านี้ ผู้ใช้สามารถอัพเดท Gems ที่ได้รับผลกระทบบนระบบนั้นด้วยการใช้ /usr/bin/gem utility
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
-
SMB
มีให้สำหรับ: OS X Lion v10.7 ถึง v10.7.5, OS X Lion Server v10.7 ถึง v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.3
ผลกระทบ: ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้
คำอธิบาย: หากเปิดใช้งานการแบ่งปันไฟล์ SMB ผู้ใช้ที่ได้รับการตรวจสอบยืนยันอาจสามารถเขียนไฟล์นอกไดเรกทอรีที่ใช้ร่วมกันได้ ปัญหานี้แก้ไขได้ด้วยการควบคุมการเข้าใช้งานที่ปรับปรุงให้ดีขึ้น
CVE-ID
CVE-2013-0990 : Ward van Wanrooij
-
หมายเหตุ: เริ่มต้นด้วย OS X v10.8.4 แอพพลิเคชั่น Java Web Start (เช่น JNLP) ที่ดาวน์โหลดจากอินเทอร์เน็ตจำเป็นต้องลงชื่อเข้าด้วยใบรับรอง ID ของนักพัฒนา Gatekeeper จะตรวจสอบลายเซ็นของแอพพลิเคชั่น Java Web Start ที่ดาวน์โหลดมา และบล็อกแอพพลิเคชั่นดังกล่าวไม่ให้เปิดใช้หากลายเซ็นไม่ถูกต้อง