关于 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容
本文介绍了 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容。
这一版本和更新可通过“软件更新”偏好设置或 Apple 下载进行下载和安装。
为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发布版本之前,Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性,请参阅“Apple 产品安全性”网站。
如需了解 Apple 产品安全性 PGP 密钥,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
在可能的情况下,我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
OS X Mountain Lion v10.8.5 和安全性更新 2013-004
Apache
适用于:Mac OS X v10.6.8、Mac OS X 服务器 v10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:Apache 中存在多个漏洞
描述:Apache 中存在多个漏洞,其中最严重的漏洞可能会导致跨站点脚本问题。已通过将 Apache 更新至 2.2.24 版解决这些问题。
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
适用于:OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:BIND 中存在多个漏洞
描述:BIND 中存在多个漏洞,其中最严重的漏洞可能会导致服务遭拒。已通过将 BIND 更新至 9.8.5-P1 版解决这些问题。CVE-2012-5688 不会影响 Mac OS X v10.7 系统。
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:根证书已更新
描述:已在系统根列表中添加或移除了多个证书。可通过“钥匙串访问”应用程序来查看已识别的系统根的完整列表。
ClamAV
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5
影响:ClamAV 中存在多个漏洞
描述:ClamAV 中存在多个漏洞,其中最严重的漏洞可能会导致任意代码执行。这一更新通过将 ClamAV 更新至 0.97.8 版,解决了这些问题。
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
适用于:OS X Mountain Lion v10.8 至 v10.8.4
影响:查看恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行
描述:处理 PDF 文件中 JBIG2 编码的数据时存在缓冲区溢出问题。已通过额外的边界检查解决这个问题。
CVE-ID
CVE-2013-1025:Google Security Team 的 Felix Groebert
ImageIO
适用于:OS X Mountain Lion v10.8 至 v10.8.4
影响:查看恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行
描述:处理 PDF 文件中 JPEG2000 编码的数据时存在缓冲区溢出问题。已通过额外的边界检查解决这个问题。
CVE-ID
CVE-2013-1026:Google Security Team 的 Felix Groebert
Installer
适用于:OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:证书撤销后,数据包可能会被打开
描述:安装器在遇到已撤销的证书时会显示一个对话框,其中包含一个用于继续的选项。已通过移除相应对话框并拒绝任何被撤销的数据包解决这个问题。
CVE-ID
CVE-2013-1027
IPSec
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:攻击者或许能够拦截受到 IPSec Hybrid Auth 保护的数据
描述:IPSec Hybrid Auth 服务器的 DNS 名称与证书不匹配,导致攻击者在拥有任一服务器的证书时可以假冒任何其他服务器。已通过正确检查证书解决这个问题。
CVE-ID
CVE-2013-1028:www.traud.de 的 Alexander Traud
Kernel
适用于:OS X Mountain Lion v10.8 至 v10.8.4
影响:本地网络用户可能会导致服务遭拒
描述:内核 IGMP 数据包解析代码中存在一项错误的检查,使得可向系统发送 IGMP 数据包的用户能够导致内核崩溃。已通过移除这项检查解决这个问题。
CVE-ID
CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn
Mobile Device Management
适用于:OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:密码可能会泄露给其他本地用户
描述:密码在命令行上传递至 mdmclient,从而使同一系统上的其他用户能够看到密码。已通过使用管道来传递密码解决这个问题。
CVE-ID
CVE-2013-1030:哥德堡大学的 Per Olofsson
OpenSSL
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:OpenSSL 中存在多个漏洞
描述:OpenSSL 中存在多个漏洞,其中最严重的漏洞可能会导致用户数据泄露。已通过将 OpenSSL 更新至 0.9.8y 版解决这些问题。
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:PHP 中存在多个漏洞
描述:PHP 中存在多个漏洞,其中最严重的漏洞可能会导致任意代码执行。已通过将 PHP 更新至 5.3.26 版解决这些问题。
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
适用于:OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:PostgreSQL 中存在多个漏洞
描述:PostgreSQL 中存在多个漏洞,其中最严重的漏洞可能会导致数据损坏或权限升级。CVE-2013-1901 不会影响 OS X Lion 系统。这一更新通过将 OS X Mountain Lion 系统上的 PostgreSQL 更新至 9.1.9 版以及将 OS X Lion 系统上的 PostgreSQL 更新至 9.0.4 版,解决了这些问题。
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
适用于:OS X Mountain Lion v10.8 至 v10.8.4
影响:屏幕保护程序在指定的时限过后可能无法启动
描述:存在电源断言锁定问题。已通过改进锁定处理解决这个问题。
CVE-ID
CVE-2013-1031
QuickTime
适用于:Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行
描述:处理 QuickTime 影片文件中的“idsc”原子时存在内存损坏问题。已通过额外的边界检查解决这个问题。
CVE-ID
CVE-2013-1032:Jason Kratzer 与 iDefense VCP 合作发现
Screen Lock
适用于:OS X Mountain Lion v10.8 至 v10.8.4
影响:在一个用户登录后,拥有屏幕共享访问权限的另一个用户或许能够绕过屏幕锁定
描述:屏幕锁定在处理屏幕共享会话时存在会话管理问题。已通过改进会话跟踪解决这个问题。
CVE-ID
CVE-2013-1033:Sébastien Stormacq、Atos IT Solutions 的 Jeff Grisso
sudo
适用于:OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影响:已控制管理员用户账户的攻击者或许能够在不知道用户密码的情况下获得根权限
描述:通过设置系统时钟,攻击者或许能够使用 sudo 来获得之前曾使用过 sudo 的系统上的根权限。在 OS X 上,只有管理员用户才能更改系统时钟。已通过检查有没有无效的时间戳解决这个问题。
CVE-ID
CVE-2013-1775
注:OS X Mountain Lion v10.8.5 还解决了某些 Unicode 字符串可能会导致应用程序意外退出的问题。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。