Az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés biztonsági tartalmát ismerteti.

A frissítés a Szoftverfrissítés segítségével, illetve az Apple-támogatás letöltési webhelyéről tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Megjegyzés: Az OS X Mavericks 10.9.5 tartalmazza a Safari 7.0.6 biztonsági változásjegyzékében ismertetett frissítéseket.

Az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés

  • apache_mod_php

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: számos biztonsági rés a PHP 5.4.24-es verziójában.

    Leírás: Többféle biztonsági rés állt fenn a PHP 5.4.24-es verziójában, amelyek közül a legsúlyosabbak tetszőleges kódvégrehajtást idézhettek elő. Ez a frissítés a PHP 5.4.30-as verzióra való frissítéssel szünteti meg a problémát.

    CVE-azonosító

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel egy Bluetooth API-hívás kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4390: Ian Beer (Google Project Zero)

  • CoreGraphics

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.

    Leírás: Határértéken kívüli memóriaolvasási hiba lépett fel a PDF-fájlok kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4378: Felipe Andres Manzano (Binamuse VRT az iSIGHT Partners GVP Program keretében)

  • CoreGraphics

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Előfordulhatott, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Egészszám-túlcsordulás lépett fel a PDF-fájlok kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4377: Felipe Andres Manzano (Binamuse VRT az iSIGHT Partners GVP Program keretében)

  • Foundation

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: Egy NSXMLParsert használó alkalmazást kihasználva információ-közzétételre kerülhetett sor.

    Leírás: Egy külső XML-entitással kapcsolatos probléma állt fenn az NSXMLParser XML-kezelésekor. A probléma kiküszöböléséhez le lett tiltva a külső entitások betöltése az eredeti elemek esetén.

    CVE-azonosító

    CVE-2014-4374: George Gal (VSR, http://www.vsecurity.com/)

  • Intel Graphics Driver

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Nem megbízható GLSL-árnyékolók fordítása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Felhasználói területi puffertúlcsordulás lépett fel az árnyékoló fordítóprogramjában. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több hitelesítési hiba lépett fel némely integrált grafikai illesztő rutinjában. A problémák hatékonyabb határérték-ellenőrzéssel lettek kiküszöbölve.

    CVE-azonosító

    CVE-2014-4394: Ian Beer (Google Project Zero)

    CVE-2014-4395: Ian Beer (Google Project Zero)

    CVE-2014-4396: Ian Beer (Google Project Zero)

    CVE-2014-4397: Ian Beer (Google Project Zero)

    CVE-2014-4398: Ian Beer (Google Project Zero)

    CVE-2014-4399: Ian Beer (Google Project Zero)

    CVE-2014-4400: Ian Beer (Google Project Zero)

    CVE-2014-4401: Ian Beer (Google Project Zero)

    CVE-2014-4416: Ian Beer (Google Project Zero)

  • IOAcceleratorFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Nullmutatós dereferencia állt fenn az IOKit API-argumentumainak kezelése során. A probléma az IOKit API-argumentumok további ellenőrzésével lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4376: Ian Beer (Google Project Zero)

  • IOAcceleratorFamily

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határértéken kívüli olvasási hiba jelentkezett egy IOAcceleratorFamily-függvény kezelése során. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4402: Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: A helyi felhasználók olvasni tudták a kernelmutatókat, aminek következtében meg tudták kerülni a kernel címterület-elrendezésének véletlenszerűsítését.

    Leírás: Határértéken kívüli olvasási hiba jelentkezett egy IOHIDFamily-függvény kezelése során. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4379: Ian Beer (Google Project Zero)

  • IOKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A probléma a metaadatok ellenőrzésének javításával lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4388: @PanguTeam

  • IOKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-túlcsordulás lépett fel az IOKit-függvények kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4389: Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: A helyi felhasználók ki tudták következtetni a kernelcímeket, és meg tudták kerülni a kernel címterület-elrendezésének véletlenszerűsítését.

    Leírás: Egyes esetekben a CPU globális leírótáblája kiszámítható címhez volt hozzárendelve. A problémát úgy sikerült kiküszöbölni, hogy a globális leírótábla mindig véletlenszerű címhez lett hozzárendelve.

    CVE-azonosító

    CVE-2014-4403: Ian Beer (Google Project Zero)

  • Libnotify

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határértéken kívüli írási hiba lépett fel a Libnotify esetében. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve

    CVE-azonosító

    CVE-2014-4381: Ian Beer (Google Project Zero)

  • OpenSSL

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Több biztonsági rés állt fenn az OpenSSL 0.9.8y esetében, amelyek közül egy tetszőleges programkód futtatásához vezethetett.

    Leírás: Több biztonsági rés állt fenn az OpenSSL 0.9.8y esetében. A probléma az OpenSSL 0.9.8za verzióra való frissítésével lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Egy ártó szándékkal létrehozott filmfájl lejátszása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Memóriasérülést okozó probléma lépett fel az RLE-kódolt filmfájlok kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-1391: Fernando Munoz, az iDefense VCP közreműködőjeként, Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QT Media Foundation

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Egy ártó szándékkal létrehozott MIDI-fájl lejátszása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Puffertúlcsordulás lépett fel a MIDI-fájlok kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4350: s3tm3m, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QT Media Foundation

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4

    Érintett terület: Egy ártó szándékkal létrehozott filmfájl lejátszása váratlan alkalmazásleállást vagy tetszőleges kódvégrehajtást okozhatott.

    Leírás: Memóriasérülést okozó probléma lépett fel az „mvhd” atomok kezelésekor. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve.

    CVE-azonosító

    CVE-2014-4979: Andrea Micalizzi (rgod) a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • ruby

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4

    Érintett terület: A távoli támadók tetszőleges kódfuttatást idézhettek elő.

    Leírás: A memóriahalom-puffer túlcsordulása állt fenn a százalékos kódolású karakterek a LibYAML általi kezelésében egy URI-ban. A probléma a határérték-ellenőrzés javítása révén lett kiküszöbölve. A problémák a LibYAML 0.1.6-os verziójára való frissítésével lettek kiküszöbölve.

    CVE-azonosító

    CVE-2014-2525

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: