关于 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容

本文介绍 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性内容。

这些内容可以通过“软件更新”偏好设置,或从“Apple 下载”下载并安装。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅 Apple 产品安全性网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

OS X Mountain Lion v10.8.5 和安全性更新 2013-004

  • Apache

    适用于:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:Apache 中存在多个漏洞

    说明:Apache 中存在多个漏洞,其中最严重的漏洞可能导致执行跨站点脚本。这些问题已通过将 Apache 更新至 2.2.24 版得到解决。

    CVE-ID

    CVE-2012-0883

    CVE-2012-0883

    CVE-2012-0883

    CVE-2012-4558

  • BIND

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:BIND 中存在多个漏洞

    说明:BIND 中存在多个漏洞,其中最严重的漏洞可能导致拒绝服务。这些问题已通过将 BIND 更新到 9.8.5-P1 版得到解决。CVE-2012-5688 不影响 Mac OS X v10.7 系统。

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5166

    CVE-2013-2266

  • 证书信任策略

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:根证书已经更新

    说明:已将多个证书添加至系统根列表,或从系统根列表删除。已识别的完整系统根列表可以通过“钥匙串访问”应用软件查看。

  • ClamAV

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5

    影响:ClamAV 中存在多个漏洞

    说明:ClamAV 中存在多个漏洞,其中最严重的漏洞可能导致任意代码执行。此更新通过将 ClamAV 更新至 0.97.8 版解决了该问题。

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    适用于:OS X Mountain Lion v10.8 到 v10.8.4

    影响:查看恶意制作的 PDF 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 PDF 文件中 JBIG2 编码的数据时存在缓冲区溢出。此问题已通过额外的边界检查得到解决。

    CVE-ID

    CVE-2013-1025:Google 安全团队的 Felix Groebert

  • ImageIO

    适用于:OS X Mountain Lion v10.8 到 v10.8.4

    影响:查看恶意制作的 PDF 文件可能会导致应用软件意外终止或任意代码执行

    描述:处理 PDF 文件中 JPEG2000 编码的数据时存在缓冲区溢出。此问题已通过额外的边界检查得到解决。

    CVE-ID

    CVE-2013-1026:Google 安全团队的 Felix Groebert

  • 安装器

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:证书吊销后,数据包可能被打开

    说明:当安装程序遇到了已吊销的证书时,它会显示一个带有可继续的选项的对话框。此问题已通过删除对话框并拒绝任何吊销证书的数据包得到解决。

    CVE-ID

    CVE-2013-1027

  • IPSec

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:攻击者可能拦截 IPSec Hybrid Auth 保护的数据

    说明:IPSec Hybrid Auth 服务器的 DNS 名称与证书不匹配,可能导致允许拥有任何服务器证书的攻击者冒充他人。此问题已通过正确检查证书得到解决。

    CVE-ID

    CVE-2013-1028:www.traud.de 的 Alexander Traud

  • 内核

    适用于:OS X Mountain Lion v10.8 到 v10.8.4

    影响:本地网络用户可能导致服务遭拒

    说明:如果内核 IGMP 数据包解析代码中的检查错误,则用户向系统发送 IGMP 数据包时会造成内核崩溃。此问题已通过删除检查得到解决。

    CVE-ID

    CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn

  • 移动设备管理

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:密码可能泄露给其他本地用户

    说明:密码在命令行上传递至 mdmclient,使得其对于相同系统上的其他用户可见。此问题通过使用管道传递密码得到解决。

    CVE-ID

    CVE-2013-1030:哥德堡大学的 Per Olofsson

  • OpenSSL

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:OpenSSL 中存在多个漏洞

    说明:OpenSSL 中存在多个漏洞,其中最严重的漏洞可能会导致用户数据泄露。这些问题已通过将 OpenSSL 更新至 0.9.8y 版得到解决。

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:PHP 中存在多个漏洞

    说明:PHP 中存在多个漏洞,其中最严重的漏洞可能会导致任意代码执行。这些问题已通过将 PHP 更新至 5.3.26 版得到解决。

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:PostgreSQL 中存在多个漏洞

    说明:PostgreSQL 中存在多个漏洞,其中最严重的漏洞可能会导致数据损坏或权限升级。CVE-2013-1901 并不影响 OS X Lion 系统。此更新通过将 OS X Mountain Lion 系统上的 PostgreSQL 更新至 9.1.9 版,以及将 OS X Lion 系统上 PostgreSQL 更新至 9.0.4 版解决了问题。

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • 电源管理

    适用于:OS X Mountain Lion v10.8 到 v10.8.4

    影响:屏幕保护程序在指定时间段后无法开始

    说明:存在电源论断锁定问题。此问题已通过改进锁定处理得到解决。

    CVE-ID

    CVE-2013-1031

  • QuickTime

    适用于:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:查看恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 QuickTime 影片文件中的“idsc”原子时存在内存损坏问题。此问题已通过额外的边界检查得到解决。

    CVE-ID

    CVE-2013-1032:与 iDefense VCP 合作的 Jason Kratzer

  • 屏幕锁定

    适用于:OS X Mountain Lion v10.8 到 v10.8.4

    影响:当其他用户登录时,可以访问共享屏幕的用户可以绕过屏幕锁定

    说明:屏幕锁定处理屏幕共享会话时存在会话管理问题。此问题已通过改进会话跟踪得到解决。

    CVE-ID

    CVE-2013-1033:Atos IT Solutions 的 Jeff Grisso、Sébastien Stormacq

  • sudo

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 到 v10.8.4

    影响:控制管理员用户的帐户的攻击者可以获得根权限而无需知道用户的密码

    说明:通过设置系统时钟,攻击者可以使用 sudo 来获得曾经使用过 sudo 的系统上的根权限。在 OS X 上,只有管理员用户才能更改系统时钟。此问题已通过检查无效的时间戳得到解决。

    CVE-ID

    CVE-2013-1775

 

  • 注:OS X Mountain Lion v10.8.5 也解决了某些 Unicode 字符串可能导致应用软件意外退出的问题。

 

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: