關於 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容
本文說明 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容。
這些內容可透過「軟體更新」偏好設定,或是從 Apple「下載項目」下載並安裝。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱 Apple 安全性更新。
OS X Mountain Lion v10.8.5 和安全性更新 2013-004
Apache
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:Apache 出現多個漏洞
說明:Apache 出現多個漏洞,最嚴重者可能導致跨網站工序指令問題。將 Apache 更新至版本 2.2.24 後,已解決這些問題。
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
Bind
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:BIND 出現多個漏洞
說明:BIND 出現多個漏洞,最嚴重者可能導致阻斷服務。將 BIND 更新至版本 9.8.5-P1 後,已解決這些問題。CVE-2012-5688 不影響 Mac OS X v10.7 系統。
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
Certificate Trust Policy
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:根憑證經過更新
說明:系統根列表已加入或移除多個憑證。可透過「鑰匙圈存取」應用程式查看已辨識出的系統根完整列表。
ClamAV
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5
影響:ClamAV 出現多個漏洞
說明:ClamAV 出現多個漏洞,最嚴重者可能導致執行任意程式碼。此更新將 ClamAV 更新至版本 0.97.8 後,已解決此問題。
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或執行任意程式碼
說明:在 PDF 檔案中處理 JBIG2 編碼資料時,出現緩衝區溢位。新增界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1025:Google Security Team 的 Felix Groebert
ImageIO
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或執行任意程式碼
說明:在 PDF 檔案中處理 JPEG2000 編碼資料時,出現緩衝區溢位。新增界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1026:Google Security Team 的 Felix Groebert
Installer
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:憑證撤銷後,套件可能會被開啟
說明:安裝程式遇到撤銷的憑證時,會提供含繼續執行選項的對話框。移除對話框並拒絕任何撤銷的套件後,已解決此問題。
CVE-ID
CVE-2013-1027
IPSec
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:攻擊者可能攔截受 IPSec Hybrid Auth 保護的資料
說明:IPSec Hybrid Auth 伺服器的 DNS 名稱並未與憑證進行比對,而讓任何伺服器的具憑證攻擊者得以假冒其他任何伺服器。確切檢查憑證後,已解決此問題。
CVE-ID
CVE-2013-1028:www.traud.de 的 Alexander Traud
Kernel
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:本機網路使用者可能造成阻斷服務
說明:核心中的 IGMP 封包剖析程式碼出現不正確的檢查,導致可傳送 IGMP 封包的使用者得以造成核心異常。移除該檢查後,已解決此問題。
CVE-ID
CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn
Mobile Device Management
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:密碼可能洩漏給其他本機使用者
說明:命令列上的密碼可能傳送給 mdmclient,而使得相同系統上的其他使用者能夠看見。透過管道來傳達密碼後,已解決此問題。
CVE-ID
CVE-2013-1030:哥德堡大學的 Per Olofsson
OpenSSL
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:OpenSSL 出現多個漏洞
說明:OpenSSL 出現多個漏洞,最嚴重者可能導致使用者資料外洩。將 OpenSSL 更新至版本 0.9.8y 後,已解決這些問題。
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:PHP 出現多個漏洞
說明:PHP 出現多個漏洞,最嚴重者可能導致執行任意程式碼。將 PHP 更新至版本 5.3.26 後,已解決這些問題。
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:PostgreSQL 出現多個漏洞
說明:PostgreSQL 出現多個漏洞,最嚴重者可能導致資料損毀或權限提升。CVE-2013-1901 不影響 OS X Lion 系統。此更新將 OS X Mountain Lion 系統上的 PostgreSQL 更新至 9.1.9 版以及將 OS X Lion 系統上的 PostgreSQL 更新至 9.0.4 版後,已解決問題。
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
Power Management
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:螢幕保護程式在指定的期間過後可能無法啟動
說明:出現電源聲明鎖定問題。改進鎖定處理機制後,已解決此問題。
CVE-ID
CVE-2013-1031
QuickTime
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或執行任意程式碼
說明:處理 QuickTime 影片檔案的 Image Descriptor(IDSC,影像描述元件)原子時,出現記憶體損毀問題。新增界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1032:與 iDefense VCP 合作的 Jason Kratzer
Screen Lock
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:具有螢幕共享存取權限的使用者在其他使用者登入時,可能得以略過螢幕鎖定
說明:螢幕鎖定處理螢幕共享區段時,出現區段管理問題。改進區段追蹤功能後,已解決此問題。
CVE-ID
CVE-2013-1033:Atos IT Solutions 的 Jeff Grisso、Sébastien Stormacq
sudo
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:控制管理使用者帳號的攻擊者,可能不需要知道使用者的密碼,就能取得根權限
說明:藉由設定系統鎖定,攻擊者可能得以使用 sudo,在以前使用過 sudo 的系統上取得根權限。在 OS X 上,只有管理使用者可以變更系統鎖定。檢查是否為無效的時間戳記後,已解決此問題。
CVE-ID
CVE-2013-1775
附註:OS X Mountain Lion v10.8.5 也解決某些 Unicode 字串可能造成應用程式意外結束的問題。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。