您可以透過軟體更新偏好設定或從 Apple 下載來下載和安裝這些更新。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
OS X Mountain Lion v10.8.5 和安全性更新 2013-004
Apache
適用於:Mac OS X v10.6.8、Mac OS X Server v10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:Apache 有多個漏洞
說明:Apache 有多個漏洞,最嚴重的漏洞可能導致跨網站指令碼撰寫。將 Apache 更新到版本 2.2.24 即可解決這些問題。
CVE-ID
CVE-2012-0883
CVE-2012-2687
CVE-2012-3499
CVE-2012-4558
BIND
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:BIND 有多個漏洞
說明:BIND 有多個漏洞,最嚴重者可能導致阻斷服務。將 BIND 更新到版本 9.8.5-P1 即可解決這些問題。CVE-2012-5688 不會影響 Mac OS X v10.7 系統。
CVE-ID
CVE-2012-3817
CVE-2012-4244
CVE-2012-5166
CVE-2012-5688
CVE-2013-2266
憑證信任規則
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:根憑證已更新
說明:已在系統根列表中新增或移除多項憑證。您可以透過「鑰匙圈存取」應用程式檢視已辨識的系統根完整列表。
ClamAV
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5
影響:ClamAV 有多個漏洞
說明:ClamAV 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。此更新將 ClamAV 更新到版本 0.97.8,以解決問題。
CVE-ID
CVE-2013-2020
CVE-2013-2021
CoreGraphics
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 PDF 檔案中的 JBIG2 編碼資料時,會發生緩衝區溢位。追加界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1025:Google 安全小組的 Felix Groebert
ImageIO
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的 PDF 檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 PDF 檔案中的 JPEG2000 編碼資料時,會發生緩衝區溢位。追加界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1026:Google 安全小組的 Felix Groebert
安裝程式
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:憑證撤銷後仍可開啟套件
說明:當安裝程式遇到已撤銷的憑證時,它會顯示對話框以及可繼續的選項。移除對話框並拒絕任何已撤銷的套件後,已解決問題。
CVE-ID
CVE-2013-1027
IPSec
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:攻擊者可攔截受 IPSec 混合式驗證保護的資料
說明:IPSec 混合式驗證伺服器的 DNS 名稱不會與憑證比對,讓持有任何伺服器憑證的攻擊者得以冒充任何人。正確檢查憑證後,已解決此問題。
CVE-ID
CVE-2013-1028:www.traud.de 的 Alexander Traud
核心
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:本機網路使用者可能會導致阻斷服務
說明:針對核心中的 IGMP 封包剖析代碼的檢查不正確,讓使用者能夠傳送 IGMP 封包到系統來導致核心異常。移除檢查後,已解決此問題。
CVE-ID
CVE-2013-1029:PROTECTSTAR INC. 的 Christopher Bohn
行動裝置管理
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:密碼可能會洩漏給其他本機使用者
說明:密碼會透過指令列傳遞到 mdmclient,而讓相同系統上的其他使用者看見。透過管道傳送密碼後,已解決此問題。
CVE-ID
CVE-2013-1030:University of Gothenburg 的 Per Olofsson
OpenSSL
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:OpenSSL 有多個漏洞
說明:OpenSSL 有多個漏洞,最嚴重者可能導致使用者資料外洩。將 OpenSSL 更新到版本 0.9.8y 即可解決這些問題。
CVE-ID
CVE-2012-2686
CVE-2013-0166
CVE-2013-0169
PHP
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:PHP 有多個漏洞
說明:PHP 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。將 PHP 更新到版本 5.3.26 即可解決這些問題。
CVE-ID
CVE-2013-1635
CVE-2013-1643
CVE-2013-1824
CVE-2013-2110
PostgreSQL
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:PostgreSQL 有多個漏洞
說明:PostgreSQL 有多個漏洞,最嚴重者可能導致資料損毀或權限提高。CVE-2013-1901 不會影響 OS X Lion 系統。此更新將 OS X Mountain Lion 系統上的 PostgreSQL 更新到版本 9.1.9,並將 OS X Lion 系統上的版本更新到 9.0.4,已解決問題。
CVE-ID
CVE-2013-1899
CVE-2013-1900
CVE-2013-1901
電源管理
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:螢幕保護程式在過了指定的一段時間後可能無法啟動
說明:存在電源宣告鎖定問題。改良鎖定的處理方式後,已解決此問題。
CVE-ID
CVE-2013-1031
QuickTime
適用於:Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:檢視惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 QuickTime 影片檔案中的 idsc 單元時,存在記憶體損毀問題。追加界限檢查機制後,已解決此問題。
CVE-ID
CVE-2013-1032:與 iDefense VCP 合作的 Jason Kratzer
螢幕鎖定
適用於:OS X Mountain Lion v10.8 至 v10.8.4
影響:具有螢幕共享存取權限的使用者可在其他使用者登入時避開螢幕鎖定
說明:螢幕鎖定在處理螢幕共享作業時,存在作業管理問題。改良作業追蹤功能後,已解決此問題。
CVE-ID
CVE-2013-1033:Atos IT Solutions 的 Jeff Grisso、Sébastien Stormacq
sudo
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8 至 v10.8.4
影響:具有管理者使用者帳號控制權的攻擊者可在不知道使用者密碼的情況下,取得根權限
說明:藉由設定系統時鐘,攻擊者可以在以前使用過 sudo 的系統上使用 sudo 取得根權限。在 OS X 上,只有管理者使用者能夠變更系統時鐘。藉由檢查是否有無效的時間戳記,已解決此問題。
CVE-ID
CVE-2013-1775
附註:OS X Mountain Lion v10.8.5 也解決了某些 Unicode 字串可能導致應用程式意外結束的問題。