เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mavericks v10.9

เอกสารนี้อธิบายถึงเนื้อหาความปลอดภัยของ OS X Mavericks v10.9

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

OS X Mavericks v10.9

  • แอปพลิเคชั่นไฟร์วอลล์

    ผลกระทบ: socketfilterfw --blockApp อาจไม่บล็อกแอปพลิเคชั่นให้ได้รับการเชื่อมต่อเครือข่าย

    คำอธิบาย: ตัวเลือก --blockApp ของเครื่องมือบรรทัดคำสั่ง socketfilterfw ไม่ได้บล็อกแอปพลิเคชั่นจากการเชื่อมต่อเครือข่าย ปัญหานี้ได้รับการแก้ไขผ่านการจัดการตัวเลือก --blockApp ที่ปรับปรุงให้ดีขึ้น

    CVE-ID

    CVE-2013-5165 : Alexander Frangis แห่ง PopCap Games

  • กล่องทรายทดสอบแอป

    ผลกระทบ: กล่องทรายทดสอบแอปอาจถูกบายพาส

    คำอธิบาย: อินเทอร์เฟซ LaunchServices สำหรับเปิดแอปพลิเคชั่นอนุญาตให้แอปในกล่องทรายทดสอบกำหนดรายการอาร์กิวเมนต์ที่ผ่านไปยังกระบวนการใหม่ แอปพลิเคชั่นในกล่องทรายทดสอบที่บุกรุกนี้อาจใช้วิธีการนี้ในทางที่ผิดเพื่อบายพาสกล่องทรายทดสอบ ปัญหานี้ได้รับการแก้ไขด้วยการไม่อนุญาตแอปพลิเคชั่นในกล่องทรายทดสอบให้กำหนดอาร์กิวเมนต์ได้

    CVE-ID

    CVE-2013-5179 : Friedrich Graeter แห่ง The Soulmen GbR

  • บลูทูธ

    ผลกระทบ: แอปพลิเคชั่นภายในที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: จำเป็นต้องใช้อินเทอร์เฟซที่ลบตัวควบคุมโฮสต์ USB บลูทูธสำหรับการดำเนินการในภายหลัง ปัญหานี้ได้รับการแก้ไขด้วยการเก็บอินเทอร์เฟซไว้จนกว่าจะไม่จำเป็นต้องใช้อีกต่อไป

    CVE-ID

    CVE-2013-5166 : Stefano Bianchi Mazzone, Mattia Pagnozzi และ Aristide Fattori แห่ง Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    ผลกระทบ: คุ้กกี้ของเซสชั่นอาจคงอยู่แม้จะรีเซ็ต Safari แล้วก็ตาม

    คำอธิบาย: การรีเซ็ต Safari ไม่ได้ลบคุ้กกี้ของเซสชั่นเสมอไปจนกว่าจะปิด Safari ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการคุ้กกี้ของเซสชั่นให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5167 : Graham Bennett, Rob Ansaldo แห่ง Amherst College

  • CFNetwork SSL

    ผลกระทบ: ผู้โจมตีสามารถถอดรหัสส่วนของการเชื่อมต่อ SSL ได้

    คำอธิบาย: เวอร์ชั่น SSLv3 และ TLS 1.0 ของ SSL เท่านั้นที่ถูกใช้ เวอร์ชั่นต่างๆ ทำให้เกิดความอ่อนแอของโปรโตคอลเมื่อใช้ block cipher การโจมตีแบบ Man-in-the-middle อาจแทรกข้อมูลที่ไม่ถูกต้อง ทำให้การเชื่อมต่อปิดแต่เปิดเผยข้อมูลเกี่ยวกับข้อมูลก่อนหน้านี้บางอย่าง หากพยายามเชื่อมต่อเดียวกันนี้ซ้ำๆ การโจมตีอาจสามารถถอดรหัสข้อมูลที่ถูกส่ง อย่างเช่น รหัสผ่าน ได้ในที่สุด ปัญหานี้ได้รับการแก้ไขด้วยการเปิดใช้งาน TLS 1.2

    CVE-ID

    CVE-2011-3389

  • จอคอนโซล

    ผลกระทบ: การคลิกบนรายการบันทึกที่ประสงค์ร้ายอาจทำให้มีการใช้งานแอปพลิเคชั่นโดยไม่คาดคิด

    คำอธิบาย: การอัปเดตนี้จะแก้ไขพฤติกรรมของจอคอนโซลเมื่อคลิกบนรายการบันทึกที่มี URL ที่แนบมา มากกว่าจะเปิด URL ตอนนี้จอคอนโซลจะดูตัวอย่าง URL ด้วย Quick Look

    CVE-ID

    CVE-2013-5168 : Aaron Sigel แห่ง vtty.com

  • CoreGraphics

    ผลกระทบ: อาจมองเห็น Windows บนหน้าจอล็อกหลังจากแสดงว่าพักเครื่อง

    คำอธิบาย: มีปัญหาตรรกะในการจัดการโหมดพักเครื่องจอแสดงผลของ CoreGraphics ทำให้ข้อมูลล่มซึ่งอาจมีผลให้สามารถมองเห็น Windows บนหน้าจอล็อก ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการพักเครื่องจอแสดงผลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    ผลกระทบ: การดูไฟล์ PDF ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์น้อยเกินไปในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5170 : Will Dormann ของ CERT/CC

  • CoreGraphics

    ผลกระทบ: แอปพลิเคชั่นที่ไม่มีสิทธิ์อาจสามารถบันทึกการกดปุ่มที่ป้อนเข้าไปในแอปพลิเคชั่นอื่นแม้ในขณะที่เปิดใช้งานโหมดป้อนการข้อมูลอย่างปลอดภัย

    คำอธิบาย: ด้วยการลงทะเบียนสำหรับกิจกรรมที่ใช้ปุ่มลัด แอปพลิเคชั่นที่ไม่มีสิทธิ์สามารถบันทึกการกดปุ่มที่ป้อนเข้าไปในแอปพลิเคชั่นอื่นแม้ในขณะที่เปิดใช้งานโหมดการป้อนข้อมูลอย่างปลอดภัย ปัญหานี้ได้รับการแก้ไขด้วยการตรวจสอบยืนยันกิจกรรมที่ใช้ปุ่มลัดเพิ่มเติม

    CVE-ID

    CVE-2013-5171

  • curl

    ผลกระทบ: ช่องโหว่จำนวนมากใน curl

    คำอธิบาย: มีช่องโหว่หลายจุดใน curl ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดต curl ให้เป็นเวอร์ชั่น 7.30.0

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    ผลกระทบ: ผู้โจมตีที่มีการใช้รหัสโดยอำเภอใจบนอุปกรณ์อาจสามารถยืนกรานการใช้รหัสการรีบูตทั้งหมด

    คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากในฟังก์ชัน dyld's openSharedCacheFile() ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • IOKitUser

    ผลกระทบ: แอปพลิเคชั่นภายในที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: มีการโจมตีแบบ Null Pointer Dereference ใน IOCatalogue ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบประเภทเพิ่มเติม

    CVE-ID

    CVE-2013-5138 : Will Estes

  • IOSerialFamily

    ผลกระทบ: การใช้งานแอปพลิเคชั่นที่ประสงค์ร้ายอาจมีผลให้มีการใช้รหัสโดยอำเภอใจภายในเคอร์เนล

    คำอธิบาย: มีการเข้าถึงอาร์เรย์ที่อยู่นอกขอบข่ายในไดรฟ์เวอร์ IOSerialFamily ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • เคอร์เนล

    ผลกระทบ: การใช้ฟังก์ชั่นการแยกย่อย SHA-2 ในเคอร์เนลอาจมีผลให้ระบบยุติโดยไม่คาดคิด

    คำอธิบาย: ใช้ความยาวข้อมูลออกไม่ถูกต้องสำหรับตระกูลฟังก์ชั่นการแยกย่อย SHA-2 มีผลให้เกิดเคอร์เนล แพนิคเมื่อใช้ฟังก์ชั่นเหล่านี้ ซึ่งเริ่มขึ้นระหว่างการเชื่อมต่อ IPSec ปัญหานี้ได้รับการแก้ไขผ่านการใช้ความยาวข้อมูลออกที่คาดไว้

    CVE-ID

    CVE-2013-5172 : Christoph Nadig แห่ง Lobotomo Software

  • เคอร์เนล

    ผลกระทบ: กองหน่วยความจำเคอร์เนลอาจถูกเปิดเผยให้กับผู้ใช้ภายใน

    คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลใน msgctl และ segctl API ปัญหานี้ได้รับการแก้ไขด้วยการเริ่มต้นโครงสร้างข้อมูลที่กลับมาจากเคอร์เนล

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse แห่ง Kenx Technology, Inc

  • เคอร์เนล

    ผลกระทบ: ผู้ใช้ภายในอาจทำให้ปฏิเสธการบริการ

    คำอธิบาย: ตัวสร้างหมายเลขแบบสุ่มของเคอร์เนลจะล็อกค้างไว้ในขณะที่ตอบสนองคำร้องขอจาก Userspace ทำให้ผู้ใช้ภายในสร้างคำร้องขอขนาดใหญ่และล็อกค้างไว้เป็นเวลานาน โดยปฏิเสธการให้บริการกับผู้ใช้รายอื่นที่ใช้ตัวสร้างหมายเลขแบบสุ่ม ปัญหานี้ได้รับการแก้ไขด้วยการปล่อยและขอล็อกใหม่สำหรับคำร้องขอขนาดใหญ่ให้บ่อยขึ้น

    CVE-ID

    CVE-2013-5173 : Jaakko Pero แห่ง Aalto University

  • เคอร์เนล

    ผลกระทบ:

    คำอธิบาย: มีปัญหาสัญลักษณ์จำนวนเต็มในการจัดการการอ่าน tty ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการการอ่าน tty ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5174 : CESG

  • เคอร์เนล

    ผลกระทบ: ผู้ใช้ภายในอาจสามารถทำให้เกิดการเปิดเผยข้อมูลหน่วยความจำเคอร์เนลหรือระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการไฟล์ Mach-O ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5175

  • เคอร์เนล

    ผลกระทบ: ผู้ใช้ภายในอาจสามารถทำให้ระบบค้าง

    คำอธิบาย: มีปัญหาการตัดจำนวนเต็มเป็นท่อนในการจัดการอุปกรณ์ tty ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5176 : CESG

  • เคอร์เนล

    ผลกระทบ: ผู้ใช้ภายในอาจสามารถทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: เคอร์เนลจะแพนิคเมื่อตรวจพบโครงสร้าง iovec ที่จัดหาโดยผู้ใช้ไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบยืนยันโครงสร้าง iovec ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5177 : CESG

  • เคอร์เนล

    ผลกระทบ: กระบวนการที่ไม่ได้รับสิทธิพิเศษอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

    คำอธิบาย: มีปัญหาการล่มของหน่วยความจำในการจัดการอาร์กิวเมนต์ไปที่ posix_spawn API ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • เคอร์เนล

    ผลกระทบ: โปรแกรมมัลติคาสต์บางอย่างอาจทำให้ระบบหยุดโดยไม่คาดคิดเมื่อใช้เครือข่าย Wi-Fi

    คำอธิบาย: มีข้อผิดพลาดในการตรวจสอบในการจัดการแพ็คเก็ตมัลติคาสต์ ปัญหานี้ได้รับการแก้ไขผ่านด้วยการปรับปรุงการจัดการแพ็คเก็ตมัลติคาสต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5184 : Octoshape

  • เคอร์เนล

    ผลกระทบ: ผู้โจมตีบนเครือข่ายภายในสามารถทำให้ปฏิเสธการบริการ

    คำอธิบาย: ผู้โจมตีบนเครือข่ายภายในสามารถส่งแพ็คเก็ต IPv6 ICMP ที่ออกแบบมาเป็นพิเศษและทำให้ CPU โหลดมาก ปัญหานี้ได้รับการแก้ไขด้วยการประเมินการจำกัดแพ็คเก็ต ICMP ก่อนจะตรวจสอบความถูกต้องของข้อมูล

    CVE-ID

    CVE-2011-2391 : Marc Heuse

  • เคอร์เนล

    ผลกระทบ: แอปพลิเคชั่นภายในที่ประสงค์ร้ายอาจทำให้ระบบค้าง

    คำอธิบาย: มีปัญหาการตัดจำนวนเต็มเป็นท่อนในอินเทอร์เฟซซ็อคเก็ตเคอร์เนล ซึ่งอาจได้รับการเสริมให้บีบ CPU ให้เข้าสู่ลูปอนันต์ได้ ปัญหานี้ได้รับการแก้ไขด้วยการใช้ตัวแปรที่มีขนาดใหญ่ขึ้น

    CVE-ID

    CVE-2013-5141 : CESG

  • การจัดการ Kext

    ผลกระทบ: กระบวนการที่ไม่ได้รับอนุญาตสามารถปิดใช้งานส่วนขยายเคอร์เนลที่โหลดบางอย่าง

    คำอธิบาย: มีปัญหาในการจัดการข้อความ IPC ของการจัดการ kext จากผู้ส่งที่ไม่ได้รับอนุญาต ปัญหานี้ได้รับการแก้ไขด้วยการเพิ่มการตรวจสอบการอนุญาตเพิ่มเติม

    CVE-ID

    CVE-2013-5145 : "Rainbow PRISM"

  • LaunchServices

    ผลกระทบ: ไฟล์อาจแสดงนามสกุลผิด

    คำอธิบาย: มีปัญหาในการจัดการตัวอักษร Unicode บางตัวที่อาจทำให้ชื่อไฟล์แสดงนามสกุลไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขด้วยการกรองตัวอักษร Unicode ที่ไม่ปลอดภัยออกไม่ให้แสดงในชื่อไฟล์

    CVE-ID

    CVE-2013-5178 : Jesse Ruderman แห่ง Mozilla Corporation, Stephane Sudre แห่ง Intego

  • Libc

    ผลกระทบ: ภายใต้สถานการณ์ที่ไม่ปกติ อาจสามารถคาดเดาหมายเลขที่สุ่มบางตัวได้

    คำอธิบาย: หากตัวสร้างหมายเลขแบบสุ่มของเคอร์เนลไม่สามารถเข้าใช้งานสำหรับ srandomdev() ฟังก์ชันจะกลับไปใช้วิธีการสำรองซึ่งถูกลบออกแล้วจากการเพิ่มประสิทธิภาพ ทำให้ขาดความไม่มีแบบแผน ปัญหานี้ได้รับการแก้ไขด้วยการแก้ไขรหัสให้ถูกต้องภายใต้การเพิ่มประสิทธิภาพ

    CVE-ID

    CVE-2013-5180 : Xi Wang

  • บัญชี Mail

    ผลกระทบ: เมลอาจไม่เลือกวิธีการรับรองความถูกต้องที่ปลอดภัยที่สุดที่มีให้

    คำอธิบาย: เมื่อทำการกำหนดค่าอัตโนมัติบัญชีเมลบนเมลเซิร์ฟเวอร์บางชนิด แอปเมลจะเลือกการรับรองความถูกต้องแบบข้อความธรรมดามากกว่าการรับรองความถูกต้องแบบ CRAM-MD5 ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการตรรกะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5181

  • การแสดงส่วนหัวเมล

    ผลกระทบ: ข้อความที่ไม่ได้ลงชื่ออาจดูเหมือนลงชื่อไว้ถูกต้องแล้ว

    อธิบาย: มีปัญหาตรรกะในการจัดการเมลข้อความที่ไม่ได้เซ็นชื่อที่มีส่วนของ multipart/signed ของเมล ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการข้อความที่ไม่ได้ลงชื่อให้ดียิ่งขึ้น

     

    CVE-ID

    CVE-2013-5182 : Michael Roitzsch แห่ง Technische Universität Dresden

  • ระบบเครือข่าย Mail

    ผลกระทบ: ข้อมูลอาจถูกถ่ายโอนแบบย่อในข้อความธรรมดาเมื่อมีการกำหนดค่าการเข้ารหัสที่ไม่ใช้ TLS

    คำอธิบาย: เมื่อเปิดใช้งานการรับรองความถูกต้อง Kerberos และปิดใช้งาน Transport Layer Security แอปเมลจะส่งข้อมูลที่ไม่ได้เข้ารหัสไปยังเซิร์ฟเวอร์เมล ทำให้การเชื่อมต่อหยุดโดยไม่คาดคิด ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการจัดการการกำหนดค่านี้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5183 : Richard E. Silverman แห่ง www.qoxp.net

  • OpenLDAP

    ผลกระทบ: เครื่องมือบรรทัดคำสั่ง ldapsearch ไม่ได้เคารพการกำหนดค่า minssf

    คำอธิบาย: เครื่องมือบรรทัดคำสั่ง ldapsearch ไม่ได้เคารพการกำหนดค่า minssf ซึ่งอาจทำให้ยอมรับการเข้ารหัสที่อ่อนแอโดยไม่คาดคิด ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการการกำหนดค่า minssf ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5185

  • perl

    ปฏิเสธการบริการ

    ปฏิเสธการบริการ ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดตให้เป็น Perl 5.16.2

    CVE-ID

    CVE-2013-1667

  • การจัดการพลังงาน

    ผลกระทบ: การล็อกหน้าจออาจใช้งานไม่ได้หลังช่วงเวลาที่กำหนด

    คำอธิบาย: มีปัญหาการล็อกในการจัดการการยืนยันพลังงาน ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการการล็อกให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5186 : David Herman ที่ Sensible DB Design

  • Python

    ผลกระทบ: ช่องโหว่หลายจุดใน Python 2.7

    คำอธิบาย: มีช่องโหว่หลายจุดใน Python 2.7.2 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการถอดรหัสเนื้อหาของการเชื่อมต่อ SSL การอัปเดตนี้แก้ปัญหาได้รับการแก้ไขด้วยการอัปเดต Python ให้เป็นเวอร์ชั่น 2.7.5 มีข้อมูลเพิ่มเติมให้ผ่านไซต์ Python ที่ http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • Python

    ผลกระทบ: ช่องโหว่หลายจุดใน Python 2.6

    คำอธิบาย: มีช่องโหว่หลายจุดใน Python 2.6.7 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจทำให้เกิดการถอดรหัสเนื้อหาของการเชื่อมต่อ SSL การอัปเดตนี้จะแก้ปัญหาได้รับการแก้ไขด้วยการอัปเดต Python ให้เป็นเวอร์ชั่น 2.6.8 และการปรับใช้โปรแกรมปะแก้สำหรับ CVE-2011-4944 จากโครงการ Python มีข้อมูลเพิ่มเติมให้ผ่านไซต์ Python ที่ http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • Ruby

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายอภิสิทธิ์อาจดักจับข้อมูลส่วนตัวของผู้ใช้หรือข้อมูลที่อ่อนไหวอื่นๆ

    คำอธิบาย: มีปัญหาการยืนยันชื่อโฮสต์ในการจัดการใบรับรอง SSL ของ Ruby ปัญหานี้ได้รับการแก้ไขด้วยการอัปเดต Ruby ให้เป็นเวอร์ชั่น 2.0.0p247

    CVE-ID

    CVE-2013-4073

  • ความปลอดภัย

    ผลกระทบ: การรองรับสำหรับใบรับรอง X.509 ที่มี MD5 อาจทำให้ผู้ใช้พบกับการปลอมแปลงและการเปิดเผยข้อมูลเมื่อการโจมตีเก่งขึ้น

    คำอธิบาย: ใบรับรองที่ลงชื่อโดยใช้อัลกอริธึ่มแฮช MD5 ได้รับการยอมรับโดย OS X ซึ่งอัลกอริธึ่มนี้มีความอ่อนแอในการเข้ารหัสที่รู้จัก การวิจัยเพิ่มเติมหรือผู้อนุมัติใบรับรองที่กำหนดค่าไม่ถูกต้องอาจอนุญาตให้สร้างใบรับรอง X.509 ที่มีค่าการควบคุมโดยผู้โจมตีที่ระบบอาจให้ความเชื่อถือ ซึ่งอาจเปิดเผยโปรโตคอลที่ใช้ X.509 เพื่อปลอมแปลง การโจมตีแบบ Man-in-the-middle และการเปิดเผยข้อมูล การอัปเดตนี้จะปิดใช้งานการรองรับใบรับรอง X.509 ที่มีแฮช MD5 สำหรับการใช้งานที่นอกเหนือจากการเป็นใบรับรองหลักที่เชื่อถือได้

    CVE-ID

    CVE-2011-3427

  • ความปลอดภัย - การอนุญาต

    ผลกระทบ: อาจไม่ใส่ใจการตั้งค่าความปลอดภัยของผู้ดูแลระบบ

    คำอธิบาย: การตั้งค่า "จำเป็นต้องมีรหัสผ่านผู้ดูแลระบบเพื่อเข้าใช้งานการตั้งค่าระบบพร้อมไอคอนกุญแจ" ทำให้ผู้ดูแลระบบสามารถเพิ่มชั้นการป้องกันเพิ่มเติมให้กับการตั้งค่าระบบที่ละเอียดอ่อน ในบางกรณีที่ผู้ดูแลระบบเปิดใช้งานการตั้งค่านี้ เมื่อปรับใช้การอัปเดตหรืออัปเกรดซอฟต์แวร์อาจปิดใช้งานการตั้งค่าในเวลาต่อมาได้ ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการสิทธิ์การอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5189 : Greg Onufer

  • ความปลออภัย - บริการสมาร์ทการ์ด

    ผลกระทบ: อาจไม่สามารถใช้บริการสมาร์ทการ์ดเมื่อเปิดใช้งานการตรวจสอบการเพิกถอนใบรับรอง

    คำอธิบาย: มีปัญหาตรรกะในการจัดการการตรวจสอบการเพิกถอนใบรับรองสมาร์ทการ์ด ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการรองรับการเพิกถอนใบรับรองให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5190 : Yongjun Jeon แห่ง Centrify Corporation

  • การล็อกหน้าจอ

    ผลกระทบ: คำสั่ง "ล็อกหน้าจอ" อาจไม่มีผลในทันที

    คำอธิบาย: คำสั่ง "ล็อกหน้าจอ" ในรายการแถบเมนูสถานะพวงกุญแจไม่มีผลจนหลังการตั้งค่า "ต้องใช้รหัสผ่าน [จำนวนเวลา] หลังจากพักเครื่องหรือเริ่มโปรแกรมรักษาหน้าจอ" ผ่านไปแล้ว

    CVE-ID

    CVE-2013-5187 : Michael Kisor แห่ง OrganicOrb.com, Christian Knappskog แห่ง NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • การล็อกหน้าจอ

    ผลกระทบ: Mac ที่จำศีลที่มีการเข้าระบบอัตโนมัติอาจไม่ต้องใช้รหัสผ่านเพื่อปลุกเครื่อง

    คำอธิบาย: Mac ที่เปิดใช้งานการจำศีลและการเข้าระบบอัตโนมัติอาจอนุญาตให้ปลุกจากการจำศีลโดยไม่ขอรหัสผ่าน ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการจัดการการล็อกให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-5188 : Levi Musters

  • เซิร์ฟเวอร์การแชร์หน้าจอ

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่ของสตริงรูปแบบในการจัดการชื่อผู้ใช้ VNC ของเซิร์ฟเวอร์การแชร์หน้าจอ

    CVE-ID

    CVE-2013-5135 : SilentSignal ที่ทำงานร่วมกับ iDefense VCP

  • syslog

    ผลกระทบ: ผู้ใช้ทั่วไปอาจสามารถเห็นข้อความบันทึกจากผู้ใช้ทั่วไปก่อนหน้านี้

    คำอธิบาย: ผู้ใช้ทั่วไปสามารถเห็นบันทึกจอคอนโซลและข้อความที่มีอยู่จากเซสชั่นของผู้ใช้ทั่วไปก่อนหน้านี้ ปัญหานี้ได้รับการแก้ไขด้วยการทำบันทึกจอคอนโซลสำหรับผู้ใช้ทั่วไปให้เห็นได้เฉพาะกับผู้ดูแลระบบเท่านั้น

    CVE-ID

    CVE-2013-5191 : Sven-S. Porst แห่ง earthlingsoft

  • USB

    ผลกระทบ: แอปพลิเคชั่นภายในที่ประสงค์ร้ายอาจทำให้ระบบหยุดโดยไม่คาดคิด

    คำอธิบาย: ตัวควบคุมฮับ USB ไม่ตรวจสอบพอร์ตและหมายเลขพอร์ตของคำร้องขอ ปัญหานี้ได้รับการแก้ไขด้วยการเพิ่มการตรวจสอบพอร์ตและหมายเลขพอร์ต

    CVE-ID

    CVE-2013-5192 : Stefano Bianchi Mazzone, Mattia Pagnozzi และ Aristide Fattori แห่ง Computer and Network Security Lab (LaSER), Università degli Studi di Milano

หมายเหตุ: OS X Mavericks มี Safari 7.0 ซึ่งทำงานร่วมกับเนื้อหาความปลอดภัยของ Safari 6.1 สำหรับรายละเอียดเพิ่มเติม โปรดดู "เกี่ยวกับเนื้อหาความปลอดภัยของ Safari 6.1" ที่ http://support.apple.com/kb/HT6000?viewlocale=th_TH

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: