Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Päivityksen voi ladata ja asentaa Ohjelmiston päivityksen avulla tai Applen tukisivustolta.
OS X Mavericks 10.9.2 ja suojauspäivitys 2014-001
-
Apache
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Useita haavoittuvuuksia Apachessa.
Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa sivustojenväliseen komentosarjahyökkäykseen. Ongelmat on ratkaistu päivittämällä Apache versioon 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
App Sandbox
Saatavuus: OS X Mountain Lion 10.8.5.
Vaikutus: App Sandbox saatettiin joskus ohittaa.
Kuvaus: Ohjelmien käynnistämiseen käytettävä LaunchServices-liittymä salli eristettyjen ohjelmien määrittää argumentteja, jotka välitettiin uudelle prosessille. Jos eristetty ohjelma oli vaarantunut, se saattoi käyttää eristyksen ohittamista hyväkseen. Ongelma on ratkaistu estämällä eristettyjä ohjelmia määrittämästä argumentteja. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.
CVE-ID
CVE-2013-5179: The Soulmen GbR:n Friedrich Graeter
-
ATS
Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Haitallisen upotetun kirjasimen sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Type 1 -kirjasinten käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1254: Google Security Teamin Felix Groebert
-
ATS
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: App Sandbox saatettiin joskus ohittaa.
Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1262: Google Security Teamin Meder Kydyraliev
-
ATS
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: App Sandbox saatettiin joskus ohittaa.
Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli mielivaltaiseen vapautukseen liittyvä ongelma. Ongelma on ratkaistu Mach-viestien lisätarkistuksella.
CVE-ID
CVE-2014-1255: Google Security Teamin Meder Kydyraliev
-
ATS
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: App Sandbox saatettiin joskus ohittaa.
Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.
CVE-ID
CVE-2014-1256: Google Security Teamin Meder Kydyraliev
-
Varmenteiden luottamuskäytäntö
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Juurivarmenteet on päivitetty.
Kuvaus: Järjestelmän juurivarmenteet on päivitetty. Tunnistettujen järjestelmäjuurten koko luettelon näkee Avainnipun käyttö -ohjelmasta.
-
CFNetwork Cookies
Saatavuus: OS X Mountain Lion 10.8.5.
Vaikutus: Istuntoevästeitä ei joskus poistettu edes Safarin nollaamisen jälkeen.
Kuvaus: Istuntoevästeitä ei joskus poistettu Safarin nollauksen yhteydessä, kunnes Safari suljettiin. Ongelma on ratkaistu parantamalla istuntoevästeiden käsittelyä. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.
CVE-ID
CVE-2014-1257: Amherst Collegen Rob Ansaldo sekä Graham Bennett
-
CoreAnimation
Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Haitallisella sivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: CoreAnimationin tavassa käsitellä kuvia oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1258: NCC Groupin Karl Smith
-
CoreText
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: CoreTextiä käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.
Kuvaus: CoreTextin tavassa käsitellä Unicode-kirjasimia oli etumerkillisyyteen liittyvä ongelma. Tämä ongelma on ratkaistu rajojen parannetun tarkastuksen avulla.
CVE-ID
CVE-2014-1261: IOActive Labsin Lucas Apa ja Carlos Mario Penagos
-
curl
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.
Kuvaus: Kun curlia käytettiin yhteyden muodostamiseen IP-osoitteen sisältävään HTTPS-URL-osoitteeseen, IP-osoitetta ei validoitu varmenteeseen nähden. Tämä ongelma ei koske OS X Mavericks 10.9:ää vanhempia järjestelmiä.
CVE-ID
CVE-2014-1263: Moriz GmbH:n Roland Moriz
-
Tietoturva
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Hyökkääjä, jolla on etuoikeutettu verkkoasema, saattoi saada haltuunsa tai muokata tietoja istunnoissa, jotka on suojattu SSL/TLS:llä.
Kuvaus: Secure Transport epäonnistui yhteyden aitouden validoinnissa. Ongelma on ratkaistu palauttamalla puuttuvat validointivaiheet.
CVE-ID
CVE-2014-1266
-
Päivämäärä ja aika
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Luvaton käyttäjä saattoi muuttaa järjestelmän kelloa.
Kuvaus: Tämä päivitys muuttaa
systemsetup
-komennon toimintaa siten, että järjestelmän kellon muuttamiseen vaaditaan ylläpitäjän oikeudet.CVE-ID
CVE-2014-1265
-
Tiedostokirjanmerkki
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisesti nimetyn tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Tiedostonimien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1259
-
Finder
Saatavuus: OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Tiedoston käyttöoikeusluettelon käyttäminen Finderin kautta saattoi johtaa siihen, että muut käyttäjät saivat luvattoman pääsyn tiedostoihin.
Kuvaus: Tiedoston käyttöoikeusluettelo saattoi vioittua, jos sitä käytettiin Finderin kautta. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden käsittelyä.
CVE-ID
CVE-2014-1264
-
ImageIO
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen JPEG-tiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.
Kuvaus: libjpeg:n tavassa käsitellä JPEG-merkkejä oli alustamattoman muistin käyttöongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu parantamalla JPEG-tiedostojen käsittelyä.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5 ja OS X Mountain Lion 10.8.5.
Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu rajojen lisätarkistuksella. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.
CVE-ID
CVE-2013-5139: @dent1zt
-
LaunchServices
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5 ja OS X Mountain Lion 10.8.5.
Vaikutus: Tiedostolle saatettiin näyttää väärä tarkenne.
Kuvaus: Joidenkin unicode-merkkien käsittelyssä oli ongelma, jonka vuoksi tiedostonimelle saatettiin näyttää väärä tarkenne. Ongelma on ratkaistu estämällä vaarallisten unicode-merkkien näyttäminen tiedostonimissä. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.
CVE-ID
CVE-2013-5178: Mozilla Corporationin Jesse Ruderman ja Integon Stephane Sudre
-
NVIDIA-ohjaimet
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen näytönohjaimessa.
Kuvaus: Järjestelmässä oli ongelma, jonka vuoksi näytönohjaimen luotetun muistin joihinkin osiin pystyi kirjoittamaan. Ongelma on ratkaistu poistamalla isännän kyky kirjoittaa kyseiseen muistiin.
CVE-ID
CVE-2013-5986: X.Org-säätiön Nouveau-hankkeen Marcin Kościelnicki
CVE-2013-5987: X.Org-säätiön Nouveau-hankkeen Marcin Kościelnicki
-
PHP
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: PHP:ssä oli useita haavoittuvuuksia.
Kuvaus: PHP:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.4.24 OS X Mavericks 10.9:ssä ja 5.3.28:aan OS X Lionissa ja Mountain Lionissa.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Pikakatselu
Saatavuus: OS X Mountain Lion 10.8.5.
Vaikutus: Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Pikakatselun tavassa käsitellä Microsoft Office -tiedostoja oli muistin vioittumisongelma. Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.
CVE-ID
CVE-2014-1260: Google Security Teamin Felix Groebert
-
Pikakatselu
Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.
Vaikutus: Haitallisen Microsoft Word -dokumentin lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: Pikakatselun tavassa käsitellä Microsoft Word -dokumentteja oli double free -ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2014-1252: Google Security Teamin Felix Groebert
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: ftab-atomien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1246: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: dref-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1247: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: ldat-atomien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1248: iDefense VCP:n parissa työskentelevä Jason Kratzer
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen PSD-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: PSD-kuvien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1249: Tencent Security Teamin dragonltx
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: ttfo-elementtien käsittelyssä oli muistin ulkopuolisten tavujen vaihtamisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1250: iDefense VCP:n parissa työskentelevä Jason Kratzer
-
QuickTime
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.
Kuvaus: stsz-atomien käsittelyssä oli etumerkillisyyteen liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1245: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates
-
Secure Transport
Saatavuus: OS X Mountain Lion 10.8.5.
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun salausohjelmisto käytti lohkosalausta CBC-tilassa. Ongelmat on ratkaistu Secure Transportia käyttävien ohjelmien osalta ottamalla 1-tavuisen fragmentin estäminen oletusarvoisesti käyttöön tässä kokoonpanossa.
CVE-ID
CVE-2011-3389: Juliano Rizzo ja Thai Duong