Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi edinmek için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
Not: OS X Mavericks 10.9.4, Safari 7.0.5'in güvenlik içeriğini içerir.
OS X Mavericks 10.9.4 ve Güvenlik Güncellemesi 2014-003
Sertifika Güven Politikası
İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Sertifika güven politikasında güncelleme
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi https://support.apple.com/tr-tr/HT6005 adresindeki makalede verilmiştir.
copyfile
İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlarla oluşturulmuş bir sıkıştırılmış dosyayı açmak, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Sıkıştırılmış arşivlerdeki AppleDouble dosyalarının işlenmesinde bir sınırlar dışında bayt değişimi sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1370: iDefense VCP ile çalışan Chaitanya (SegFault)
curl
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Bir uzak saldırgan başka bir kullanıcının oturumuna erişim sağlayabilir
Açıklama: Birden fazla kimlik doğrulama yöntemi etkinleştirildiğinde cURL, NTLM bağlantılarını yeniden kullanıyordu ve bu da bir saldırganın başka bir kullanıcının oturumuna erişmesine olanak sağlıyordu.
CVE kimliği
CVE-2014-0015
Dock
İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Korumalı alandaki bir uygulama korumalı alan sınırlamalarını engelleyebilir
Açıklama: Dock'un uygulamalardan gelen mesajları işlemesinde bir doğrulanmamış dize dizini sorunu vardı. Kötü amaçla oluşturulmuş bir mesaj geçersiz bir işlev işaretçisi başvurusuna yol açabiliyor ve bu da uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabiliyordu.
CVE kimliği
CVE-2014-1371: HP Zero Day Initiative için çalışan anonim bir araştırmacı
Grafik Sürücüsü
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Yerel bir kullanıcı bir çekirdek belleği okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir
Açıklama: Bir sistem çağrısının işlenmesinde sınırlar dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1372: Google Project Zero'dan Ian Beer
iBooks Satın Alma
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etkisi: Sisteme erişimi olan bir saldırgan Apple Kimliği bilgilerini geri alabilir
Açıklama: iBooks günlüklerinin işlenmesinde bir sorun vardı. iBooks işlemi Apple Kimliği bilgilerini iBooks günlüğüne kaydedebiliyor, bu da sistemin diğer kullanıcılarının bu bilgileri okumasına olanak sağlayabiliyordu. Bu sorun kimlik bilgilerinin günlüğe kaydedilmesine izin verilmeyerek giderildi.
CVE kimliği
CVE-2014-1317: Steve Dunham
Intel Grafik Sürücüsü
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir OpenGL API çağrısının işlenmesinde bir doğrulama sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1373: Google Project Zero'dan Ian Beer
Intel Grafik Sürücüsü
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir
Açıklama: Bir IOKit nesnesinde depolanan bir çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun nesneden işaretçi kaldırılarak giderildi.
CVE kimliği
CVE-2014-1375
Intel İşlemci
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir OpenCL API çağrısının işlenmesinde doğrulama sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1376: Google Project Zero'dan Ian Beer
IOAcceleratorFamily
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily bileşeninde dize dizini sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1377: Google Project Zero'dan Ian Beer
IOGraphicsFamily
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir
Açıklama: Bir IOKit nesnesinde depolanan bir çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun işaretçi yerine bir benzersiz kimlik kullanılarak giderildi.
CVE kimliği
CVE-2014-1378
IOReporting
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Yerel kullanıcı sistemin beklenmedik bir biçimde yeniden başlatılmasına neden olabiliyordu
Açıklama: IOKit API bağımsız değişkenlerinde bir null işaretçi dereferansı vardı. Bu sorun IOKit API bağımsız değişkenleri için ek doğrulama yapılmasıyla giderildi.
CVE kimliği
CVE-2014-1355: Venustech Adlab'den cunzhang
launchd
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'de bir tamsayı alt taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1359: Google Project Zero'dan Ian Beer
launchd
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'nin IPC mesajlarını işlemesinde bir yığın arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1356: Google Project Zero'dan Ian Beer
launchd
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'nin günlük mesajlarını işlemesinde bir yığın arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1357: Google Project Zero'dan Ian Beer
launchd
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Launchd'de bir tamsayı taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1358: Google Project Zero'dan Ian Beer
Grafik Sürücüleri
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdek grafik sürücülerde birden çok null başvuru sorunu vardı. Kötü amaçlarla oluşturulmuş bir 32 bit çalıştırılabilir dosyası yükseltilmiş ayrıcalıkları alabiliyordu.
CVE kimliği
CVE-2014-1379: Google Project Zero'dan Ian Beer
Güvenlik - Anahtar Zinciri
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Bir saldırgan ekran kilidi etkinken pencerelere yazabilir
Açıklama: Bazı ender durumlarda ekran kilidi tuş vuruşlarını engellemiyordu. Bu durum bir saldırganın ekran kilidi etkinken pencerelere yazmasına olanak sağlayabiliyordu. Bu sorun tuş vuruşu izleme yönetiminin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-1380: Mojo Lingo LLC'den Ben Langfeld
Güvenlik - Güvenli Aktarım
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3
Etki: Bir uzak saldırgana belleğin iki baytlık kısmı açılabiliyordu
Açıklama: Bir TLS bağlantısında DTLS mesajlarının işlenmesinde ilklendirilmemiş bellek erişimi sorunu vardı. Bu sorun DTLS bağlantılarında yalnızca DTLS mesajları kabul edilerek giderildi.
CVE kimliği
CVE-2014-1361: Adium Projesi'nden Thijs Alkemade
Thunderbolt
İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOThunderBoltController API çağrılarının işlenmesinde sınırların dışında bellek erişimi sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-1381: winocm olarak da bilinen Sarah
Giriş güncellenme tarihi: 3 Şubat 2020