OS X Mavericks 10.9 sürümündeki güvenlik içeriği hakkında

Bu belge OS X Mavericks 10.9 sürümündeki güvenlik içeriğini açıklar.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

OS X Mavericks 10.9

  • Uygulama Güvenlik Duvarı

    Etki: socketfilterfw --blockApp uygulamaların ağ bağlantıları almalarını engellemeyebilir

    Açıklama: socketfilterfw komut satırı araçlarındaki --blockApp seçeneği uygulamaların ağ bağlantıları almalarını düzgün bir şekilde engellemedi. Bu sorun --blockApp seçeneklerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5165: Alexander Frangis, PopCap Games

  • Uygulama Korumalı Alanı

    Etki: Uygulama Korumalı Alanı atlanabilir

    Açıklama: Bir uygulamayı başlatmak için kullanılan LaunchServices arabirimi, korumalı alandaki uygulamaların yeni işleme geçirilecek bağımsız değişkenler listesi belirtmesine izin verdi. Gizliliği ihlal edilen bir korumalı alan uygulaması korumalı alanı atlayabiliyordu. Bu sorun korumalı alanda çalışan uygulamaların bağımsız değişken belirtmesine izin verilmeyerek giderildi.

    CVE kimliği

    CVE-2013-5179: Friedrich Graeter, The Soulmen GbR

  • Bluetooth

    Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: Bluetooth USB ana bilgisayar denetleyicisi daha sonraki işlemler için gereken arabirimleri sildi. Bu sorun arabirimin artık gerekmeyinceye kadar korunmasıyla giderildi.

    CVE kimliği

    CVE-2013-5166: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Etki: Oturum çerezleri Safari sıfırlandıktan sonra bile kalabiliyor

    Açıklama: Safari'nin sıfırlanması Safari kapatılmadıkça oturum çerezlerinin silinmesini her zaman sağlamıyordu. Bu sorun oturum çerezlerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5167: Graham Bennett, Rob Ansaldo, Amherst College

  • CFNetwork SSL

    Etki: SSL bağlantısının parçasının şifresi saldırgan tarafından çözülebilir

    Açıklama: SSL'nin yalnızca SSLv3 ve TLS 1.0 sürümleri kullanıldı. Bu sürümler blok şifreler kullanıldığında protokolün zayıflamasına neden olur. Bağlantıyı izinsiz izleyen saldırgan geçersiz veriler ekleyebilir ve bu da bağlantının kapanmasına ve bu sırada önceki verilerle ilgili bazı bilgilerin açığa çıkmasına neden olur. Aynı bağlantı saldırgan tarafından tekrar tekrar hedeflendiyse, saldırgan gönderilmekte olan parola gibi verilerin şifresini zaman içinde çözmüş olabilir. Bu sorun TLS 1.2 etkinleştirilerek giderildi.

    CVE kimliği

    CVE-2011-3389

  • Konsol

    Etki: Kötü amaçlı günlük girdisine tıklanması uygulamanın beklenmeyen şekilde yürütülmesine neden olabilir

    Açıklama: Bu güncelleme ekli URL'si olan günlük girdisine tıklanması durumundaki Konsol davranışını değiştirmiştir. Şimdi Konsol URL'yi açmak yerine URL'yi Göz At ile önizler.

    CVE kimliği

    CVE-2013-5168: Aaron Sigel, vtty.com

  • CoreGraphics

    Etki: Ekran uykuya geçtikten sonra pencereler kilitli ekranda görülebiliyor

    Açıklama: CoreGraphics'te bulunan, ekranın uyku modunda işlenmesiyle ilgili bir mantıksal hata verilerde bozulmaya yol açarak pencerelerin kilitli ekranda görülebilmesine neden oluyordu. Bu sorun ekranın uyku modunda işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5169

  • CoreGraphics

    Etki: Kötü amaçlı olarak oluşturulmuş bir PDF dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyaları işlenirken arabellek yetersizliği oluşuyordu. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5170: Will Dormann, CERT/CC

  • CoreGraphics

    Etki: Ayrıcalığı olmayan bir uygulama güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyor

    Açıklama: Ayrıcalığı olmayan bir uygulama bir kısayol tuşu olayına kaydolarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Bu sorun kısayol tuşu olaylarına doğrulama eklenerek giderildi.

    CVE kimliği

    CVE-2013-5171

  • curl

    Etki: Curl içinde birden çok güvenlik açığı

    Açıklama: Curl'de birden çok güvenlik açığı vardı, içlerinde en önemli olanı rastgele kod yürütülmesine neden olmuş olabilir. Bu sorunlar curl'nin 7.30.0 sürümüne güncellenmesiyle giderildi

    CVE kimliği

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Etki: Bir aygıt üzerinde rastgele kod yürüten bir saldırgan kod yürütmeyi yeniden başlatmalarda sürdürebilir

    Açıklama: dyld'nin openSharedCacheFile() işlevinde birden çok önbellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-3950: Stefan Esser

  • IOKitUser

    Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: IOCatalogue içinde null işaretçi dereferansı vardı. Bu sorun ek tür denetimi yapılarak giderildi.

    CVE kimliği

    CVE-2013-5138: Will Estes

  • IOSerialFamily

    Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

    Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5139: @dent1zt

  • Çekirdek

    Etki: Çekirdekteki SHA-2 özet işlevleri sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: SHA-2 ailesi özet işlevleri için hatalı bir çıkış uzunluğu kullanıldığından bu işlevler özellikle IPSec bağlantıları sırasında çalıştırıldığında çekirdek hatasına neden oldu. Sorun beklenen çıkış uzunluğu kullanılarak giderildi.

    CVE kimliği

    CVE-2013-5172: Christoph Nadig, Lobotomo Software

  • Çekirdek

    Etki: Çekirdek yığın belleği yerel kullanıcıların kullanımına açılabilir

    Açıklama: msgctl ve segctl API'lerinde bilgilerin kullanıma açılması sorunu vardı. Bu sorun çekirdekten döndürülen veri yapılarının başlatılmasıyla giderildi.

    CVE kimliği

    CVE-2013-5142: Kenx Technology, Inc şirketinden Kenzley Alphonse

  • Çekirdek

    Etki: Yerel kullanıcı servis reddine neden olabilir

    Açıklama: Çekirdek rastgele sayı üreticisi kullanıcı alanındaki bir isteği yerine getirirken bir kilidi tutarak yerel kullanıcının büyük bir istek yapmasına ve kilidi uzun süre tutmasına izin verebilir ve dolayısıyla servisin diğer rastgele sayı üreticisi kullanıcıları için reddedilmesine neden olabilir. Bu sorun büyük isteklere ilişkin kilidin daha sık serbest bırakılıp yeniden alınmasıyla giderildi.

    CVE kimliği

    CVE-2013-5173: Jaakko Pero, Aalto University

  • Çekirdek

    Etki: Yerel, ayrıcalığı olmayan bir kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: Tty okumalarının işlenmesinde bir tamsayı işareti sorunu vardı. Bu sorun tty okumalarının işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5174: CESG

  • Çekirdek

    Etki: Yerel kullanıcı çekirdek belleği bilgilerinin kullanıma açılmasına veya sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: Mach-O dosyalarının işlenmesinde sınırların dışında okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5175

  • Çekirdek

    Etki: Yerel kullanıcı sistemin kilitlenmesine neden olabilir

    Açıklama: Tty aygıtlarının işlenmesinde bir tamsayı yuvarlama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5176: CESG

  • Çekirdek

    Etki: Yerel kullanıcı sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: Kullanıcı tarafından sağlanan geçersiz bir iovec yapısı algılanırsa çekirdek hatası oluşabilir. Bu sorun iovec yapılarının doğrulanması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5177: CESG

  • Çekirdek

    Etki: Ayrıcalığı olmayan işlemler sistemin beklenmeyen şekilde sonlanmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: posix_spawn API'sine geçirilen bağımsız değişkenlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-3954: Stefan Esser

  • Çekirdek

    Etki: Kaynağa özgü çok noktaya gönderme programı Wi-Fi ağı kullanılırken sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: Çok noktaya gönderme paketlerinin işlenmesinde bir hata denetimi sorunu vardı. Bu sorun çok noktaya gönderme paketlerinin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5184: Octoshape

  • Çekirdek

    Etki: Yerel ağdaki bir saldırgan bir servisin reddine neden olabilir

    Açıklama: Yerel ağdaki bir saldırgan özel olarak oluşturulmuş IPv6 ICMP paketleri gönderebilir ve yüksek düzeyde CPU yüküne neden olabilir. Bu sorun, sağlama toplamlarını doğrulamadan önce ICMP paketlerine hız sınırlaması uygulayarak giderildi.

    CVE kimliği

    CVE-2011-2391: Marc Heuse

  • Çekirdek

    Etki: Kötü amaçlı yerel bir uygulama sistemin kilitlenmesine neden olabilir

    Açıklama: Çekirdek yuvası arabirimindeki bir tamsayı yuvarlama sorunu CPU'yu sonsuz bir döngüye girmeye zorlamak için kullanılabilirdi. Bu sorun daha büyük boyutlu bir değişken kullanılarak giderildi.

    CVE kimliği

    CVE-2013-5141: CESG

  • Kext Yönetimi

    Etki: Yetkisiz bir işlem yüklü bazı çekirdek uzantılarını etkisizleştirebilir

    Açıklama: Kext yönetiminin, kimliği doğrulanmamış gönderenlerden gelen IPC mesajlarını işlemesinde bir sorun vardı. Bu sorun başka yetki denetimleri eklenerek giderildi.

    CVE kimliği

    CVE-2013-5145: "Rainbow PRISM"

  • LaunchServices

    Etki: Dosya yanlış uzantı gösterebilirdi.

    Açıklama: Belirli unicode karakterlerin işlenmesindeki sorun dosya adlarının hatalı uzantılar göstermesine neden olabilirdi. Sorun güvenli olmayan unicode karakterleri dosya adlarında gösterilmeyecek şekilde filtrelenerek giderildi.

    CVE kimliği

    CVE-2013-5178: Mozilla Corporation'dan Jesse Ruderman, Intego'dan Stephane Sudre

  • Libc

    Etki: Olağan olmayan durumlarda bazı rastgele sayılar öngörülebilir

    Açıklama: Çekirdek rastgele sayı üreticisi srandomdev() işlevine ulaşamadıysa, işlev optimizasyon amacıyla kaldırılan bir alternatif yöntemi kullanarak rastgele olma durumunu ortadan kaldırıyordu. Bu sorun kod optimizasyon çerçevesinde doğru olacak şekilde değiştirilerek giderildi.

    CVE kimliği

    CVE-2013-5180: Xi Wang

  • Mail Hesapları

    Etki: Mail uygulaması kullanılabilen en güvenli kimlik doğrulama yöntemini seçemeyebilir

    Açıklama: Belirli posta sunucularında bir posta hesabı otomatik olarak yapılandırılırken Mail uygulaması CRAM-MD5 kimlik doğrulaması üzerinden düz metin kimlik doğrulamasını seçebilir. Bu sorun işlem mantığı geliştirilerek giderildi.

    CVE kimliği

    CVE-2013-5181

  • Mail Başlık Ekranı

    Etki: İmzasız bir ileti geçerli bir şekilde imzalanmış gibi görünebilir.

    Açıklama: Mail uygulamasının içinde birden çok bölüm/imzalı bölüm olsa da imzasız olan iletileri işlemesinde bir sorun vardı. Bu sorun imzasız iletilerin işlenmesi geliştirilerek giderildi.

     

    CVE kimliği

    CVE-2013-5182: Michael Roitzsch, Technische Universität Dresden

  • Mail Ağı

    Etki: TLS olmayan şifreleme yapılandırıldığında bilgiler düz metinde kısa olarak aktarılabilir.

    Açıklama: Kerberos kimlik doğrulaması etkinleştirildiğinde ve Aktarım Katmanı Güvenliği etkisizleştirildiğinde, Mail uygulaması posta sunucusuna şifrelenmemiş veriler göndererek bağlantının beklenmeyen şekilde sonlanmasına neden olabiliyordu. Bu sorun bu yapılandırmanın işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5183: Richard E. Silverman, www.qoxp.net

  • OpenLDAP

    Etki: ldapsearch komut satırı aracı minssf yapılandırmasını tanımıyordu

    Açıklama: ldapsearch komut satırı aracı minssf yapılandırmasını tanımadığından zayıf şifrelemeye beklenmeyen şekilde izin verilmesine neden olabiliyordu. Bu sorun minssf yapılandırmasının işlenmesi geliştirilerek giderildi.

    CVE kimliği

    CVE-2013-5185

  • perl

    Etki: Perl betikleri servis reddi açısından savunmasız olabilir.

    Açıklama: Güncel olmayan Perl sürümlerindeki yeniden özet oluşturma mekanizması özet anahtarları gibi güvenilmeyen giriş kullanan betiklerde servis reddi açısından savunmasız olabilir. Bu sorun Perl 5.16.2 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2013-1667

  • Güç Yönetimi

    Etki: Belirtilen süreden sonra ekran kilidi tutulamayabilir

    Açıklama: Güç ayırma yönetiminde bir kilitleme sorunu vardı. Sorun kilidin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5186: David Herman, Sensible DB Design

  • python

    Etki: Python 2.7 sürümünde birden çok güvenlik açığı

    Açıklama: Python 2.7.2 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.7.5 sürümüne güncelleyerek giderildi. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

    CVE kimliği

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Etki: Python 2.6 sürümünde birden çok güvenlik açığı

    Açıklama: Python 2.6.7 sürümünde birden çok güvenlik açığı vardı, içlerinde en önemlisi SSL bağlantısı içeriğinin şifresinin çözülmesine neden olabiliyordu. Bu güncelleme python'u 2.6.8 sürümüne güncelleyerek ve Python projesinden CVE-2011-4944 yamasını uygulayarak bu sorunu giderir. Python sitesinde daha fazla bilgi bulunabilir: http://www.python.org/download/releases/

    CVE kimliği

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: Ruby'nin SSL sertifikalarını işlemesinde bir ana bilgisayar adı doğrulama sorunu vardı. Bu sorun Ruby 2.0.0p247 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2013-4073

  • Güvenlik

    Etki: MD5 özetleri olan X.509 sertifikalarına yönelik destek, saldırılar geliştikçe kullanıcıları yanıltmalara açık hale getirebilir ve bilgilerin kullanıma açılmasına neden olabilir

    Açıklama: MD5 özet algoritması kullanılarak imzalanan sertifikalar OS X tarafından kabul edildiler. Bu algoritmada bilinen şifreleme zayıflıkları vardır. Saldırgan tarafından kontrol edilen değerlerle X.509 sertifikaları oluşturmasına izin verilmiş olabilecek başka araştırma yetkilisine veya yanlış yapılandırılan bir sertifika yetkilisine sistem tarafından güvenilmiş olabilir. Bu, X.509 temelli protokollerini yanıltmaya, bağlantıları izleyen saldırılara ve bilgilerin kullanıma açılmasına karşı savunmasız hale getirebilir. Bu güncelleme MD5 özeti olan X.509 sertifikasının güvenilen kök sertifika olarak kullanımı dışında hiç bir kullanımını desteklemez.

    CVE kimliği

    CVE-2011-3427

  • Güvenlik - Yetki Verme

    Etki: Yöneticinin güvenlik tercihleri göz önüne alınmayabilir

    Açıklama: "Kilit simgeli sistem tercihlerine erişmek için bir yönetici parolası gerektir" ayarları yöneticilerin hassas sistem ayarlarına bir koruma katmanı daha eklemesine olanak tanır. Yönetici bu ayarı etkinleştirdiğinde, bir yazılım güncellemesi veya yükseltmesi uygulanması bazı durumlarda daha sonra bu ayarı etkisizleştirebiliyordu. Bu sorun kimlik doğrulama haklarının işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5189: Greg Onufer

  • Güvenlik - Akıllı Kart Servisleri

    Etki: Akıllı Kart Servisleri sertifika iptali denetimleri etkinleştirildiğinde kullanılamayabilir

    Açıklama: OS X'in Akıllı Kart sertifika iptali denetimlerini işlemesinde bir mantıksal hata vardı. Sorun sertifika iptali desteği iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5190: Yongjun Jeon, Centrify Corporation

  • Ekran Kilidi

    Etki: "Ekranı Kilitle" komutu anında etkili olmayabiliyor

    Açıklama: Anahtar Zinciri Durumu menü çubuğu öğesindeki "Ekranı Kilitle" komutu "Uyuduktan veya ekran koruyucu başladıktan [süre] sonra parola gereksin" ayarının süresi geçinceye kadar etkili olmuyordu.

    CVE kimliği

    CVE-2013-5187: Michael Kisor, OrganicOrb.com, Christian Knappskog, NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Ekran Kilidi

    Etki: Otomatik oturum açması olan, hazırda bekletilen Mac uyanmak için parola gerektirmeyebilir

    Açıklama: Hazırda bekletme ve otomatik oturum açma etkinleştirilmiş bir Mac parola istemeden hazırda bekletme modundan uyanabilir. Bu sorun kilidin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-5188: Levi Musters

  • Ekran Paylaşımı Sunucusu

    Etki: Uzak bir saldırgan zorunlu bir kodun yürütülmesine neden olabilir

    Açıklama: Ekran Paylaşımı Sunucusu'nun VNC kullanıcı adını işlemesinde bir biçim dizesi güvenlik açığı vardı.

    CVE kimliği

    CVE-2013-5135: iDefense VCP ile çalışan SilentSignal

  • syslog

    Etki: Konuk kullanıcı önceki Konukların günlük mesajlarını görebilir

    Açıklama: Konuk kullanıcı konsol günlüğünü ve günlükteki önceki Konuk kullanıcı oturumlarına ait mesajları görebiliyordu. Bu sorun Konuk kullanıcıların konsol günlüğünü yalnızca yöneticilerin görebilmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2013-5191: Sven-S. Porst, earthlingsoft

  • USB

    Etki: Kötü amaçlı bir yerel uygulama sistemin beklenmeyen şekilde sonlanmasına neden olabilir

    Açıklama: USB hub denetleyicisi isteklerin bağlantı noktasını ve bağlantı noktası numarasını denetlemedi. Sorun bağlantı noktası ve bağlantı noktası numarası denetimleri eklenerek giderildi.

    CVE kimliği

    CVE-2013-5192: Stefano Bianchi Mazzone, Mattia Pagnozzi ve Aristide Fattori, Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Not: OS X Mavericks'te Safari 6.1'in güvenlik içeriğini bulunduran Safari 7.0 vardır. Ayrıntılı bilgi için "Safari 6.1'in güvenlik içeriği hakkında" başlıklı makaleye bakın: http://support.apple.com/kb/HT6000?viewlocale=tr_TR

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: