關於 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容

本文說明 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容。

您可以透過軟體更新偏好設定或從 Apple 下載來下載和安裝這些更新。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X Mountain Lion v10.8.5 和安全性更新 2013-004

  • Apache

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:Apache 有多個漏洞

    說明:Apache 有多個漏洞,最嚴重的漏洞可能導致跨網站指令碼撰寫。將 Apache 更新到版本 2.2.24 即可解決這些問題。

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • BIND

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:BIND 有多個漏洞

    說明:BIND 有多個漏洞,最嚴重者可能導致阻斷服務。將 BIND 更新到版本 9.8.5-P1 即可解決這些問題。CVE-2012-5688 不會影響 Mac OS X v10.7 系統。

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • 憑證信任規則

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:根憑證已更新

    說明:已在系統根列表中新增或移除多項憑證。您可以透過「鑰匙圈存取」應用程式檢視已辨識的系統根完整列表。

  • ClamAV

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5

    影響:ClamAV 有多個漏洞

    說明:ClamAV 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。此更新將 ClamAV 更新到版本 0.97.8,以解決問題。

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 PDF 檔案中的 JBIG2 編碼資料時,會發生緩衝區溢位。追加界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1025:Google 安全小組的 Felix Groebert

  • ImageIO

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 PDF 檔案中的 JPEG2000 編碼資料時,會發生緩衝區溢位。追加界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1026:Google 安全小組的 Felix Groebert

  • 安裝程式

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:憑證撤銷後仍可開啟套件

    說明:當安裝程式遇到已撤銷的憑證時,它會顯示對話框以及可繼續的選項。移除對話框並拒絕任何已撤銷的套件後,已解決問題。

    CVE-ID

    CVE-2013-1027

  • IPSec

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:攻擊者可攔截受 IPSec 混合式驗證保護的資料

    說明:IPSec 混合式驗證伺服器的 DNS 名稱不會與憑證比對,讓持有任何伺服器憑證的攻擊者得以冒充任何人。正確檢查憑證後,已解決此問題。

    CVE-ID

    CVE-2013-1028:www.traud.de 的 Alexander Traud

  • 核心

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:本機網路使用者可能會導致阻斷服務

    說明:針對核心中的 IGMP 封包剖析代碼的檢查不正確,讓使用者能夠傳送 IGMP 封包到系統來導致核心異常。移除檢查後,已解決此問題。

    CVE-ID

    CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn

  • 行動裝置管理

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:密碼可能會洩漏給其他本機使用者

    說明:密碼會透過指令列傳遞到 mdmclient,而讓相同系統上的其他使用者看見。透過管道傳送密碼後,已解決此問題。

    CVE-ID

    CVE-2013-1030:University of Gothenburg 的 Per Olofsson

  • OpenSSL

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:OpenSSL 有多個漏洞

    說明:OpenSSL 有多個漏洞,最嚴重者可能導致使用者資料外洩。將 OpenSSL 更新到版本 0.9.8y 即可解決這些問題。

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:PHP 有多個漏洞

    說明:PHP 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。將 PHP 更新到版本 5.3.26 即可解決這些問題。

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:PostgreSQL 有多個漏洞

    說明:PostgreSQL 有多個漏洞,最嚴重者可能導致資料損毀或權限提高。CVE-2013-1901 不會影響 OS X Lion 系統。此更新將 OS X Mountain Lion 系統上的 PostgreSQL 更新到版本 9.1.9,並將 OS X Lion 系統上的版本更新到 9.0.4,已解決問題。

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • 電源管理

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:螢幕保護程式在過了指定的一段時間後可能無法啟動

    說明:存在電源宣告鎖定問題。改良鎖定的處理方式後,已解決此問題。

    CVE-ID

    CVE-2013-1031

  • QuickTime

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 QuickTime 影片檔案中的 idsc 單元時,存在記憶體損毀問題。追加界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1032:與 iDefense VCP 合作的 Jason Kratzer

  • 螢幕鎖定

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:具有螢幕共享存取權限的使用者可在其他使用者登入時避開螢幕鎖定

    說明:螢幕鎖定在處理螢幕共享作業時,存在作業管理問題。改良作業追蹤功能後,已解決此問題。

    CVE-ID

    CVE-2013-1033:Atos IT Solutions 的 Jeff Grisso、Sébastien Stormacq

  • sudo

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:具有管理者使用者帳號控制權的攻擊者可在不知道使用者密碼的情況下,取得根權限

    說明:藉由設定系統時鐘,攻擊者可以在以前使用過 sudo 的系統上使用 sudo 取得根權限。在 OS X 上,只有管理者使用者能夠變更系統時鐘。藉由檢查是否有無效的時間戳記,已解決此問題。

    CVE-ID

    CVE-2013-1775

 

  • 附註:OS X Mountain Lion v10.8.5 也解決了某些 Unicode 字串可能導致應用程式意外結束的問題。

 

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: