เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.5 และการอัปเดตความปลอดภัย 2013-004

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Mountain Lion v10.8.5 และการอัปเดตความปลอดภัย 2013-004

สามารถดาวน์โหลดและติดตั้งการอัปเดตเหล่านี้ได้ผ่านการตั้งค่า การอัปเดตซอฟต์แวร์ หรือจาก การดาวน์โหลด Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู "วิธีใช้ PGP Key สำหรับความปลอดภัยของผลิตภัณฑ์ Apple"

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู "การอัปเดตความปลอดภัยของ Apple"

OS X Mountain Lion v10.8.5 และการอัปเดตความปลอดภัย 2013-004

  • Apache

    มีให้สำหรับ: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5 ถึง v, OS X Lion Server v10.7.5 ถึง v, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: มีช่องโหว่หลายจุดใน Apache

    คำอธิบาย: มีช่องโหว่หลายจุดใน Apache ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การแฝงสคริปต์ (Cross-site scripting) ปัญหาเหล่านี้สามารถแก้ได้ด้วยการอัปเดต Apache ให้เป็นเวอร์ชั่น 2.2.24

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน BIND

    คำอธิบาย: มีช่องโหว่หลายจุดใน BIND ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การปฏิเสธบริการ ปัญหาเหล่านี้ได้รับการแก้ไขด้วยการอัปเดต BIND ให้เป็นเวอร์ชั่น 9.8.5-P1 CVE-2012-5688 ไม่มีผลต่อระบบ Mac OS X v10.7

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • นโยบายความน่าเชื่อถือของใบรับรอง

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ใบรับรองรากถูกอัปเดต

    คำอธิบาย: ใบรับรองจำนวนมากถูกเพิ่มหรือลบออกจากรายชื่อของรากระบบ รายชื่อทั้งหมดของรากระบบที่รู้จักอาจดูได้ผ่านทางแอปพลิเคชั่นการเข้าถึงพวงกุญแจ

  • ClamAV

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    ผลกระทบ: ช่องโหว่หลายจุดใน ClamAV

    คำอธิบาย: มีช่องโหว่หลายจุดใน ClamAV ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ การอัปเดตนี้จะแก้ปัญหาได้ด้วยการอัปเดต ClamAV ให้เป็นเวอร์ชั่น 0.97.8

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึ v10.8.4

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์มากเกินที่มีอยู่ในการจัดการข้อมูลที่เข้ารหัส JBIG2 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1025 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • ImageIO

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึ v10.8.4

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: บัฟเฟอร์มากเกินที่มีอยู่ในการจัดการข้อมูลที่เข้ารหัส JPEG2000 ในไฟล์ PDF ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1026 : Felix Groebert แห่งทีมรักษาความปลอดภัยของ Google

  • ตัวติดตั้ง

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: สามารถเปิดแพ็คเกจได้หลังจากเพิกถอนใบรับรอง

    คำอธิบาย: เมื่อตัวติดตั้งพบใบรับรองที่ถูกเพิกถอนแล้ว อาจแสดงหน้าต่างโต้ตอบพร้อมตัวเลือกให้ดำเนินการต่อ ปัญหานี้ได้รับการแก้ไขด้วยการลบหน้าต่างโต้ตอบและปฏิเสธแพ็คเกจที่ถูกเพิกถอน

    CVE-ID

    CVE-2013-1027

  • IPSec

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ผู้โจมตีอาจดักจับข้อมูลที่ป้องกันด้วย IPSec Hybrid Auth

    คำอธิบาย: ชื่อ DNS ของเซิร์ฟเวอร์ PSec Hybrid Auth ไม่ตรงกับใบรับรอง จึงทำให้ผู้โจมตีที่มีใบรับรองสำหรับเซิร์ฟเวอร์ใดก็ได้สามารถปลอมเป็นผู้อื่น ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบใบรับรองให้ถูกต้อง

    CVE-ID

    CVE-2013-1028 : Alexander Traud แห่ง www.traud.de

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึ v10.8.4

    ผลกระทบ: ผู้ใช้เครือข่ายภายในอาจเป็นสาเหตุของการปฏิเสธการบริการ

    คำอธิบาย: การทำเครื่องหมายในรหัสการแยกวิเคราะห์แพ็คเก็ต IGMP ไม่ถูกต้องในเคอร์เนลทำให้ผู้ใช้ที่อาจส่งแพ็คเก็ต IGMP ไปยังระบบทำให้เกิดเคอร์เนล แพนิค ปัญหานี้แก้ได้ด้วยการลบการทำเครื่องหมาย

    CVE-ID

    CVE-2013-1029 : Christopher Bohn แห่ง PROTECTSTAR INC

  • การจัดการอุปกรณ์เคลื่อนที่

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: อาจมีการเปิดเผยรหัสผ่านให้กับผู้ใช้ภายในรายอื่น

    คำอธิบาย: รหัสผ่านถูกส่งไปบนบรรทัดคำสั่งถึง mdmclient ซึ่งทำให้ผู้ใช้รายอื่นที่อยู่บนระบบเดียวกันเห็นได้ ปัญหานี้แก้ได้ด้วยการสื่อสารรหัสผ่านทาง Pipe

    CVE-ID

    CVE-2013-1030 : Per Olofsson ที่ University of Gothenburg

  • OpenSSL

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL

    คำอธิบาย: มีช่องโหว่หลายจุดใน OpenSSL ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การเปิดเผยข้อมูลของผู้ใช้ ปัญหาเหล่านี้ได้รับการแก้ไขด้วยการอัปเดต OpenSSL ให้เป็นเวอร์ชั่น 0.9.8y

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: มีช่องโหว่หลายจุดใน PHP ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดต PHP ให้เป็นเวอร์ชั่น 5.3.26

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ช่องโหว่หลายจุดใน PostgreSQL

    คำอธิบาย: มีช่องโหว่หลายจุดใน PostgreSQL ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การล่มของข้อมูลหรือการยกระดับสิทธิ์ แต่ CVE-2013-1901 ไม่มีผลกับระบบ OS X Lion การอัปเดตนี้จะแก้ปัญหาด้วยการอัปเดต PostgreSQL ให้เป็นเวอร์ชั่น 9.1.9 บนระบบ OS X Mountain Lion และ 9.0.4 บนระบบ OS X Lion

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • การจัดการพลังงาน

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึ v10.8.4

    ผลกระทบ:

    คำอธิบาย: มีปัญหาล็อกการยืนยันพลังงาน ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการการล็อกให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-1031

  • QuickTime

    มีให้สำหรับ: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการอะตอม 'idsc' ในไฟล์ภาพยนตร์ QuickTime ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2013-1032 : Jason Kratzer ที่ทำงานร่วมกับ iDefense VCP

  • การล็อกหน้าจอ

    มีให้สำหรับ: OS X Mountain Lion v10.8 ถึ v10.8.4

    ผลกระทบ: ผู้ใช้ที่มีสิทธิ์เข้าใช้งานการแชร์อาจสามารถบายพาสการล็อกหน้าจอเมื่อผู้ใช้อีกรายเข้าสู่ระบบ

    คำอธิบาย: มีปัญหาการจัดการเซสชั่นในการจัดการการแชร์หน้าจอของการล็อกหน้าจอ ปัญหานี้ได้รับการแก้ไขด้วยการติดตามเซสชั่นที่ปรับปรุงให้ดีขึ้น

    CVE-ID

    CVE-2013-1033 : Jeff Grisso แห่ง Atos IT Solutions, Sébastien Stormacq

  • sudo

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 ถึง v10.8.4

    ผลกระทบ: ภัยคุกคามที่มีการควบคุมบัญชีของผู้ใช้ที่เป็นผู้ดูแลระบบอาจสามารถได้รับสิทธิ์รากโดยไม่ต้องทราบรหัสผ่านของผู้ใช้

    คำอธิบาย: ด้วยการตั้งค่านาฬิกาของระบบ ภัยคุกคามอาจสามารถใช้ sudo เพื่อรับสิทธิ์รากบนระบบในบริเวณที่เคยใช้ sudo มาก่อน บน OS X เฉพาะผู้ใช้ที่เป็นผู้ดูแลระบบเท่านั้นที่สามารถเปลี่ยนนาฬิกาของระบบได้ ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบหมายเหตุกำกับเวลาที่ถูกต้อง

    CVE-ID

    CVE-2013-1775

 

  • หมายเหตุ: OS X Mountain Lion v10.8.5 ยังสามารถแก้ไขปัญหาสตริง Unicode บางอย่างที่อาจทำให้ออกจากแอปพลิเคชั่นโดยไม่คาดคิดได้อีกด้วย

 

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: