关于 OS X Mountain Lion v10.8.4 和安全性更新 2013-002 的安全性内容

本文介绍了 OS X Mountain Lion v10.8.4 和安全性更新 2013-002 的安全性内容,您可以通过“软件更新”偏好设置或从 Apple 下载进行下载和安装。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。
 

OS X Mountain Lion v10.8.4 和安全性更新 2013-002

:OS X Mountain Lion v10.8.4 包含 Safari 6.0.5 的内容。有关更多详细信息,请参阅“关于 Safari 6.0.5 的安全性内容”。

  • CFNetwork

    适用于:OS X Mountain Lion v10.8 到 v10.8.3

    影响:即便使用了“秘密浏览”功能,有权访问用户会话的攻击者或许仍能登录之前访问的站点

    说明:退出 Safari 后存储了永久 cookie,即使启用了“秘密浏览”功能也会如此。此问题已通过改进对 cookie 的处理得到解决。

    CVE-ID

    CVE-2013-0982:www.traud.de 的 Alexander Traud

  • CoreAnimation

    适用于:OS X Mountain Lion v10.8 到 v10.8.3

    影响:访问恶意制作的站点可能会导致应用软件意外终止或任意代码执行

    说明:处理文本字形时存在无限堆栈分配问题。Safari 中恶意制作的 URL 可能会触发此问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0983:斯坦福大学的 David Fifield、Ben Syverson

  • CoreMedia 回放

    适用于:OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:查看恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行

    说明:处理文本轨道时存在未初始化的内存访问问题。此问题已通过新增文本轨道验证得到解决。

    CVE-ID

    CVE-2013-1024:Triemt Corporation 的 Richard Kuo 和 Billy Suguitan

  • CUPS

    适用于:OS X Mountain Lion v10.8 到 v10.8.3

    影响:lpadmin 组中的本地用户或许能以系统权限读写任意文件

    说明:通过 CUPS Web 界面处理 CUPS 配置时存在权限升级问题。lpadmin 组中的本地用户或许能以系统权限读写任意文件。此问题已通过将某些配置指令移到 cups-files.conf(无法通过 CUPS Web 界面修改)得到解决。

    CVE-ID

    CVE-2012-5519

  • 目录服务

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影响:远程攻击者可能会在启用“目录服务”的系统上以系统权限执行任意代码

    说明:目录服务器在处理来自网络的信息时存在问题。远程攻击者通过发送恶意制作的信息,可能会导致目录服务器终止或以系统权限执行任意代码。此问题已通过改进边界检查得到解决。此问题不会影响 OS X Lion 或 OS X Mountain Lion 系统。

    CVE-ID

    CVE-2013-0984:Core Security 的 Nicolas Economou

  • 磁盘管理

    适用于:OS X Mountain Lion v10.8 到 v10.8.3

    影响:本地用户可能会停用 FileVault

    说明:非管理员本地用户可能会使用命令行停用 FileVault。此问题已通过添加额外的鉴定得到解决。

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:攻击者或许能够解密受 SSL 保护的数据

    说明:启用压缩功能后存在对 TLS 1.0 保密性的已知攻击。此问题已通过停用 OpenSSL 中的压缩功能得到解决。

    CVE-ID

    CVE-2012-4929:Juliano Rizzo 和 Thai Duong

  • OpenSSL

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:OpenSSL 中存在多个漏洞

    说明:OpenSSL 已更新到 0.9.8x 版以解决多个漏洞,这可能会导致服务遭拒或专用密钥泄露。有关详细信息,请访问 OpenSSL 网站 http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    适用于:OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.2

    影响:打开恶意制作的 PICT 图像可能会导致应用软件意外终止或任意代码执行

    说明:处理 PICT 图像时存在缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0975:与 HP 的 Zero Day Initiative 合作的 Tobias Klein

  • QuickTime

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:查看恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行

    说明:处理“enof”原子时存在缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0986:与 HP 的 Zero Day Initiative 合作的 Tom Gallagher (Microsoft) 和 Paul Bates (Microsoft)

  • QuickTime

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:查看恶意制作的 QTIF 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 QTIF 文件时存在内存损坏问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0987:与 iDefense VCP 合作的 roob

  • QuickTime

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:查看恶意制作的 FPX 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 FPX 文件时存在缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0988:与 HP 的 Zero Day Initiative 合作的 G. Geshev

  • QuickTime

    适用于:OS X Mountain Lion v10.8 到 v10.8.3

    影响:播放恶意制作的 MP3 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 MP3 文件时存在缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-0989:与 HP 的 Zero Day Initiative 合作的 G. Geshev

  • Ruby

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影响:Ruby on Rails 中存在多个漏洞

    说明:Ruby on Rails 中存在多个漏洞,其中最严重的漏洞可能会导致运行 Ruby on Rails 应用软件的系统上任意代码执行。这些问题已通过将 Ruby on Rails 更新至 2.3.18 版得到解决。此问题可能会影响从 Mac OS X 10.6.8 或更低版本升级而来的 OS X Lion 或 OS X Mountain Lion 系统。用户可以使用 /usr/bin/gem 实用工具更新此类系统上受影响的重要应用软件。

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    适用于:OS X Lion v10.7 到 v10.7.5、OS X Lion Server v10.7 到 v10.7.5、OS X Mountain Lion v10.8 到 v10.8.3

    影响:通过鉴定的用户或许能够在共享目录之外写入文件

    说明:如果启用 SMB 文件共享,通过鉴定的用户或许能够在共享目录之外写入文件。此问题已通过改进访问控制得到解决。

    CVE-ID

    CVE-2013-0990:Ward van Wanrooij

  • :从 OS X v10.8.4 开始,通过互联网下载的 Java Web Start(即 JNLP)应用软件需要使用 Developer ID 证书签名。Gatekeeper 将检查下载的 Java Web Start 应用软件是否具有签名,如果未正确签名,将会阻止此类应用软件启动。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: