關於 OS X Mountain Lion v10.8.4 和安全性更新 2013-002 的安全性內容

本文件說明 OS X Mountain Lion v10.8.4 和安全性更新 2013-002 的安全性內容,透過「軟體更新」偏好設定或從「Apple 下載項目」可下載並安裝更新。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參照安全關漏洞的進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X Mountain Lion v10.8.4 和安全性更新 2013-002

附註:OS X Mountain Lion v10.8.4 包括 Safari 6.0.5 的內容。如需進一步詳細資訊,請參閱「關於 Safari 6.0.5 的安全性內容」。

  • CFNetwork

    適用於:OS X Mountain Lion v10.8 至 v10.8.3

    影響:即使使用「私密瀏覽」,具有使用者階段存取權的攻擊者仍可以登入先前存取的網站

    說明:即使啟用「私密瀏覽」,結束 Safari 後仍會儲存永久 Cookie。改進 Cookie 處理方式後,已解決此問題。

    CVE-ID

    CVE-2013-0982:www.traud.de 的 Alexander Traud

  • CoreAnimation

    適用於:OS X Mountain Lion v10.8 至 v10.8.3

    影響:瀏覽惡意製作的網站時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理文字字符時,會發生無界限堆疊配置問題。這可能是由 Safari 中惡意製作的 URL 所觸發。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0983:史丹佛大學的 David Fifield、Ben Syverson

  • CoreMedia 播放

    適用於:OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理文字軌時,會發生未初始化記憶體存取問題。對文字軌追加一次驗證程序後,已解決此問題。

    CVE-ID

    CVE-2013-1024:Triemt Corporation 的 Richard Kuo 和 Billy Suguitan

  • CUPS

    適用於:OS X Mountain Lion v10.8 至 v10.8.3

    影響:lpadmin 群組中的本機使用者可能可以使用系統權限讀取或寫入任意檔案

    說明:透過 CUPS Web 介面處理 CUPS 設定時,會發生權限提高問題。lpadmin 群組中的本機使用者可能可以使用系統權限讀取或寫入任意檔案。將特定設定指示詞移至無法透過 CUPS Web 介面修改的 cups-files.conf 後,已解決此問題。

    CVE-ID

    CVE-2012-5519

  • 目錄服務

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影響:在啟用「目錄服務」的系統上,遠端攻擊者可能會使用系統權限執行任意程式碼

    說明:目錄伺服器處理來自網路的訊息時有問題。藉由傳送惡意製作的訊息,遠端攻擊者可能會使用系統權限,導致目錄伺服器終止或執行任意程式碼。改進界限檢查機制後,已解決此問題。此問題不影響 OS X Lion 或 OS X Mountain Lion 系統。

    CVE-ID

    CVE-2013-0984:Core Security 的 Nicolas Economou

  • 磁碟管理

    適用於:OS X Mountain Lion v10.8 至 v10.8.3

    影響:本機使用者可停用 FileVault

    說明:不是管理者的本機使用者可使用指令列停用 FileVault。追加一次驗證後,已解決此問題。

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:攻擊者可能可以將受到 SSL 保護的資料解密

    說明:啟用壓縮時,TLS 1.0 的機密性會受到已知攻擊。停用 OpenSSL 中的壓縮後,已解決此問題。

    CVE-ID

    CVE-2012-4929:Juliano Rizzo 和 Thai Duong

  • OpenSSL

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:OpenSSL 有多個漏洞

    說明:OpenSSL 已更新至 0.9.8x 版來解決多個漏洞,這些漏洞可能導致阻斷服務或專用密鑰外洩。您可以透過 OpenSSL 網站(http://www.openssl.org/news/)取得進一步資訊

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    適用於:OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.2

    影響:開啟惡意製作的 PICT 影像檔,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 PICT 影像時,發生緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0975:與 HP Zero Day Initiative 計劃合作的 Tobias Klein

  • QuickTime

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 enof 檔案時,發生緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0986:與 HP Zero Day Initiative 計劃合作的 Tom Gallagher(Microsoft)和 Paul Bates(Microsoft)

  • QuickTime

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:檢視惡意製作的 QTIF 檔案時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 QTIF 檔案的方法,發生記憶體損毀的問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0987:與 iDefense VCP 合作的 roob

  • QuickTime

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:檢視惡意製作的 FPX 檔案時,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 FPX 檔案時,發生緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0988:與 HP Zero Day Initiative 計劃合作的 G. Geshev

  • QuickTime

    適用於:OS X Mountain Lion v10.8 至 v10.8.3

    影響:播放惡意製作的 MP3 檔案,可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 MP3 檔案時,發生緩衝區溢位。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-0989:與 HP Zero Day Initiative 計劃合作的 G. Geshev

  • Ruby

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8

    影響:Ruby on Rails 有多個漏洞

    說明:Ruby on Rails 存在多個漏洞,最嚴重者可能導致任意程式碼在執行 Ruby on Rails 應用程式的系統上得以執行。將 Ruby on Rails 更新至 2.3.18 版後,已解決這些問題。此問題可能影響從 Mac OS X 10.6.8 或之前版本升級的 OS X Lion 或 OS X Mountain Lion 系統。使用者可以使用 /usr/bin/gem 工具程式,在這類系統上更新受影響的 gem。

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    適用於:OS X Lion v10.7 至 v10.7.5、OS X Lion Server v10.7 至 v10.7.5、OS X Mountain Lion v10.8 至 v10.8.3

    影響:經過驗證的使用者可能可以在共享目錄外寫入檔案

    說明:如果啟用 SMB 檔案共享,經過驗證的使用者可能可以在共享目錄外寫入檔案。改進存取控制機制後,已解決此問題。

    CVE-ID

    CVE-2013-0990:Ward van Wanrooij

  • 附註:自 OS X v10.8.4 開始,從 Internet 下載的 Java Web Start(即 JNLP)應用程式必須使用開發人員 ID 憑證簽署。Gatekeeper 會檢查下載的 Java Web Start 應用程式有無簽章,若未經適當簽署,就會封鎖這類應用程式,使其無法啟動。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: