Tuto aktualizaci si můžete stáhnout a nainstalovat pomocí Aktualizace softwaru nebo z webu podpory společnosti Apple.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Poznámka: OS X Mavericks 10.9.4 obsahuje bezpečnostní obsah Safari 7.0.5.
OS X Mavericks 10.9.4 a bezpečnostní aktualizace 2014-003
Zásady důvěryhodnosti certifikátů
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Aktualizace zásad důvěryhodnosti certifikátů.
Popis: Byly aktualizovány zásady důvěryhodnosti certifikátů. Kompletní seznam certifikátů najdete na http://support.apple.com/cs-cz/HT6005.
copyfile
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Otevření škodlivého souboru ZIP může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů AppleDouble v archivech ZIP docházelo k problému s prohozením bajtů mimo rozsah. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1370 : Chaitanya (SegFault) pracující pro iDefense VCP
curl
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Vzdálený útočník může získat přístup k relaci jiného uživatele.
Popis: Při používání víc než jedné metody ověřování se v cURL opakovaně používala stejná spojení NTLM, což umožňovalo útočníkům získat přístup k relaci jiných uživatelů.
CVE-ID
CVE-2014-0015
Dock
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Aplikace běžící v sandboxu může obejít omezení sandboxu.
Popis: Když Dock zpracovával zprávy z aplikací, docházelo k problému s neověřenými indexy v datových polích. Škodlivá zpráva tak mohla způsobit dereferenci nesprávného ukazatele funkce, což mohlo vést k neočekávanému ukončení aplikace nebo spuštění libovolného kódu.
CVE-ID
CVE-2014-1371 : anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti HP
Ovladač grafiky
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Místní uživatel může číst paměť jádra a může tak obejít náhodné rozvržení adresního prostoru jádra.
Popis: Při zpracovávání systémových volání docházelo k problému se čtením mimo rozsah. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1372 : Ian Beer z Google Project Zero
Nákupy v iBooks
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Útočník s přístupem k systému mohl získat přihlašovací údaje Apple ID.
Popis: Existoval problém při zpracovávání protokolů iBooks. Proces iBooks někdy zaznamenával přihlašovací údaje Apple ID do protokolu iBooks, kde si je mohli přečíst ostatní uživatelé systému. Problém byl vyřešen zakázáním zaznamenávání přihlašovacích údajů.
CVE-ID
CVE-2014-1317 : Steve Dunham
Ovladač grafiky Intel
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Při zpracovávání volání na API OpenGL existoval problém s ověřováním. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1373 : Ian Beer z Google Project Zero
Ovladač grafiky Intel
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Místní uživatel může číst ukazatel jádra a může tak obejít náhodné rozvržení adresního prostoru jádra.
Popis: Z uživatelského prostoru bylo možné načíst ukazatel jádra uložený v objektu IOKit. Problém byl vyřešen odebráním ukazatele z objektu.
CVE-ID
CVE-2014-1375
Intel Compute
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Při zpracovávání volání na API OpenCL existoval problém s ověřováním. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1376 : Ian Beer z Google Project Zero
IOAcceleratorFamily
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: IOAcceleratorFamily obsahovalo problém s indexy datových polí. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1377 : Ian Beer z Google Project Zero
IOGraphicsFamily
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Místní uživatel může číst ukazatel jádra a může tak obejít náhodné rozvržení adresního prostoru jádra.
Popis: Z uživatelského prostoru bylo možné načíst ukazatel jádra uložený v objektu IOKit. Problém byl vyřešen použitím unikátního ID místo ukazatele.
CVE-ID
CVE-2014-1378
IOReporting
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Místní uživatel mohl způsobit neočekávané restartování systému.
Popis: Ve zpracovávání argumentů v IOKit API existoval přístup přes nulový ukazatel. Problém byl vyřešen vylepšením ověřování argumentů IOKit API.
CVE-ID
CVE-2014-1355 : cunzhang z laboratoře Adlab společnosti Venustech
launchd
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: V launchd docházelo k podtečení celých čísel. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1359 : Ian Beer z Google Project Zero
launchd
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Když launchd zpracovával zprávy IPC, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1356 : Ian Beer z Google Project Zero
launchd
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Když launchd zpracovával zprávy protokolu, docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1357 : Ian Beer z Google Project Zero
launchd
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: V launchd docházelo k přetečení celých čísel. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1358 : Ian Beer z Google Project Zero
Ovladač grafické karty
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: V ovladačích grafiky jádra existovalo několik problémů s přístupem přes nulový ukazatel. Škodlivému 32bitovému spouštěcímu souboru se mohlo podařit získat rozšířené pravomoci.
CVE-ID
CVE-2014-1379 : Ian Beer z Google Project Zero
Zabezpečení – svazek klíčů
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Útočník mohl psát do oken chráněných zamčenou obrazovkou.
Popis: Ve vzácných případech zámek obrazovky nebránil psaní na klávesnici. Díky tomu mohl útočník psát do oken chráněných zamčenou obrazovkou. Problém byl vyřešen vylepšením správy sledování klávesových příkazů.
CVE-ID
CVE-2014-1380 : Ben Langfeld z Mojo Lingo LLC
Zabezpečení – bezpečný přenos
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dopad: Dva bajty paměti mohly být odhaleny vzdálenému útočníkovi.
Popis: Při zpracovávání DTLS zpráv v TLS připojení docházelo k problému s neinicializovaným přístupem k paměti. Problém byl vyřešen tím, že nyní jsou u DTLS připojení přijímány pouze DTLS zprávy.
CVE-ID
CVE-2014-1361 : Thijs Alkemade z The Adium Project
Thunderbolt
K dispozici pro: OS X Mavericks 10.9 až 10.9.3
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: Ve zpracování volání na API IOThunderBoltController existoval problému s přístupem k paměti mimo rozsah. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1381 : Sarah alias winocm
Záznam aktualizován 3. února 2020