Informationen zum Sicherheitsinhalt von OS X Mavericks 10.9.5 und zum Sicherheitsupdate 2014-004

In diesem Dokument wird der Sicherheitsinhalt von OS X Mavericks 10.9.5 und das Sicherheitsupdate 2014-004 beschrieben.

Diese Aktualisierung kann über die Option Softwareupdate oder von der Apple Supportwebsite geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.

Hinweis: OS X Mavericks 10.9.5 umfasst den Sicherheitsinhalt von Safari 7.0.6.

OS X Mavericks 10.9.5 und Sicherheitsupdate 2014-004

  • apache_mod_php

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: diverse Schwachstellen in PHP 5.4.24

    Beschreibung: In PHP 5.4.24 lagen diverse Schwachstellen vor, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen konnte. Dieses Update behebt die Probleme, indem PHP auf die Version 5.4.30 aktualisiert wird.

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung eines Bluetooth-API-Aufrufs trat ein Validierungsproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4390: Ian Beer von Google Project Zero

  • CoreGraphics

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zum unerwarteten Programmabbruch oder zur Offenlegung von Informationen führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien traten Out-of-Bound-Lesevorgänge im Arbeitsspeicher auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • CoreGraphics

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 und OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte es zu einem Ganzzahlüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • Foundation

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein mit NSXMLParser laufendes Programm kann zur Offenlegung von Informationen missbraucht werden.

    Beschreibung: Bei der XML-Verarbeitung durch NSXMLParser trat ein Problem bei einer XML-externen Entität auf. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.

    CVE-ID

    CVE-2014-4374: George Gal von VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Kompilieren nicht vertrauenswürdiger GLSL-Shader kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Im Shader-Compiler trat ein user-space-Pufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: In bestimmten integrierten Grafiktreiberroutinen traten diverse Validierungsprobleme auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4394: Ian Beer von Google Project Zero

    CVE-2014-4395: Ian Beer von Google Project Zero

    CVE-2014-4396: Ian Beer von Google Project Zero

    CVE-2014-4397: Ian Beer von Google Project Zero

    CVE-2014-4398: Ian Beer von Google Project Zero

    CVE-2014-4399: Ian Beer von Google Project Zero

    CVE-2014-4400: Ian Beer von Google Project Zero

    CVE-2014-4401: Ian Beer von Google Project Zero

    CVE-2014-4416: Ian Beer von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung von IOKit-API-Argumenten wurde ein Nullzeiger dereferenziert. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.

    CVE-ID

    CVE-2014-4376: Ian Beer von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung einer IOAcceleratorFamily-Funktion trat ein Problem bei Out-of-Bound-Lesevorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4402: Ian Beer von Google Project Zero

  • IOHIDFamily

    OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein lokaler Benutzer kann Kernel-Zeiger lesen und so die Kernel-ASLR (Address Space Layout Randomization) umgehen.

    Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem bei Out-of-Bound-Lesevorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4379: Ian Beer von Google Project Zero

  • IOKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.

    Beschreibung: Bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten trat ein Validierungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    CVE-2014-4389: Ian Beer von Google Project Zero

    Impact: A malicious application may be able to execute arbitrary code with system privileges

    Description: An integer overflow existed in the handling of IOKit functions. This issue was addressed through improved bounds checking.

    CVE-ID

    CVE-2014-4389 : Ian Beer of Google Project Zero

  • Kernel

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein lokaler Benutzer kann Kernel-Adressen ableiten und so die Kernel-ASLR (Address Space Layout Randomization) umgehen.

    Beschreibung: In manchen Fällen wurde die CPU-GDT (Global Descriptor Table) einer vorhersehbaren Adresse zugewiesen. Dieses Problem wurde dadurch behoben, dass die Global Descriptor Table immer zufälligen Adressen zugewiesen wird.

    CVE-ID

    CVE-2014-4403: Ian Beer von Google Project Zero

  • Libnotify

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Root-Rechten ausführen.

    Beschreibung: In Libnotify trat ein Problem bei Out-of-Bound-Schreibvorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4381: Ian Beer von Google Project Zero

  • OpenSSL

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: diverse Schwachstellen in OpenSSL 0.9.8y, von denen eine zur Ausführung willkürlichen Codes führen kann

    Beschreibung: In OpenSSL 0.9.8y lagen diverse Schwachstellen vor. Dieses Update behebt das Problem, indem OpenSSL auf die Version 0.9.8za aktualisiert wird.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung RLE-kodierter Videodateien trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1391: Fernando Munoz in Zusammenarbeit mit iDefense VCP, Tom Gallagher & Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

  • QT Media Foundation

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten MIDI-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von MIDI-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4350: s3tm3m in Zusammenarbeit mit der HP Zero Day Initiative von HP

  • QT Media Foundation

    Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

    Beschreibung: Bei der Verarbeitung von „dref“-Atomen trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi alias rgod in Zusammenarbeit mit der HP Zero Day Initiative von HP

  • ruby

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Angreifer kann aus der Ferne die Ausführung willkürlichen Codes auslösen.

    Beschreibung: Bei der Verarbeitung prozentkodierter Zeichen in einem URI durch LibYAML trat ein Heap Buffer Overflow auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Update behebt die Probleme durch die Aktualisierung von LibYAML auf die Version 0.1.6

    CVE-ID

    CVE-2014-2525

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: