Alleen,is de patch nog niet te downloaden van de Aplle server in Nederland op het moment van schrijven.
Ik download op een Amerikaanse server de combo update 10.8.5 los voor mijn Imac.
Kan ook toch?.

Niet te vergeten ook een Safari en een AirPort Base Station Firmware Update.

-> Safari 5.1.10 voor Mac OS X v10.6.8
met (jawel) een referentie naar Site sponsor & medewerkers Joost Pol and Daan Keuper ("CVE-2012-3748 : Joost Pol and Daan Keuper of Certified Secure working with HP TippingPoint's Zero Day Initiative")

Overzicht Apple Security Updates : https://support.apple.com/kb/HT1222

En verder, betreft het 17 'functionaliteiten' binnen OS X, waarbij er toch nog 7 ook voor het oudere OS X Snow Leopard (10.6) beschikbaar zijn.
Overigens lijkt m.i. het Sudo lek van minder belang dan de verholpen kwetsbaarheden in bijvoorbeeld; Quicktime, Installer, ImageIO & Coregraphics betreffende pdf's met jpg2000, ClamAV, en misschien wel de belangrijkste een update van het Certificate Trust Policy.

Verholpen kwetsbaarheden op een rij : https://support.apple.com/kb/HT5880

Wat betreft de standalone downloads :

Voor Lion - http://support.apple.com/kb/DL1677
Voor Snow Leopard - http://support.apple.com/kb/DL1678
Voor Mountain Lion - zie ik niet op de support pagina's, maar dat kan dan altijd (beter) via je interne directe software update functie.

Opmerkelijke melding bij het volgen van de link "http://www.apple.com/support/downloads/" (op de pagina http://support.apple.com/kb/HT5880) met een redirect naar : https://www.info.apple.com/downloadsredir.html/support/downloads/

"This Connection is Untrusted
..
Technical Details
www.info.apple.com uses an invalid security certificate.

The certificate is only valid for the following names:
*.akamaihd.net , *.akamaihd-staging.net , a248.e.akamai.net

(Error code: ssl_error_bad_cert_domain)"

Voor mountain lion is de Sudo version nu 1.7.4p6a, dus niet de nieuwere 1.8.x versie.
Voor snow leopard is men van versie 1.6.x naar 1.7.0 gegaan. Dus ook niet nieuwer dan strikt noodzakelijk.

Op zich vreemd omdat de Sudo site zelf aangeeft:


Beide nieuwe versies op de macs vallen dus nog steeds in de aangedane versies. Dus moeten we maar aannemen dat Apple de kwetsbaarheid via een andere route gedicht heeft.

@Briolet
Bedoel je niet Lion ipv Snow Leopard?

Ik heb geen Lion, dus het betreft Snow Leopard, wat ik nog op 2 computers heb staan. Ik heb na deze update de versie bekeken met:

sudo -V

De security updates waren er voor alle systemen van vanaf Snow Leopard. Ouder wordt niet meer ondersteund.

Nog eens één en ander opgezocht / uitgezocht, vanaf OS 9.2.2 waar ik deze functionaliteit overigens niet kon vinden (Lang geleden dat ik 9.2.2 gebruikt heb maar eigenlijk een fijn snel systeem op een oud G3'tje!, als je internet kan missen, het kan nog een beetje aardig met Classilla).

OS X

- Op OS 10.2 is reeds Sudo version 1.6.6 te vinden waarmee het dan al binnen de kwetsbaarheden zou vallen.
- 10.3.9. 10.4.11, 10.5.8 specificeer ik hier niet nader (in het kader van security by obscurity).

- 10.6.8 Snow Leopard Sudo versie is Niet geupdated met de laatste security update 2013-004 ten opzichte van 2013-003.
De Sudo versie blijft volgens mij gelijk, dus staan op Sudo version 1.7.0.
Snow leopard staat ook niet vermeld in de nadere specificatie van Apple bij de security update 2013-004, https://support.apple.com/kb/HT5880 (reden waarom ik het nog eens ben gaan nakijken).

- In geval bij Lion 10.7.5 de laatste security update nog niet heeft plaatsgevonden betreft de Sudo versie Sudo version 1.7.4p6 .
Die is dan bijna gelijk aan een geupdate versie voor Mountain Lion 10.8, het verschil zit hem dan in het 'a'-tje, speciale 'A'ppel versie toevoeging?

Interessante vragen die dan overblijven is of eigenlijk alle versies van OS X voor deze kwetsbaarheid kwetsbaar zijn, maar de onderzoekers dit alleen hebben getest onder Lion 10.7 en Mountain Lion 10.8?
Waarom Apple dit niet patcht voor Snow Leopard (eerdere OS X-en hebben geen security support meer), geen prioriteit of niet kwetsbaar?

Evengoed vind ik de heisa hierom groter dan de kans op misbruik daarvan. Dat ligt vermoedelijk toch wat anders bij de andere gepatchte kwetsbaarheden die een veel groter en breder risico voor gebruikers kunnen opleveren.

p.s., wat is het path van de Sudo directory zelf, ik kon hem niet vinden.
Voordat ik er een Sudo update pkg'tje (sudo-1.8.7.pkg, ook zelfs nog voor 10.5 beschikbaar) over heen gooi is het een prettig idee te weten in welke directory de wijzigingen plaatsvinden (ook voor het eventueel ongedaan maken ervan bij mogelijke oneffenheden/calamiteiten).