OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002'nin güvenlik içeriği hakkında
Bu belgede, Yazılım Güncelleme tercihleri aracılığıyla veya Apple İndirilenler sayfasından indirilip yüklenebilen OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002'nin güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarı'nı kullanma" başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
OS X Mountain Lion v10.8.4 ve Güvenlik Güncellemesi 2013-002
Not: OS X Mountain Lion v10.8.4, Safari 6.0.5'in içeriğini kapsamaktadır. Daha fazla bilgi için Safari 6.0.5'in güvenlik içeriği hakkında başlıklı makaleye bakın.
CFNetwork
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3
Etki: Bir kullanıcının oturumuna erişimi olan bir saldırgan, Özel Dolaşma kullanılmış olsa bile daha önce erişilen web sitelerinde oturum açabilir
Açıklama: Özel Dolaşma kullanılsa bile Safari'den çıkıldıktan sonra kalıcı çerezler kaydediliyordu. Çerezlerin işlenmesi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0982 : www.traud.de'den Alexander Traud
CoreAnimation
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir siteyi ziyaret etmek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Metin şekillerinin işlenmesinde bir sınırsız yığın tahsisi sorunu vardı. Bu, kötü amaçlarla oluşturulmuş URL'ler tarafından Safari'de tetiklenebiliyordu. Sorun, sınırların denetimi iyileştirilerek giderildi.
CVE-ID
CVE-2013-0983 : Stanford Üniversitesi'nden David Fifield, Ben Syverson
CoreMedia Playback
İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: Metin izlerinin işlenmesinde bir ilklendirilmemiş bellek erişimi sorunu vardı. Metin izlerinin işlenmesinde ek doğrulamayla bu sorun giderildi.
CVE-ID
CVE-2013-1024 : Triemt Corporation'dan Richard Kuo ve Billy Suguitan
CUPS
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3
Etki: lpadmin grubundaki yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele dosyaları okuyabilir ve dosyalara yazabilir
Açıklama: CUPS konfigürasyonunun CUPS web arabirimiyle işlenmesinde bir ayrıcalık yükseltme sorunu vardı. lpadmin grubundaki yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele dosyaları okuyabilir ve dosyalara yazabilir. Belirli konfigürasyon direktiflerinin, CUPS web arabiriminden değiştirilemeyen cup-files.conf dosyasına taşınmasıyla bu sorun giderildi.
CVE-ID
CVE-2012-5519
Directory Service
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: Directory Service'in etkinleştirildiği sistemlerde, uzaktaki bir saldırgan sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Dizin sunucusunun ağdan gelen mesajları işlemesinde bir sorun vardı. Uzaktaki bir saldırgan, kötü amaçla hazırlanmış bir mesaj göndererek dizin sunucusunun sistem ayrıcalıklarıyla rasgele kod yürütmesine veya sonlandırmasına neden olabiliyordu. Sınır denetimi iyileştirilerek bu sorun giderildi. OS X Lion veya OS X Mountain Lion sistemleri bu sorundan etkilenmez.
CVE-ID
CVE-2013-0984 : Core Security'den Nicolas Economou
Disk Management
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3
Etki: Yerel bir kullanıcı FileVault'u devre dışı bırakabilir
Açıklama: Yönetici olmayan bir yerel kullanıcı, komut satırını kullanarak FileVault'u devre dışı bırakabilir. Ek kimlik doğrulama eklenerek bu sorun giderildi.
CVE-ID
CVE-2013-0985
OpenSSL
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Bir saldırgan, SSL ile korunan verilerin şifresini çözebilir
Açıklama: Sıkıştırma etkinleştirildiğinde TLS 1.0'ın gizliliğine yönelik bilinen saldırılar vardı. OpenSSL'de sıkıştırma devre dışı bırakılarak bu sorun giderildi.
CVE-ID
CVE-2012-4929 : Juliano Rizzo ve Thai Duong
OpenSSL
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL, hizmet reddine veya özel anahtarın ortaya çıkmasına yol açabilecek birden fazla güvenlik açığını gidermek için 0.9.8x sürümüne güncellendi. OpenSSL web sitesinde daha fazla bilgi bulunabilir: http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.2
Etki: Kötü amaçlarla oluşturulmuş bir PICT dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: PICT görüntülerinin işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0975 : Tobias Klein (HP'nin Zero Day Initiative programıyla)
QuickTime
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: 'enof' atomlarının işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0986 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) (HP'nin Zero Day Initiative programıyla)
QuickTime
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: QTIF dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0987 : roob (iDefense VCP programıyla)
QuickTime
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir FPX dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: FPX dosyalarının işlenmesinde bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0988 : G. Geshev (HP'nin Zero Day Initiative programıyla)
QuickTime
İlgili sürümler: OS X Mountain Lion v10.8 - v10.8.3
Etki: Kötü amaçlarla oluşturulmuş bir MP3 dosyasını çalmak uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: MP3 dosyalarının işlenmesinde bir arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0989 : G. Geshev (HP'nin Zero Day Initiative programıyla)
Ruby
İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Etki: Ruby on Rails'de birden fazla güvenlik açığı
Açıklama: Ruby on Rails'de birden fazla güvenlik açığı vardı. Bunlardan en önemlisi, Ruby on Rails uygulamasının çalıştığı sistemlerde rastgele kod yürütülmesine neden olabilir. Ruby on Rails, 2.3.18 sürümüne güncellenerek bu sorunlar giderildi. Bu sorun, Mac OS X 10.6.8 veya önceki sürümlerden OS X Lion veya OS X Mountain Lion'a güncellenen sistemler bu sorundan etkilenebilir. Kullanıcılar, /usr/bin/gem izlencesini kullanarak bu tür sistemlerde etkilenen "gem"leri güncelleyebilir.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
İlgili sürümler: OS X Lion v10.7 - v10.7.5, OS X Lion Server v10.7 - v10.7.5, OS X Mountain Lion v10.8 - v10.8.3
Etki: Kimliği doğrulanmış bir kullanıcı, paylaşılan dizinin dışına dosya yazabilir
Açıklama: Kimliği doğrulanmış bir kullanıcı, SMB dosya paylaşımı etkinleştirilmişse dosyaları paylaşılan dizinin dışına yazabilir. Erişim denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2013-0990 : Ward van Wanrooij
Not: OS X v10.8.4'ten itibaren, internetten indirilen Java Web Start (JNLP gibi) uygulamalarının bir Geliştirici Kimliği sertifikasıyla imzalanmış olması gerekmektedir. Gatekeeper, indirilen Java Web Start uygulamalarının imzalarını kontrol eder ve bu tür uygulamaların düzgün şekilde imzalanmaması durumunda başlatılmasını engeller.
JNLP dosyasını imzalamak için, kod imzasını JNLP dosyasına genişletilmiş özellikler olarak ekleyen codesign izlencesini kullanabilirsiniz. Bu özellikleri muhafaza etmek için JNLP dosyasını ZIP, XIP veya DMG dosyası olarak paketleyin. Bazı üçüncü taraf araçlar gerekli genişletilmiş özellikleri doğru şekilde alamayabileceğinden ZIP biçimini kullanırken dikkatli olun.
Teknik Not TN2206: OS X Code Signing In Depth (Kod İmzalama Ayrıntıları) başlıklı makaleden daha fazla bilgi edinebilirsiniz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.