OS X Mountain Lion v10.8.3'ün güvenlik içeriği ve Güvenlik Güncellemesi 2013-001 hakkında

Bu belgede OS X Mountain Lion v10.8.3 ve Güvenlik Güncellemesi 2013-001'ün güvenlik içeriği açıklanmaktadır.

OS X Mountain Lion v10.8.3 ve Güvenlik Güncellemesi 2013-001 Yazılım Güncelleme tercihleri veya Apple İndirmeleri aracılığıyla indirilip yüklenebilir.

Apple, müşterilerimizi korumak amacıyla, tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Not: OS X Mountain Lion v10.8.3'e Safari 6.0.3'ün içeriği dahildir. Daha fazla bilgi için Safari 6.0.3'ün güvenlik içeriği hakkında başlıklı makaleye bakın.

OS X Mountain Lion v10.8.3 ve Güvenlik Güncellemesi 2013-001

  • Apache

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Bir saldırgan, doğru kimlik bilgilerini bilmeden, HTTP kimlik doğrulamasıyla korunan dizinlere erişebilir

    Açıklama: Yoksayılabilir Unicode karakter dizileri içeren URI'ların işlenmesinde bir kurallaştırma sorunu vardı. Bu sorun yoksayılabilir Unicode karakter dizileri içeren URI'lara erişimi yasaklamak üzere mod_hfs_apple güncellenerek çözüldü.

    CVE kimliği

    CVE-2013-0966: Laconic Security'den Clint Ruoho

  • CoreTypes

    İlgili sürümler: OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçlı olarak hazırlanmış bir web sitesi Java eklentisi devre dışı olduğunda bile Java Web Start uygulamasının otomatik olarak başlatılmasına izin verebilir

    Açıklama: Java Web Start uygulamaları Java eklentisi devre dışı bırakılsa bile çalışıyordu. Bu sorun JNLP dosyalarının CoreTypes güvenli dosya türleri listesinden çıkarılmasıyla çözüldü. Böylece, Web Start uygulaması kullanıcı tarafından, İndirilenler dizininden açılmadıkça çalıştırılmaz.

    CVE kimliği

    CVE-2013-0967

  • Uluslararası Unicode Bileşenleri

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçla oluşturulmuş bir web sitesini ziyaret etmek, cross-site scripting (siteler arası komut dizisi kullanımı) saldırısına neden olabilir

    Açıklama: EUC-JP kodlamasının işlenmesinde, EUC-JP ile kodlanmış web sitelerinde cross-site scripting (siteler arası komut dizisi kullanımı) saldırısına neden olabilecek bir kurallaştırma sorunu vardı. Bu sorun EUC-JP eşleme tablosu güncellenerek giderildi.

    CVE kimliği

    CVE-2011-3058 : Masato Kinugawa

  • Kimlik Hizmetleri

    İlgili sürümler: OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Sertifika tabanlı Apple Kimliği doğrulamasına dayanan kimlik doğrulama atlanabilir

    Açıklama: Kimlik Hizmetleri'nde bir hata işleme sorunu vardı. Kullanıcının AppleID sertifikası doğrulanamadığında, kullanıcının AppleID'si boş dize olarak kabul ediliyordu. Farklı kullanıcılara ait olan birden çok sistem bu duruma girerse bu kimlik belirlemesine dayanan uygulamalar, güvenilirliği hatalı bir şekilde genişletebilir. Bu sorun boş bir dize yerine NULL değerinin dönmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2013-0963

  • ImageIO

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçlarla oluşturulmuş bir TIFF dosyasını görüntülemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Libtiff'in TIFF görüntülerini işlemesinde arabellek taşması vardı. Bu sorun TIFF görüntülerine ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2012-2088

  • IOAcceleratorFamily

    İlgili sürümler: OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçlı olarak oluşturulmuş bir görüntü sistemin beklenmedik bir şekilde sonlanmasına veya zorunlu kod yürütmeye neden olabilir

    Açıklama: Grafik verilerinin ele alınmasında bellek bozulması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-0976: Anonim bir araştırmacı

  • Çekirdek

    İlgili sürümler: OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçla oluşturulmuş veya güvenliği aşılmış uygulamalar çekirdekteki adresleri belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilginin açığa çıkmasıyla ilgili bir sorun vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

    CVE kimliği

    CVE-2012-3749: Azimuth Security'den Mark Dowd, Square'den Eric Monti ve çeşitli anonim araştırmacılar

  • Oturum Açma Penceresi

    İlgili sürümler: OS X Mountain Lion v10.8-v10.8.2

    Etki: Klavye erişimi olan bir saldırgan sistem yapılandırmasını değiştirebilir

    Açıklama: VoiceOver'ın Oturum Açma Penceresi'ni işlemesinde bir mantık hatası vardı; klavyeye erişimi olan bir saldırgan Sistem Tercihleri'ni başlatabiliyor ve sistem yapılandırmasını değiştirebiliyordu. Açıklama: Bu sorun VoiceOver'ın Oturum Açma Penceresi'nde uygulamaları başlatmasını önleyerek giderildi.

    CVE kimliği

    CVE-2013-0969: Purpletree Labs'den Eric A. Schulman

  • Mesajlar

    İlgili sürümler: OS X Mountain Lion v10.8-v10.8.2

    Etki: Mesajlar'dan bir bağlantıyı tıklamak kullanıcıya sorulmadan bir FaceTime araması başlatabilir

    Açıklama: Mesajlar'da özel olarak biçimlendirilmiş bir FaceTime:// URL'sinin tıklanması standart onay isteğini atlayabiliyordu. Bu sorun FaceTime:// URL'lerinin ek doğrulanmasıyla giderildi.

    CVE kimliği

    CVE-2013-0970: vtty.com'dan Aaron Sigel

  • Mesajlar Sunucusu

    İlgili sürümler: Mac OS X Server 10.6.8, OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan birleştirilen Jabber mesajlarını yeniden yönlendirebilir

    Açıklama: Jabber sunucusunun dialback (geri aramalı) sonuç mesajlarını işlemesinde bir sorun vardı. Bir saldırgan Jabber sunucusunun, birleştirilmiş sunucuların kullanıcılarına yönelik bilgileri ortaya çıkarmasına neden olabilir. Bu sorun dialback (geri aramalı) sonuç mesajlarının işlenmesinin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2012-3525

  • PDFKit

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarında mürekkep ek açıklamalarının işlenmesi sırasında boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-0971: HP TippingPoint'in Zero Day Initiative programı ile çalışan Tobias Klein

  • Podcast Producer Server

    İlgili sürümler: Mac OS X Server 10.6.8, OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in XML parametrelerini işlemesinde bir tür atama sorunu vardı. Bu sorun Podcast Producer Server tarafından kullanılan Rails uygulamasındaki XML parametrelerinin devre dışı bırakılmasıyla giderildi.

    CVE kimliği

    CVE-2013-0156

  • Podcast Producer Server

    İlgili sürümler: OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in JSON verilerini işlemesinde bir tür atama sorunu vardı. Bu sorun Podcast Producer Server tarafından kullanılan Rails uygulamasında JSON ayrıştırması için JSONGem arka ucunun kullanılmaya başlanmasıyla giderildi.

    CVE kimliği

    CVE-2013-0333

  • PostgreSQL

    İlgili sürümler: Mac OS X Server 10.6.8, OS X Lion Server v10.7-v10.7.5

    Etki: PostgreSQL'de birden çok güvenlik açığı

    Açıklama: PostgreSQL, en önemlisi veritabanı kullanıcılarının dosya sistemindeki dosyaları veritabanı sunucu rolü hesabının ayrıcalıklarıyla okumasına olanak tanıyabilecek, birden çok güvenlik açığını gidermek için 9.1.5 sürümüne güncellendi. Daha fazla bilgi için http://www.postgresql.org/docs/9.1/static/release-9-1-5.html adresindeki PostgreSQL web sitesine bakın

    CVE kimliği

    CVE-2012-3488

    CVE-2012-3489

  • Profile Manager

    İlgili sürümler: OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in XML parametrelerini işlemesinde bir tür atama sorunu vardı. Bu sorun Rails uygulamasında Profil Yöneticisi tarafından kullanılan XML parametrelerinin devre dışı bırakılmasıyla giderildi.

    CVE kimliği

    CVE-2013-0156

  • QuickTime

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını görüntülemek, uygulamanın beklenmeyen bir biçimde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: MP4 dosyalarındaki "rnet" kutularının ele alınışında bir arabellek taşması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2012-3756: QuarksLab'den Kevin Szkudlapski

  • Ruby

    İlgili sürümler: Mac OS X Server 10.6.8

    Etki: Rails uygulaması çalışıyorsa uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in XML parametrelerini işlemesinde bir tür atama sorunu vardı. Bu sorun Rails'deki XML parametrelerinde YAML ve semboller devre dışı bırakılarak giderildi.

    CVE kimliği

    CVE-2013-0156

  • Güvenlik

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Bazı orta seviye CA sertifikaları TURKTRUST tarafından yanlışlıkla verilmişti. Bu, bir saldırganın (aradaki adam saldırısı kullanarak) iletişimi yeniden yönlendirmesine ve kimlik bilgilerini veya diğer hassas bilgileri ele geçirmesine neden olabilir. Bu sorun yanlış SSL sertifikalarına izin verilmeyerek giderildi.

  • Yazılım Güncellemesi

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5

    Etki: Ayrıcalıklı bir ağ konumundaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Yazılım Güncelleme, bir saldırganın (aradaki adam saldırısı kullanarak) güncellemeler için görüntülenen pazarlama metnine eklenti içeriği eklemesine izin veriyordu. Bu, güvenlik açığı olan bir eklentiden yararlanılmasına veya eklentileri içeren sosyal mühendislik saldırılarına neden olabilir. OS X Mountain Lion sistemleri bu sorundan etkilenmez. Bu sorun eklentilerin, Yazılım Güncelleme'nin pazarlama metni WebView'a yüklenmesi önlenerek giderildi.

    CVE kimliği

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    İlgili sürümler: OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in XML parametrelerini işlemesinde bir tür atama sorunu vardı. Bu sorun Wiki Server tarafından kullanılan Rails uygulamasındaki XML parametreleri devre dışı bırakılarak giderildi.

    CVE kimliği

    CVE-2013-0156

  • Wiki Server

    İlgili sürümler: OS X Lion Server v10.7-v10.7.5

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby on Rails'in JSON verilerini işlemesinde bir tür atama sorunu vardı. Bu sorun Wiki Server tarafından kullanılan Rails uygulamasında JSON ayrıştırması için JSONGem arka ucunun kullanılmasıyla giderildi.

    CVE kimliği

    CVE-2013-0333

  • Kötü amaçlı yazılım temizleme

    İlgili sürümler: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7-v10.7.5, OS X Lion Server v10.7-v10.7.5, OS X Mountain Lion v10.8-v10.8.2

    Açıklama: Bu güncelleme, en sık karşılaşılan kötü amaçlı yazılım türevlerini temizleyen bir kötü amaçlı yazılım temizleme aracı çalıştırır. Kötü amaçlı yazılım bulunursa kullanıcıya kötü amaçlı yazılımın temizlendiğini bildiren bir iletişim kutusu gösterilir. Kötü amaçlı yazılım bulunmazsa kullanıcıya herhangi bir şey gösterilmez.

 

FaceTime her ülkede veya bölgede kullanılamaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: