Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.
OS X Mavericks 10.9.2 og sikkerhetsoppdatering 2014-001
-
Apache
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Flere sårbarheter i Apache
Beskrivelse: Det var mange sårbarheter i Apache, og den alvorligste kan føre til skripting mellom nettsteder. Disse problemene ble løst ved å oppdatere Apache til versjon 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
App Sandbox
Tilgjengelig for: OS X Mountain Lion v10.8.5
Virkning: App Sandbox kan omgås
Beskrivelse: LaunchServices-grensesnittet for å starte et program tillot at programmer i Sandbox kunne spesifisere argumentlisten som ble overført til den nye prosessen. Et kompromittert program i Sandbox kunne utnytte dette til å omgå Sandbox. Problemet ble løst ved å hindre at programmer i Sandbox spesifiserer argumenter. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.
CVE-ID
CVE-2013-5179: Friedrich Graeter hos The Soulmen GbR
-
ATS
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres
Beskrivelse: Det forelå et problem med ødelagt hukommelse i håndteringen av Type 1-fonter. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1254: Felix Groebert fra Google Security Team
-
ATS
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: App Sandbox kan omgås
Beskrivelse: Det forelå et problem med ødelagt hukommelse i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1262: Meder Kydyraliev i Google Security Team
-
ATS
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: App Sandbox kan omgås
Beskrivelse: Det forelå et problem med vilkårlig ledig hukommelse i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst med ekstra validering av Mach-meldinger.
CVE-ID
CVE-2014-1255: Meder Kydyraliev i Google Security Team
-
ATS
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: App Sandbox kan omgås
Beskrivelse: Det forelå et problem med bufferoverflyt i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst ved ekstra grensekontroll.
CVE-ID
CVE-2014-1256: Meder Kydyraliev i Google Security Team
-
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Rotsertifikater har blitt oppdatert
Beskrivelse: Settet av systemrotsertifikater har blitt oppdatert. Den komplette listen over gjenkjente systemrøtter kan vises via Nøkkelringtilgang-programmet.
-
CFNetwork-informasjonskapsler
Tilgjengelig for: OS X Mountain Lion v10.8.5
Virkning: Øktinformasjonskapsler kan bestå også etter at Safari har blitt nullstilt
Beskrivelse: Nullstilling av Safari slettet ikke øktinformasjonskapsler før Safari ble lukket. Problemet ble løst ved forbedret håndtering av øktinformasjonskapsler. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.
CVE-ID
CVE-2014-1257: Rob Ansaldo ved Amherst College, Graham Bennett
-
CoreAnimation
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med heap-bufferoverflyt i CoreAnimations håndtering av bilder. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1258: Karl Smith i NCC Group
-
CoreText
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: Programmer som bruker CoteText, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var et signedness-problem i CoreText i håndteringen av Unicode-fonter. Dette problemet løses ved forbedret grensekontroll.
CVE-ID
CVE-2014-1261: Lucas Apa og Carlos Mario Penagos ved IOActive Labs
-
curl
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon
Beskrivelse: Ved bruk av curl til å koble til en HTTPS URL med en IP-adresse, ble ikke IP-adressen validert mot sertifikatet. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks v10.9.
CVE-ID
CVE-2014-1263: Roland Moriz i Moriz GmbH
-
Datasikkerhet
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: En angriper med en nettverksposisjon med privilegier kan fange eller endre data i sesjoner beskyttet av SSL/TLS
Beskrivelse: Secure Transport fikk ikke validert forbindelsens ekthet. Problemet ble løst ved å gjenopprette manglende valideringstrinn.
CVE-ID
CVE-2014-1266
-
Dato og klokkeslett
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: En uprivilegert bruker kan endre systemklokken
Beskrivelse: Denne oppdateringen endrer virkemåten til
systemsetup
kommandoen som krever administratorrettigheter for å endre systemklokken.CVE-ID
CVE-2014-1265
-
Filbokmerke
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Visning av en fil med skadelig navn kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av filnavn. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1259
-
Finder
Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1
Virkning: Åpning av en fils ACL via Finder kan føre til at andre brukere får uautorisert tilgang til filer
Beskrivelse: Åpning av en fils ACL via Finder kan ødelegge ACLene som er knyttet til filen. Problemet ble løst ved forbedret håndtering av ACLer.
CVE-ID
CVE-2014-1264
-
ImageIO
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Visning av en skadelig JPEG-fil kan føre til avsløring av hukommelsesinnhold
Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i libjpegs håndtering av JPEG-markører, som førte til avsløring av hukommelsesinnhold. Dette problemet ble løst ved forbedret JPEG-håndtering.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen
Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst ved ekstra grensekontroll. Dette problemet gjelder ikke systemer som kjører OS X Mavericks v10.9 eller nyere.
CVE-ID
CVE-2013-5139: @dent1zt
-
LaunchServices
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Virkning: En fil kunne vise feil filendelse
Beskrivelse: Det var et problem med håndteringen av enkelte Unicode-tegn som kunne tillate at filnavn viste feil filendelser. Problemet ble løst ved å filtrere usikre Unicode-tegn slik at de ikke ble vist i filnavn. Dette problemet gjelder ikke systemer som kjører OS X Mavericks v10.9 eller nyere.
CVE-ID
CVE-2013-5178: Jesse Ruderman hos Mozilla Corporation, Stephane Sudre hos Intego
-
NVIDIA-drivere
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i grafikkortet
Beskrivelse: Det var et problem som tillot skriving til klarert hukommelse på grafikkortet. Dette problemet ble løst ved å fjerne vertens mulighet til å skrive til denne hukommelsen.
CVE-ID
CVE-2013-5986: Marcin Kościelnicki i X.Org Foundation Nouveau-prosjektet
CVE-2013-5987: Marcin Kościelnicki i X.Org Foundation Nouveau-prosjektet
-
PHP
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Flere svakheter i PHP
Beskrivelse: Det var mange sårbarheter i PHP, og den alvorligste kan ha forårsaket kjøring av vilkårlig kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.4.24 for OS X Mavericks v10.9 og 5.3.28 for OS X Lion og Mountain Lion.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
QuickLook
Tilgjengelig for: OS X Mountain Lion v10.8.5
Virkning: Nedlasting av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av en skadelige Microsoft Office-filer kan ha ført til at et program avsluttes uventet eller at vilkårlig kode utføres. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.
CVE-ID
CVE-2014-1260: Felix Groebert fra Google Security Team
-
QuickLook
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Nedlasting av et skadelig Microsoft Word-dokument kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med dobbel frigivelse i QuickLooks håndtering av Microsoft Word-dokumenter. Problemet ble løst ved forbedret håndtering av hukommelsen.
CVE-ID
CVE-2014-1252: Felix Groebert fra Google Security Team
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av "ftab"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1246: En anonym forsker som arbeider med HPs Zero Day Initiative
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av "dref"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1247: Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av "ldat"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1248: Jason Kratzer som arbeider hos iDefense VCP
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Visning av et skadelig PSD-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var en bufferoverflyt i håndteringen av PSD-bilder. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1249: dragonltx i Tencent Security Team
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med byteveksling utenfor grensene i håndteringen av "ttfo"-elementer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1250: Jason Kratzer som arbeider hos iDefense VCP
-
QuickTime
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et signedness-problem i håndteringen av "stsz"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1245: Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative
-
Secure Transport
Tilgjengelig for: OS X Mountain Lion v10.8.5
Virkning: En angriper kan dekryptere data som er beskyttet av SSL
Beskrivelse Det fantes kjente angrep på personlig informasjon beskyttet av SSL 3.0 og TLS 1.0 når en chiffersamling brukte en blokkchiffrering i CBC-modus. For å løse disse problemene for programmer som bruker Secure Transport, ble 1-bytes fragmentforminskelse aktivert som standard for denne konfigurasjonen.
CVE-ID
CVE-2011-3389: Juliano Rizzo og Thai Duong