Om sikkerhetsinnholdet i OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004
Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004.
Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra nettstedet for Apple-kundestøtte.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
For å finne ut mer om sikkerhetsoppdateringer går du til }Sikkerhetsoppdateringer fra Apple.
Merk: OS X Mavericks v10.9.5 inkluderer sikkerhetsinnholdet i Safari 7.0.6.
OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004
apache_mod_php
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: Flere sårbarheter i PHP 5.4.24
Beskrivelse: Det fantes flere sårbarheter i PHP 5.4.24. Den mest alvorlige av disse kan ha ført til kjøring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere PHP til versjon 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av et Bluetooth-API-kall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4390: Ian Beer fra Google Project Zero
CoreGraphics
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet programavslutning eller informasjonslekkasje
Beskrivelse: Det var et problem med lesing utenfor minnegrensene i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet
CoreGraphics
Tilgjengelig for OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var en heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT i samarbeid med iSIGHT Partners GVP-programmet
Foundation
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: Et program som bruker NSXMLParser, kan misbrukes for å avsløre informasjon
Beskrivelse: Det var et problem med eksterne XML-objekter i håndteringen av XML i NSXMLParser. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.
CVE-ID
CVE-2014-4374: George Gal fra VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Kompilering av ikke-klarerte GLSL-shaders kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i brukerområdet i shader-kompilatoren. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere valideringsproblemer i noen integrerte grafikkdriverrutiner. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4394: Ian Beer fra Google Project Zero
CVE-2014-4395: Ian Beer fra Google Project Zero
CVE-2014-4396: Ian Beer fra Google Project Zero
CVE-2014-4397: Ian Beer fra Google Project Zero
CVE-2014-4398: Ian Beer fra Google Project Zero
CVE-2014-4399: Ian Beer fra Google Project Zero
CVE-2014-4400: Ian Beer fra Google Project Zero
CVE-2014-4401: Ian Beer fra Google Project Zero
CVE-2014-4416: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det fantes en dereferering av en nullpeker i håndteringen av IOKit-API-argumenter. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.
CVE-ID
CVE-2014-4376: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med lesing utenfor områdegrensene i håndteringen av en IOAcceleratorFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4402: Ian Beer fra Google Project Zero
IOHIDFamily
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: En lokal bruker kan lese kjernepekere, noe som kan brukes til å omgå tilfeldiggjøringen av kjernens adresseromlayout
Beskrivelse: Det var et problem med lesing utenfor områdegrensene i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4379: Ian Beer fra Google Project Zero
IOKit
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4389: Ian Beer fra Google Project Zero
Kernel
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: En lokal bruker kan utlede kjerneadresser og omgå tilfeldiggjøringen av kjernens adresseromlayout
Beskrivelse: I noen tilfeller ble prosessorens globale deskriptortabell allokert på en forutsigbar adresse. Problemet ble løst ved alltid å tildele Global Descriptor Table vilkårlige adresser.
CVE-ID
CVE-2014-4403: Ian Beer fra Google Project Zero
Libnotify
Tilgjengelig for OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan være i stand til å kjøre vilkårlig kode med rotrettigheter
Beskrivelse: Det var et problem med skriving utenfor områdegrensene i Libnotify. Problemet ble løst gjennom forbedret grenseverdikontroll
CVE-ID
CVE-2014-4381: Ian Beer fra Google Project Zero
OpenSSL
Tilgjengelig for OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Flere sårbarheter i OpenSSL 0.9.8y, blant annet en som kan føre til kjøring av vilkårlig kode
Beskrivelse: Det fantes flere sårbarheter i OpenSSL 0.9.8y. Problemet ble løst ved å oppdatere OpenSSL til versjon 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Tilgjengelig for OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig filmfil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med minnekorrupsjon i håndteringen av RLE-kodede filmfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1391: Fernando Munoz i samarbeid med iDefense VCP, Tom Gallagher og Paul Bates i samarbeid med HPs Zero Day Initiative
QT Media Foundation
Tilgjengelig for OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig MIDI-fil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av MIDI-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4350: s3tm3m i samarbeid med HPs Zero Day Initiative
QT Media Foundation
Tilgjengelig for OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig filmfil kan føre til uventet programavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med minnekorrupsjon i håndteringen av «mvhd»-atomene. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aka rgod i samarbeid med HPs Zero Day Initiative
ruby
Tilgjengelig for OS X Mavericks v10.9 til v10.9.4
Virkning: En ekstern angriper kan være i stand til å forårsake kjøring av vilkårlig kode
Beskrivelse: Det fantes en heap-bufferoverflyt i håndteringen av prosent-kodede tegn i URI-er i LibYAML. Problemet ble løst gjennom forbedret grensekontroll. Denne oppdateringen løser problemene ved å oppdatere LibYAML til versjon 0.1.6
CVE-ID
CVE-2014-2525
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.