OS X Mavericks 10.9 sürümündeki güvenlik içeriği hakkında

Bu belge OS X Mavericks 10.9 sürümündeki güvenlik içeriğini açıklar.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

OS X Mavericks 10.9

 • Uygulama Güvenlik Duvarı

  Etki: socketfilterfw --blockApp uygulamaların ağ bağlantıları almalarını engellemeyebilir

  Açıklama: socketfilterfw komut satırı araçlarındaki --blockApp seçeneği uygulamaların ağ bağlantıları almalarını düzgün bir şekilde engellemedi. Bu sorun --blockApp seçeneklerinin işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5165: Alexander Frangis, PopCap Games

 • Uygulama Korumalı Alanı

  Etki: Uygulama Korumalı Alanı atlanabilir

  Açıklama: Bir uygulamayı başlatmak için kullanılan LaunchServices arabirimi, korumalı alandaki uygulamaların yeni işleme geçirilecek bağımsız değişkenler listesi belirtmesine izin verdi. Gizliliği ihlal edilen bir korumalı alan uygulaması korumalı alanı atlayabiliyordu. Bu sorun korumalı alanda çalışan uygulamaların bağımsız değişken belirtmesine izin verilmeyerek giderildi.

  CVE kimliği

  CVE-2013-5179: Friedrich Graeter, The Soulmen GbR

 • Bluetooth

  Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: Bluetooth USB ana bilgisayar denetleyicisi daha sonraki işlemler için gereken arabirimleri sildi. Bu sorun arabirimin artık gerekmeyinceye kadar korunmasıyla giderildi.

  CVE kimliği

  CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano

 • CFNetwork

  Etki: Oturum çerezleri Safari sıfırlandıktan sonra bile kalabiliyor

  Açıklama: Safari'nin sıfırlanması Safari kapatılmadıkça oturum çerezlerinin silinmesini her zaman sağlamıyordu. Bu sorun oturum çerezlerinin işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5167: Graham Bennett, Rob Ansaldo, Amherst College

 • CFNetwork SSL

  Etki: SSL bağlantısının parçasının şifresi saldırgan tarafından çözülebilir

  Açıklama: SSL'nin yalnızca SSLv3 ve TLS 1.0 sürümleri kullanıldı. Bu sürümler blok şifreler kullanıldığında protokolün zayıflamasına neden olur. Bağlantıyı izinsiz izleyen saldırgan geçersiz veriler ekleyebilir ve bu da bağlantının kapanmasına ve bu sırada önceki verilerle ilgili bazı bilgilerin açığa çıkmasına neden olur. Aynı bağlantı saldırgan tarafından tekrar tekrar hedeflendiyse, saldırgan gönderilmekte olan parola gibi verilerin şifresini zaman içinde çözmüş olabilir. Bu sorun TLS 1.2 etkinleştirilerek giderildi.

  CVE kimliği

  CVE-2011-3389

 • Konsol

  Etki: Kötü amaçlı günlük girdisine tıklanması uygulamanın beklenmeyen şekilde yürütülmesine neden olabilir

  Açıklama: Bu güncelleme ekli URL'si olan günlük girdisine tıklanması durumundaki Konsol davranışını değiştirmiştir. Şimdi Konsol URL'yi açmak yerine URL'yi Göz At ile önizler.

  CVE kimliği

  CVE-2013-5168: Aaron Sigel, vtty.com

 • CoreGraphics

  Etki: Ekran uykuya geçtikten sonra pencereler kilitli ekranda görülebiliyor

  Açıklama: CoreGraphics'te bulunan, ekranın uyku modunda işlenmesiyle ilgili bir mantıksal hata verilerde bozulmaya yol açarak pencerelerin kilitli ekranda görülebilmesine neden oluyordu. Bu sorun ekranın uyku modunda işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5169

 • CoreGraphics

  Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

  Açıklama: PDF dosyaları işlenirken arabellek yetersizliği oluşuyordu. Bu sorun sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5170: Will Dormann, CERT/CC

 • CoreGraphics

  Etki: Ayrıcalığı olmayan bir uygulama güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyor

  Açıklama: Ayrıcalığı olmayan bir uygulama bir kısayol tuşu olayına kaydolarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Bu sorun kısayol tuşu olaylarına doğrulama eklenerek giderildi.

  CVE kimliği

  CVE-2013-5171

 • curl

  Etki: Curl içinde birden çok güvenlik açığı

  Açıklama: Curl'de birden çok güvenlik açığı vardı, içlerinde en önemli olanı rastgele kod yürütülmesine neden olmuş olabilir. Bu sorunlar curl'nin 7.30.0 sürümüne güncellenmesiyle giderildi

  CVE kimliği

  CVE-2013-0249

  CVE-2013-1944

 • dyld

  Etki: Bir aygıt üzerinde rastgele kod yürüten bir saldırgan kod yürütmeyi yeniden başlatmalarda sürdürebilir

  Açıklama: dyld'nin openSharedCacheFile() işlevinde birden çok önbellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-3950: Stefan Esser

 • IOKitUser

  Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: IOCatalogue içinde null işaretçi dereferansı vardı. Bu sorun ek tür denetimi yapılarak giderildi.

  CVE kimliği

  CVE-2013-5138: Will Estes

 • IOSerialFamily

  Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

  Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5139: @dent1zt

 • Çekirdek

  Etki: Çekirdekteki SHA-2 özet işlevleri sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: SHA-2 ailesi özet işlevleri için hatalı bir çıkış uzunluğu kullanıldığından bu işlevler özellikle IPSec bağlantıları sırasında çalıştırıldığında çekirdek hatasına neden oldu. Sorun beklenen çıkış uzunluğu kullanılarak giderildi.

  CVE kimliği

  CVE-2013-5172: Christoph Nadig, Lobotomo Software

 • Çekirdek

  Etki: Çekirdek yığın belleği yerel kullanıcıların kullanımına açılabilir

  Açıklama: msgctl ve segctl API'lerinde bilgilerin kullanıma açılması sorunu vardı. Bu sorun çekirdekten döndürülen veri yapılarının başlatılmasıyla giderildi.

  CVE kimliği

  CVE-2013-5142: Kenx Technology, Inc şirketinden Kenzley Alphonse

 • Çekirdek

  Etki: Yerel kullanıcı servis reddine neden olabilir

  Açıklama: Çekirdek rastgele sayı üreticisi kullanıcı alanındaki bir isteği yerine getirirken bir kilidi tutarak yerel kullanıcının büyük bir istek yapmasına ve kilidi uzun süre tutmasına izin verebilir ve dolayısıyla servisin diğer rastgele sayı üreticisi kullanıcıları için reddedilmesine neden olabilir. Bu sorun büyük isteklere ilişkin kilidin daha sık serbest bırakılıp yeniden alınmasıyla giderildi.

  CVE kimliği

  CVE-2013-5173: Jaakko Pero, Aalto University

 • Çekirdek

  Etki: Yerel, ayrıcalığı olmayan bir kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: Tty okumalarının işlenmesinde bir tamsayı işareti sorunu vardı. Bu sorun tty okumalarının işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5174: CESG

 • Çekirdek

  Etki: Yerel kullanıcı çekirdek belleği bilgilerinin kullanıma açılmasına veya sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: Mach-O dosyalarının işlenmesinde sınırların dışında okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5175

 • Çekirdek

  Etki: Yerel kullanıcı sistemin kilitlenmesine neden olabilir

  Açıklama: Tty aygıtlarının işlenmesinde bir tamsayı yuvarlama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5176: CESG

 • Çekirdek

  Etki: Yerel kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: Kullanıcı tarafından sağlanan geçersiz bir iovec yapısı algılanırsa çekirdek hatası oluşabilir. Bu sorun iovec yapılarının doğrulanması iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5177: CESG

 • Çekirdek

  Etki: Ayrıcalığı olmayan işlemler sistemin beklenmeyen şekilde sonlanmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

  Açıklama: posix_spawn API'sine geçirilen bağımsız değişkenlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-3954: Stefan Esser

 • Çekirdek

  Etki: Kaynağa özgü çok noktaya gönderme programı Wi-Fi ağı kullanılırken sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: Çok noktaya gönderme paketlerinin işlenmesinde bir hata denetimi sorunu vardı. Bu sorun çok noktaya gönderme paketlerinin işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5184: Octoshape

 • Çekirdek

  Etki: Yerel ağdaki bir saldırgan bir servisin reddine neden olabilir

  Açıklama: Yerel ağdaki bir saldırgan özel olarak oluşturulmuş IPv6 ICMP paketleri gönderebilir ve yüksek düzeyde CPU yüküne neden olabilir. Bu sorun, sağlama toplamlarını doğrulamadan önce ICMP paketlerine hız sınırlaması uygulayarak giderildi.

  CVE kimliği

  CVE-2011-2391: Marc Heuse

 • Çekirdek

  Etki: Kötü amaçlı yerel bir uygulama sistemin kilitlenmesine neden olabilir

  Açıklama: Çekirdek yuvası arabirimindeki bir tamsayı yuvarlama sorunu CPU'yu sonsuz bir döngüye girmeye zorlamak için kullanılabilirdi. Bu sorun daha büyük boyutlu bir değişken kullanılarak giderildi.

  CVE kimliği

  CVE-2013-5141: CESG

 • Kext Yönetimi

  Etki: Yetkisiz bir işlem yüklü bazı çekirdek uzantılarını etkisizleştirebilir

  Açıklama: Kext yönetiminin, kimliği doğrulanmamış gönderenlerden gelen IPC mesajlarını işlemesinde bir sorun vardı. Bu sorun başka yetki denetimleri eklenerek giderildi.

  CVE kimliği

  CVE-2013-5145: "Rainbow PRISM"

 • LaunchServices

  Etki: Dosya yanlış uzantı gösterebilirdi.

  Açıklama: Belirli unicode karakterlerin işlenmesindeki sorun dosya adlarının hatalı uzantılar göstermesine neden olabilirdi. Sorun güvenli olmayan unicode karakterleri dosya adlarında gösterilmeyecek şekilde filtrelenerek giderildi.

  CVE kimliği

  CVE-2013-5178: Mozilla Corporation'dan Jesse Ruderman, Intego'dan Stephane Sudre

 • Libc

  Etki: Olağan olmayan durumlarda bazı rastgele sayılar öngörülebilir

  Açıklama: Çekirdek rastgele sayı üreticisi srandomdev() işlevine ulaşamadıysa, işlev optimizasyon amacıyla kaldırılan bir alternatif yöntemi kullanarak rastgele olma durumunu ortadan kaldırıyordu. Bu sorun kod optimizasyon çerçevesinde doğru olacak şekilde değiştirilerek giderildi.

  CVE kimliği

  CVE-2013-5180: Xi Wang

 • Mail Hesapları

  Etki: Mail uygulaması kullanılabilen en güvenli kimlik doğrulama yöntemini seçemeyebilir

  Açıklama: Belirli posta sunucularında bir posta hesabı otomatik olarak yapılandırılırken Mail uygulaması CRAM-MD5 kimlik doğrulaması üzerinden düz metin kimlik doğrulamasını seçebilir. Bu sorun işlem mantığı geliştirilerek giderildi.

  CVE kimliği

  CVE-2013-5181

 • Mail Başlık Ekranı

  Etki: İmzasız bir ileti geçerli bir şekilde imzalanmış gibi görünebilir.

  Açıklama: Mail uygulamasının içinde birden çok bölüm/imzalı bölüm olsa da imzasız olan iletileri işlemesinde bir sorun vardı. Bu sorun imzasız iletilerin işlenmesi geliştirilerek giderildi.

  CVE kimliği

  CVE-2013-5182: Michael Roitzsch, Technische Universität Dresden

 • Mail Ağı

  Etki: TLS olmayan şifreleme yapılandırıldığında bilgiler düz metinde kısa olarak aktarılabilir.

  Açıklama: Kerberos kimlik doğrulaması etkinleştirildiğinde ve Aktarım Katmanı Güvenliği etkisizleştirildiğinde, Mail uygulaması posta sunucusuna şifrelenmemiş veriler göndererek bağlantının beklenmeyen şekilde sonlanmasına neden olabiliyordu. Bu sorun bu yapılandırmanın işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5183: Richard E. Silverman, www.qoxp.net

 • OpenLDAP

  Etki: ldapsearch komut satırı aracı minssf yapılandırmasını tanımıyordu

  Açıklama: ldapsearch komut satırı aracı minssf yapılandırmasını tanımadığından zayıf şifrelemeye beklenmeyen şekilde izin verilmesine neden olabiliyordu. Bu sorun minssf yapılandırmasının işlenmesi geliştirilerek giderildi.

  CVE kimliği

  CVE-2013-5185

 • perl

  Etki: Perl betikleri servis reddi açısından savunmasız olabilir.

  Açıklama: Güncel olmayan Perl sürümlerindeki yeniden özet oluşturma mekanizması özet anahtarları gibi güvenilmeyen giriş kullanan betiklerde servis reddi açısından savunmasız olabilir. Bu sorun Perl 5.16.2 sürümüne güncellenerek giderildi.

  CVE kimliği

  CVE-2013-1667

 • Güç Yönetimi

  Etki: Belirtilen süreden sonra ekran kilidi tutulamayabilir

  Açıklama: Güç ayırma yönetiminde bir kilitleme sorunu vardı. Sorun kilidin işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5186: David Herman, Sensible DB Design

 • python

  Etki: Python 2.7 sürümünde birden çok güvenlik açığı

  Açıklama: Python 2.7.2 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.7.5 sürümüne güncelleyerek giderildi. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

  CVE kimliği

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

 • python

  Etki: Python 2.6 sürümünde birden çok güvenlik açığı

  Açıklama: Python 2.6.7 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.6.8 sürümüne güncelleyerek ve Python projesinden CVE-2011-4944 yamasını uygulayarak bu sorunu giderir. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

  CVE kimliği

  CVE-2011-3389

  CVE-2011-4944

  CVE-2012-0845

  CVE-2012-0876

  CVE-2012-1150

 • ruby

  Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

  Açıklama: Ruby'nin SSL sertifikalarını işlemesinde bir ana bilgisayar adı doğrulama sorunu vardı. Bu sorun Ruby 2.0.0p247 sürümüne güncellenerek giderildi.

  CVE kimliği

  CVE-2013-4073

 • Güvenlik

  Etki: MD5 özetleri olan X.509 sertifikalarına yönelik destek, saldırılar geliştikçe kullanıcıları yanıltmalara açık hale getirebilir ve bilgilerin kullanıma açılmasına neden olabilir

  Açıklama: MD5 özet algoritması kullanılarak imzalanan sertifikalar OS X tarafından kabul edildiler. Bu algoritmada bilinen şifreleme zayıflıkları vardır. Saldırgan tarafından kontrol edilen değerlerle X.509 sertifikaları oluşturmasına izin verilmiş olabilecek başka araştırma yetkilisine veya yanlış yapılandırılan bir sertifika yetkilisine sistem tarafından güvenilmiş olabilir. Bu, X.509 temelli protokollerini yanıltmaya, bağlantıları izleyen saldırılara ve bilgilerin kullanıma açılmasına karşı savunmasız hale getirebilir. Bu güncelleme MD5 özeti olan X.509 sertifikasının güvenilen kök sertifika olarak kullanımı dışında hiç bir kullanımını desteklemez.

  CVE kimliği

  CVE-2011-3427

 • Güvenlik - Yetki Verme

  Etki: Yöneticinin güvenlik tercihleri göz önüne alınmayabilir

  Açıklama: "Kilit simgeli sistem tercihlerine erişmek için bir yönetici parolası gerektir" ayarları yöneticilerin hassas sistem ayarlarına bir koruma katmanı daha eklemesine olanak tanır. Yönetici bu ayarı etkinleştirdiğinde, bir yazılım güncellemesi veya yükseltmesi uygulanması bazı durumlarda daha sonra bu ayarı etkisizleştirebiliyordu. Bu sorun kimlik doğrulama haklarının işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5189: Greg Onufer

 • Güvenlik - Akıllı Kart Servisleri

  Etki: Akıllı Kart Servisleri sertifika iptali denetimleri etkinleştirildiğinde kullanılamayabilir

  Açıklama: OS X'in Akıllı Kart sertifika iptali denetimlerini işlemesinde bir mantıksal hata vardı. Sorun sertifika iptali desteği iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5190: Yongjun Jeon, Centrify Corporation

 • Ekran Kilidi

  Etki: "Ekranı Kilitle" komutu anında etkili olmayabiliyor

  Açıklama: Anahtar Zinciri Durumu menü çubuğu öğesindeki "Ekranı Kilitle" komutu "Uyuduktan veya ekran koruyucu başladıktan [süre] sonra parola gereksin" ayarının süresi geçinceye kadar etkili olmuyordu.

  CVE kimliği

  CVE-2013-5187: Michael Kisor, OrganicOrb.com, Christian Knappskog, NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

 • Ekran Kilidi

  Etki: Otomatik oturum açması olan, hazırda bekletilen Mac uyanmak için parola gerektirmeyebilir

  Açıklama: Hazırda bekletme ve otomatik oturum açma etkinleştirilmiş bir Mac parola istemeden hazırda bekletme modundan uyanabilir. Bu sorun kilidin işlenmesi iyileştirilerek giderildi.

  CVE kimliği

  CVE-2013-5188: Levi Musters

 • Ekran Paylaşımı Sunucusu

  Etki: Uzak bir saldırgan zorunlu bir kodun yürütülmesine neden olabilir

  Açıklama: Ekran Paylaşımı Sunucusu'nun VNC kullanıcı adını işlemesinde bir biçim dizesi güvenlik açığı vardı.

  CVE kimliği

  CVE-2013-5135: iDefense VCP ile çalışan SilentSignal

 • syslog

  Etki: Konuk kullanıcı önceki Konukların günlük mesajlarını görebilir

  Açıklama: Konuk kullanıcı konsol günlüğünü ve günlükteki önceki Konuk kullanıcı oturumlarına ait mesajları görebiliyordu. Bu sorun Konuk kullanıcıların konsol günlüğünü yalnızca yöneticilerin görebilmesi sağlanarak giderildi.

  CVE kimliği

  CVE-2013-5191: Sven-S. Porst, earthlingsoft

 • USB

  Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

  Açıklama: USB hub denetleyicisi isteklerin bağlantı noktasını ve bağlantı noktası numarasını denetlemedi. Sorun bağlantı noktası ve bağlantı noktası numarası denetimleri eklenerek giderildi.

  CVE kimliği

  CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Not: OS X Mavericks'te Safari 6.1'in güvenlik içeriğini bulunduran Safari 7.0 vardır. Ayrıntılı bilgi için "Safari 6.1'in güvenlik içeriği hakkında" başlıklı makaleye bakın: http://support.apple.com/kb/HT6000?viewlocale=tr_TR

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: