关于 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容

本文介绍了 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容。

这一版本和更新可通过“软件更新”偏好设置或 Apple 下载进行下载和安装。

为保护我们的客户，在未进行详尽调查并推出必要的修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。要进一步了解 Apple 产品安全性，请参阅“Apple 产品安全性”网站。

如需了解 Apple 产品安全性 PGP 密钥，请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

在可能的情况下，我们会使用 CVE ID 来引用相应的漏洞以提供更多信息。

要了解其他安全性更新，请参阅“Apple 安全性更新”。

OS X Mountain Lion v10.8.5 和安全性更新 2013-004

• Apache

  适用于：Mac OS X v10.6.8、Mac OS X 服务器 v10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：Apache 中存在多个漏洞

  描述：Apache 中存在多个漏洞，其中最严重的漏洞可能会导致跨站点脚本问题。已通过将 Apache 更新至 2.2.24 版解决这些问题。

  CVE-ID

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  适用于：OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：BIND 中存在多个漏洞

  描述：BIND 中存在多个漏洞，其中最严重的漏洞可能会导致服务遭拒。已通过将 BIND 更新至 9.8.5-P1 版解决这些问题。CVE-2012-5688 不会影响 Mac OS X v10.7 系统。

  CVE-ID

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：根证书已更新

  描述：已在系统根列表中添加或移除了多个证书。可通过“钥匙串访问”应用程序来查看已识别的系统根的完整列表。

• ClamAV

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5

  影响：ClamAV 中存在多个漏洞

  描述：ClamAV 中存在多个漏洞，其中最严重的漏洞可能会导致任意代码执行。这一更新通过将 ClamAV 更新至 0.97.8 版，解决了这些问题。

  CVE-ID

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  适用于：OS X Mountain Lion v10.8 至 v10.8.4

  影响：查看恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 PDF 文件中 JBIG2 编码的数据时存在缓冲区溢出问题。已通过额外的边界检查解决这个问题。

  CVE-ID

  CVE-2013-1025：Google Security Team 的 Felix Groebert

• ImageIO

  适用于：OS X Mountain Lion v10.8 至 v10.8.4

  影响：查看恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 PDF 文件中 JPEG2000 编码的数据时存在缓冲区溢出问题。已通过额外的边界检查解决这个问题。

  CVE-ID

  CVE-2013-1026：Google Security Team 的 Felix Groebert

• Installer

  适用于：OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：证书撤销后，数据包可能会被打开

  描述：安装器在遇到已撤销的证书时会显示一个对话框，其中包含一个用于继续的选项。已通过移除相应对话框并拒绝任何被撤销的数据包解决这个问题。

  CVE-ID

  CVE-2013-1027

• IPSec

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：攻击者或许能够拦截受到 IPSec Hybrid Auth 保护的数据

  描述：IPSec Hybrid Auth 服务器的 DNS 名称与证书不匹配，导致攻击者在拥有任一服务器的证书时可以假冒任何其他服务器。已通过正确检查证书解决这个问题。

  CVE-ID

  CVE-2013-1028：www.traud.de 的 Alexander Traud

• Kernel

  适用于：OS X Mountain Lion v10.8 至 v10.8.4

  影响：本地网络用户可能会导致服务遭拒

  描述：内核 IGMP 数据包解析代码中存在一项错误的检查，使得可向系统发送 IGMP 数据包的用户能够导致内核崩溃。已通过移除这项检查解决这个问题。

  CVE-ID

  CVE-2013-1029：PROTECTSTAR INC. 的 Christopher Bohn

• Mobile Device Management

  适用于：OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：密码可能会泄露给其他本地用户

  描述：密码在命令行上传递至 mdmclient，从而使同一系统上的其他用户能够看到密码。已通过使用管道来传递密码解决这个问题。

  CVE-ID

  CVE-2013-1030：哥德堡大学的 Per Olofsson

• OpenSSL

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：OpenSSL 中存在多个漏洞

  描述：OpenSSL 中存在多个漏洞，其中最严重的漏洞可能会导致用户数据泄露。已通过将 OpenSSL 更新至 0.9.8y 版解决这些问题。

  CVE-ID

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：PHP 中存在多个漏洞

  描述：PHP 中存在多个漏洞，其中最严重的漏洞可能会导致任意代码执行。已通过将 PHP 更新至 5.3.26 版解决这些问题。

  CVE-ID

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  适用于：OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：PostgreSQL 中存在多个漏洞

  描述：PostgreSQL 中存在多个漏洞，其中最严重的漏洞可能会导致数据损坏或权限升级。CVE-2013-1901 不会影响 OS X Lion 系统。这一更新通过将 OS X Mountain Lion 系统上的 PostgreSQL 更新至 9.1.9 版以及将 OS X Lion 系统上的 PostgreSQL 更新至 9.0.4 版，解决了这些问题。

  CVE-ID

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  适用于：OS X Mountain Lion v10.8 至 v10.8.4

  影响：屏幕保护程序在指定的时限过后可能无法启动

  描述：存在电源断言锁定问题。已通过改进锁定处理解决这个问题。

  CVE-ID

  CVE-2013-1031

• QuickTime

  适用于：Mac OS X 10.6.8、Mac OS X 服务器 10.6.8、OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：查看恶意制作的影片文件可能会导致应用程序意外终止或任意代码执行

  描述：处理 QuickTime 影片文件中的“idsc”原子时存在内存损坏问题。已通过额外的边界检查解决这个问题。

  CVE-ID

  CVE-2013-1032：Jason Kratzer 与 iDefense VCP 合作发现

• Screen Lock

  适用于：OS X Mountain Lion v10.8 至 v10.8.4

  影响：在一个用户登录后，拥有屏幕共享访问权限的另一个用户或许能够绕过屏幕锁定

  描述：屏幕锁定在处理屏幕共享会话时存在会话管理问题。已通过改进会话跟踪解决这个问题。

  CVE-ID

  CVE-2013-1033：Sébastien Stormacq、Atos IT Solutions 的 Jeff Grisso

• sudo

  适用于：OS X Lion v10.7.5、OS X Lion 服务器 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

  影响：已控制管理员用户账户的攻击者或许能够在不知道用户密码的情况下获得根权限

  描述：通过设置系统时钟，攻击者或许能够使用 sudo 来获得之前曾使用过 sudo 的系统上的根权限。在 OS X 上，只有管理员用户才能更改系统时钟。已通过检查有没有无效的时间戳解决这个问题。

  CVE-ID

  CVE-2013-1775

• 注：OS X Mountain Lion v10.8.5 还解决了某些 Unicode 字符串可能会导致应用程序意外退出的问题。