OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002'nin güvenlik içeriği hakkında

Bu belgede, Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler sayfasından indirilip yüklenebilen OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002

Not: OS X Mountain Lion v10.8.4, Safari 6.0.5'in içeriğini kapsamaktadır. Daha fazla bilgi için Safari 6.0.5'in güvenlik içeriği hakkında başlıklı makaleye bakın.

• CFNetwork

  İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3

  Etki: Bir kullanıcının oturumuna erişimi olan bir saldırgan, Özel Dolaşma kullanılmış olsa bile daha önce erişilen web sitelerinde oturum açabilir

  Açıklama: Özel Dolaşma kullanılsa bile Safari'den çıkıldıktan sonra kalıcı çerezler kaydediliyordu. Çerezlerin işlenmesi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0982 : www.traud.de'den Alexander Traud

• CoreAnimation

  İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir siteyi ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: Metin şekillerinin işlenmesinde bir sınırsız yığın tahsisi sorunu vardı. Bu, kötü amaçlarla oluşturulmuş URL'ler tarafından Safari'de tetiklenebiliyordu. Sorun, sınırların denetimi iyileştirilerek giderildi.

  CVE-ID

  CVE-2013-0983 : Stanford Üniversitesi'nden David Fifield, Ben Syverson

• CoreMedia Playback

  İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

  Açıklama: Metin izlerinin işlenmesinde bir ilklendirilmemiş bellek erişimi sorunu vardı. Metin izlerinin işlenmesinde ek doğrulamayla bu sorun giderildi.

  CVE-ID

  CVE-2013-1024 : Triemt Corporation'dan Richard Kuo ve Billy Suguitan

• CUPS

  İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3

  Etki: lpadmin grubundaki yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele dosyaları okuyabilir ve dosyalara yazabilir

  Açıklama: CUPS konfigürasyonunun CUPS web arabirimiyle işlenmesinde bir ayrıcalık yükseltme sorunu vardı. lpadmin grubundaki yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele dosyaları okuyabilir ve dosyalara yazabilir. Belirli konfigürasyon direktiflerinin, CUPS web arabiriminden değiştirilemeyen cup-files.conf dosyasına taşınmasıyla bu sorun giderildi.

  CVE-ID

  CVE-2012-5519

• Directory Service

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Etki: Directory Service'in etkinleştirildiği sistemlerde, uzaktaki bir saldırgan sistem ayrıcalıklarıyla rastgele kod yürütebilir

  Açıklama: Dizin sunucusunun ağdan gelen mesajları işlemesinde bir sorun vardı. Uzaktaki bir saldırgan, kötü amaçla hazırlanmış bir mesaj göndererek dizin sunucusunun sistem ayrıcalıklarıyla rasgele kod yürütmesine veya sonlandırmasına neden olabiliyordu. Sınır denetimi iyileştirilerek bu sorun giderildi. OS X Lion veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.

  CVE-ID

  CVE-2013-0984 : Core Security'den Nicolas Economou

• Disk Management

  İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3

  Etki: Yerel bir kullanıcı FileVault'u devre dışı bırakabilir

  Açıklama: Yönetici olmayan bir yerel kullanıcı, komut satırını kullanarak FileVault'u devre dışı bırakabilir. Ek kimlik doğrulama eklenerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0985

• OpenSSL

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Bir saldırgan, SSL ile korunan verilerin şifresini çözebilir

  Açıklama: Sıkıştırma etkinleştirildiğinde TLS 1.0'ın gizliliğine yönelik bilinen saldırılar vardı. OpenSSL'de sıkıştırma devre dışı bırakılarak bu sorun giderildi.

  CVE-ID

  CVE-2012-4929 : Juliano Rizzo ve Thai Duong

• OpenSSL

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: OpenSSL'de birden fazla güvenlik açığı

  Açıklama: OpenSSL, hizmet reddine veya özel anahtarın ortaya çıkmasına yol açabilecek birden fazla güvenlik açığını gidermek için 0.9.8x sürümüne güncellendi. OpenSSL web sitesinde daha fazla bilgi bulunabilir: http://www.openssl.org/news/

  CVE-ID

  CVE-2011-1945

  CVE-2011-3207

  CVE-2011-3210

  CVE-2011-4108

  CVE-2011-4109

  CVE-2011-4576

  CVE-2011-4577

  CVE-2011-4619

  CVE-2012-0050

  CVE-2012-2110

  CVE-2012-2131

  CVE-2012-2333

• QuickDraw Manager

  İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.2

  Etki: Kötü amaçlarla oluşturulmuş bir PICT dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

  Açıklama: PICT görüntülerinin işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0975 : Tobias Klein (HP'nin Zero Day Initiative programıyla)

• QuickTime

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: 'enof' atomlarının işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0986 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) (HP'nin Zero Day Initiative programıyla)

• QuickTime

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: QTIF dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0987 : roob (iDefense VCP programıyla)

• QuickTime

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir FPX dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: FPX dosyalarının işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0988 : G. Geshev (HP'nin Zero Day Initiative programıyla)

• QuickTime

  İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kötü amaçlarla oluşturulmuş bir MP3 dosyasını çalmak uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: MP3 dosyalarının işlenmesinde bir arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0989 : G. Geshev (HP'nin Zero Day Initiative programıyla)

• Ruby

  İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Etki: Ruby on Rails'de birden fazla güvenlik açığı

  Açıklama: Ruby on Rails'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, Ruby on Rails uygulamasının çalıştığı sistemlerde rastgele kod yürütülmesine neden olabilir. Ruby on Rails, 2.3.18 sürümüne güncellenerek bu sorunlar giderildi. Bu sorun, Mac OS X 10.6.8 veya önceki sürümlerden OS X Lion veya OS X Mountain Lion'a güncellenen sistemler bu sorundan etkilenebilir. Kullanıcılar, /usr/bin/gem izlencesini kullanarak bu tür sistemlerde etkilenen "gem"leri güncelleyebilir.

  CVE-ID

  CVE-2013-0155

  CVE-2013-0276

  CVE-2013-0277

  CVE-2013-0333

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• SMB

  İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3

  Etki: Kimliği doğrulanmış bir kullanıcı, paylaşılan dizinin dışına dosya yazabilir

  Açıklama: Kimliği doğrulanmış bir kullanıcı, SMB dosya paylaşımı etkinleştirilmişse dosyaları paylaşılan dizinin dışına yazabilir. Erişim denetimi iyileştirilerek bu sorun giderildi.

  CVE-ID

  CVE-2013-0990 : Ward van Wanrooij

• Not: OS X v10.8.4'ten itibaren, internetten indirilen Java Web Start (JNLP gibi) uygulamalarının bir Geliştirici Kimliği sertifikasıyla imzalanmış olması gerekmektedir. Gatekeeper, indirilen Java Web Start uygulamalarının imzalarını kontrol eder ve bu tür uygulamaların düzgün şekilde imzalanmaması durumunda başlatılmasını engeller.

  JNLP dosyasını imzalamak için, kod imzasını JNLP dosyasına genişletilmiş özellikler olarak ekleyen codesign izlencesini kullanabilirsiniz. Bu özellikleri muhafaza etmek için JNLP dosyasını ZIP, XIP veya DMG dosyası olarak paketleyin. Bazı üçüncü taraf araçlar gerekli genişletilmiş özellikleri doğru şekilde alamayabileceğinden ZIP biçimini kullanırken dikkatli olun.

  Teknik Not TN2206: OS X Code Signing In Depth (Kod İmzalama Ayrıntıları) başlıklı makaleden daha fazla bilgi edinebilirsiniz.