關於 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容

本文說明 OS X Mountain Lion v10.8.5 和安全性更新 2013-004 的安全性內容。

這些內容可透過「軟體更新」偏好設定,或是從 Apple「下載項目」下載並安裝。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要了解其他安全性更新,請參閱 Apple 安全性更新

OS X Mountain Lion v10.8.5 和安全性更新 2013-004

  • Apache

    適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:Apache 出現多個漏洞

    說明:Apache 出現多個漏洞,最嚴重者可能導致跨網站工序指令問題。將 Apache 更新至版本 2.2.24 後,已解決這些問題。

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:BIND 出現多個漏洞

    說明:BIND 出現多個漏洞,最嚴重者可能導致阻斷服務。將 BIND 更新至版本 9.8.5-P1 後,已解決這些問題。CVE-2012-5688 不影響 Mac OS X v10.7 系統。

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:根憑證經過更新

    說明:系統根列表已加入或移除多個憑證。可透過「鑰匙圈存取」應用程式查看已辨識出的系統根完整列表。

  • ClamAV

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5

    影響:ClamAV 出現多個漏洞

    說明:ClamAV 出現多個漏洞,最嚴重者可能導致執行任意程式碼。此更新將 ClamAV 更新至版本 0.97.8 後,已解決此問題。

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或執行任意程式碼

    說明:在 PDF 檔案中處理 JBIG2 編碼資料時,出現緩衝區溢位。新增界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1025:Google Security Team 的 Felix Groebert

  • ImageIO

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或執行任意程式碼

    說明:在 PDF 檔案中處理 JPEG2000 編碼資料時,出現緩衝區溢位。新增界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1026:Google Security Team 的 Felix Groebert

  • Installer

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:憑證撤銷後,套件可能會被開啟

    說明:安裝程式遇到撤銷的憑證時,會提供含繼續執行選項的對話框。移除對話框並拒絕任何撤銷的套件後,已解決此問題。

    CVE-ID

    CVE-2013-1027

  • IPSec

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:攻擊者可能攔截受 IPSec Hybrid Auth 保護的資料

    說明:IPSec Hybrid Auth 伺服器的 DNS 名稱並未與憑證進行比對,而讓任何伺服器的具憑證攻擊者得以假冒其他任何伺服器。確切檢查憑證後,已解決此問題。

    CVE-ID

    CVE-2013-1028:www.traud.de 的 Alexander Traud

  • Kernel

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:本機網路使用者可能造成阻斷服務

    說明:核心中的 IGMP 封包剖析程式碼出現不正確的檢查,導致可傳送 IGMP 封包的使用者得以造成核心異常。移除該檢查後,已解決此問題。

    CVE-ID

    CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn

  • Mobile Device Management

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:密碼可能洩漏給其他本機使用者

    說明:命令列上的密碼可能傳送給 mdmclient,而使得相同系統上的其他使用者能夠看見。透過管道來傳達密碼後,已解決此問題。

    CVE-ID

    CVE-2013-1030:哥德堡大學的 Per Olofsson

  • OpenSSL

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:OpenSSL 出現多個漏洞

    說明:OpenSSL 出現多個漏洞,最嚴重者可能導致使用者資料外洩。將 OpenSSL 更新至版本 0.9.8y 後,已解決這些問題。

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:PHP 出現多個漏洞

    說明:PHP 出現多個漏洞,最嚴重者可能導致執行任意程式碼。將 PHP 更新至版本 5.3.26 後,已解決這些問題。

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:PostgreSQL 出現多個漏洞

    說明:PostgreSQL 出現多個漏洞,最嚴重者可能導致資料損毀或權限提升。CVE-2013-1901 不影響 OS X Lion 系統。此更新將 OS X Mountain Lion 系統上的 PostgreSQL 更新至 9.1.9 版以及將 OS X Lion 系統上的 PostgreSQL 更新至 9.0.4 版後,已解決問題。

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:螢幕保護程式在指定的期間過後可能無法啟動

    說明:出現電源聲明鎖定問題。改進鎖定處理機制後,已解決此問題。

    CVE-ID

    CVE-2013-1031

  • QuickTime

    適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或執行任意程式碼

    說明:處理 QuickTime 影片檔案的 Image Descriptor(IDSC,影像描述元件)原子時,出現記憶體損毀問題。新增界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2013-1032:與 iDefense VCP 合作的 Jason Kratzer

  • Screen Lock

    適用於:OS X Mountain Lion v10.8 至 v10.8.4

    影響:具有螢幕共享存取權限的使用者在其他使用者登入時,可能得以略過螢幕鎖定

    說明:螢幕鎖定處理螢幕共享區段時,出現區段管理問題。改進區段追蹤功能後,已解決此問題。

    CVE-ID

    CVE-2013-1033:Atos IT Solutions 的 Jeff Grisso、Sébastien Stormacq

  • sudo

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4

    影響:控制管理使用者帳號的攻擊者,可能不需要知道使用者的密碼,就能取得根權限

    說明:藉由設定系統鎖定,攻擊者可能得以使用 sudo,在以前使用過 sudo 的系統上取得根權限。在 OS X 上,只有管理使用者可以變更系統鎖定。檢查是否為無效的時間戳記後,已解決此問題。

    CVE-ID

    CVE-2013-1775

  • 附註:OS X Mountain Lion v10.8.5 也解決某些 Unicode 字串可能造成應用程式意外結束的問題。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: