В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Безопасность продуктов Apple.
Сведения об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Это обновление можно загрузить для последующей установки с помощью функции Обновление ПО или со страницы веб-сайта службы поддержки Apple.
ОС OS X Mavericks 10.9.2 и обновление системы безопасности 2014-001
-
Apache
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Обнаружен ряд уязвимостей веб-сервера Apache.
Описание. В Apache обнаружен ряд уязвимостей, наиболее серьезные из которых могут привести к использованию межсайтовых сценариев. Проблемы устранены путем обновления Apache до версии 2.2.26.
Идентификатор CVE
CVE-2013-1862
CVE-2013-1896
-
«Песочница» для программ
Доступно для ОС OS X Mountain Lion 10.8.5.
Воздействие. Злоумышленник мог обходить «песочницу» для программ.
Описание. Интерфейс LaunchServices для запуска программ разрешал программам в «песочнице» указывать перечень аргументов, получаемых новым процессом. Взломанная программа из «песочницы» могла использовать эту уязвимость, чтобы обойти саму «песочницу». Проблема устранена путем установки запрета указывать аргументы для программ в «песочнице». Эта проблема не затрагивает системы, работающие под управлением ОС OS X Mavericks 10.9 или более поздних версий.
Идентификатор CVE
CVE-2013-5179: Фридрих Гретер (Friedrich Graeter) из компании The Soulmen GbR
-
ATS
Доступно для ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Открытие или загрузка документа, в который встроен вредоносный шрифт, может привести к выполнению произвольного кода.
Описание. При обработке компонентом шрифтов Type 1 возникала проблема, связанная с повреждением памяти. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1254: Феликс Гроберт (Felix Groebert) из подразделения по обеспечению безопасности Google
-
ATS
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Злоумышленник мог обходить «песочницу» для программ.
Описание. При обработке сообщений Mach, передаваемых на ATS, возникала проблема, связанная с повреждением памяти. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1262: Медер Кыдыралиев (Meder Kydyraliev) из подразделения по обеспечению безопасности Google
-
ATS
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Злоумышленник мог обходить «песочницу» для программ.
Описание. При обработке сообщений Mach, передаваемых на ATS, возникала проблема, связанная с выполнением произвольной очистки. Проблема устранена путем дополнительной проверки сообщений Mach.
Идентификатор CVE
CVE-2014-1255: Медер Кыдыралиев (Meder Kydyraliev) из подразделения по обеспечению безопасности Google
-
ATS
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Злоумышленник мог обходить «песочницу» для программ.
Описание. При обработке сообщений Mach, передаваемых на ATS, возникала проблема, связанная с переполнением буфера. Проблема устранена путем дополнительной проверки границ.
Идентификатор CVE
CVE-2014-1256: Медер Кыдыралиев (Meder Kydyraliev) из подразделения по обеспечению безопасности Google
-
Политика доверия к сертификатам
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Обновлены корневые сертификаты.
Описание. Был обновлен комплект системных корневых сертификатов. Полный список распознаваемых корневых сертификатов системы можно посмотреть через программу «Связка ключей».
-
Файлы cookie CFNetwork
Доступно для ОС OS X Mountain Lion 10.8.5.
Воздействие. Файлы cookie определенного сеанса могут сохраняться даже после сброса настроек браузера Safari.
Описание. Удаление файлов cookie сеанса при сбросе настроек браузера Safari происходило не всегда, требовалось закрыть браузер Safari. Проблема устранена путем улучшенной обработки файлов cookie сеанса. Эта проблема не затрагивает системы, работающие под управлением ОС OS X Mavericks 10.9 или более поздних версий.
Идентификатор CVE
CVE-2014-1257: Роб Ансалдо (Rob Ansaldo) из Амхерстского колледжа, Грэм Беннетт (Graham Bennett)
-
CoreAnimation
Доступно для ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Посещение вредоносного веб-сайта может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке изображений в CoreAnimation возникала проблема переполнения буфера в динамической памяти. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1258: Карл Смит (Karl Smith) из компании NCC Group
-
CoreText
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Программы, использующие CoreText, могут неожиданно завершать работу или подвергаться выполнению произвольного кода.
Описание. При обработке шрифтов Юникод возникала проблема, связанная со знаковыми числами. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1261: Лукас Апа (Lucas Apa) и Карлос Марио Пенагос (Carlos Mario Penagos) из компании IOActive Labs
-
curl
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать учетные данные пользователя или другую конфиденциальную информацию.
Описание. При использовании curl для подключения к URL-адресу формата HTTPS с IP-адресом последний не проверялся на соответствие сертификату. Эта проблема не затрагивает системы, предшествующие ОС OS X Mavericks 10.9.
Идентификатор CVE
CVE-2014-1263: Роланд Мориц (Roland Moriz) из компании Moriz GmbH
-
Безопасность данных
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Лицо, производящее атаку и располагающееся в привилегированном участке сети, может перехватывать и изменять данные защищенных сеансов SSL или TLS.
Описание. Протоколу Secure Transport не удавалось проверить подлинность соединения. Проблема устранена путем восстановления недостающих этапов проверки.
Идентификатор CVE
CVE-2014-1266
-
Дата и время
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Пользователь, не имеющий прав, может изменять системные часы.
Описание. Это обновление позволяет изменить алгоритм действий
systemsetup
команды, запрашивая права администратора для изменения системных часов.Идентификатор CVE
CVE-2014-1265
-
Файл закладок
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Просмотр файла с вредоносным именем может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке имен файлов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1259
-
Finder
Доступно для ОС OS X Mavericks 10.9 и 10.9.1.
Воздействие. Просмотр списка контроля доступа к файлу (ACL) через Finder может привести к тому, что другие пользователи получат несанкционированный доступ к файлам.
Описание. Просмотр списка контроля доступа к файлу (ACL) через Finder может привести к повреждению файла. Проблема устранена путем улучшенной обработки списков контроля доступа к файлу (ACL).
Идентификатор CVE
CVE-2014-1264
-
ImageIO
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Просмотр вредоносного файла JPEG может привести к раскрытию содержимого памяти.
Описание. При обработке маркеров JPEG в libjpeg возникала проблема неинициализированного доступа к содержимому памяти, в результате которого раскрывалось содержимое памяти. Проблема устранена путем улучшенной обработки маркеров JPEG.
Идентификатор CVE
CVE-2013-6629: Михал Залевски (Michal Zalewski)
-
IOSerialFamily
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5 и OS X Mountain Lion 10.8.5.
Воздействие. Запуск вредоносной программы может привести к выполнению произвольного кода внутри ядра.
Описание. В драйвере IOSerialFamily выполнялся доступ за пределами массива. Проблема устранена путем дополнительной проверки границ. Эта проблема не затрагивает системы, работающие под управлением ОС OS X Mavericks 10.9 или более поздних версий.
Идентификатор CVE
CVE-2013-5139: пользователь @dent1zt
-
LaunchServices
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5 и OS X Mountain Lion 10.8.5.
Воздействие. Файл мог иметь неправильное расширение.
Описание. При обработке определенных Юникод-символов возникала проблема, которая могла вызвать отображение неправильных расширений в именах файлов. Проблема устранена путем фильтрации и запрета отображения ненадежных Юникод-символов в именах файлов. Эта проблема не затрагивает системы, работающие под управлением ОС OS X Mavericks 10.9 или более поздних версий.
Идентификатор CVE
CVE-2013-5178: Джесс Рудерман (Jesse Ruderman) из корпорации Mozilla, Стефан Судре (Stephane Sudre) из компании Intego
-
Драйверы NVIDIA
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Запуск вредоносной программы мог привести к выполнению произвольного кода внутри графической платы.
Описание. Возникала проблема, в результате которой производилась запись в доверенную память на графической плате. Проблема устранена путем исключения для хоста возможности записи в эту память.
Идентификатор CVE
CVE-2013-5986: Марцин Коśшельницки (Marcin Kościelnicki), участвующий в проекте X.Org Foundation Nouveau
CVE-2013-5987: Марцин Коśшельницки (Marcin Kościelnicki), участвующий в проекте X.Org Foundation Nouveau
-
Язык PHP
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Обнаружен ряд уязвимостей в PHP.
Описание. В PHP обнаружен ряд уязвимостей, наиболее серьезные из которых могут привести к выполнению произвольного кода. Проблема устранена путем обновления РНР до версии 5.4.24 в ОС OS X Mavericks 10.9 и до версии 5.3.28 в ОС OS X Lion и Mountain Lion.
Идентификатор CVE
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Компонент QuickLook
Доступно для ОС OS X Mountain Lion 10.8.5.
Воздействие. Загрузка вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке компонентом QuickLook файлов Microsoft Office возникала проблема повреждения памяти. Загрузка вредоносного файла Microsoft Office может привести к неожиданному завершению работы программы или выполнению произвольного кода. Эта проблема не затрагивает системы, работающие под управлением ОС OS X Mavericks 10.9 или более поздних версий.
Идентификатор CVE
CVE-2014-1260: Феликс Гроберт (Felix Groebert) из подразделения по обеспечению безопасности Google
-
Компонент QuickLook
Доступно для ОС OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Загрузка вредоносного документа Microsoft Word могла привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке документов Microsoft Word возникала проблема двойного освобождения памяти. Проблема устранена путем улучшенного управления памятью.
Идентификатор CVE
CVE-2014-1252: Феликс Гроберт (Felix Groebert) из подразделения по обеспечению безопасности Google
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке атомов ftab возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1246: анонимный исследователь, работающий с компанией HP по программе Zero Day Initiative
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке атомов dref возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1247: Том Галлахер (Tom Gallagher) и Пол Бэйтс (Paul Bates), работающие с компанией HP по программе Zero Day Initiative
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке атомов ldat возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1248: Джейсон Кратцер (Jason Kratzer), сотрудничающий с компанией iDefense по программе VCP
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Просмотр вредоносного файла изображения PSD может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке изображений в формате PSD возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1249: пользователь dragonltx из команды Tencent Security Team
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке элементов ttfo возникала проблема переставления границ памяти. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1250: Джейсон Кратцер (Jason Kratzer), сотрудничающий с компанией iDefense по программе VCP
-
Компонент QuickTime
Доступно для ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 и 10.9.1.
Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке атомов stsz возникала проблема, связанная со знаковыми числами. Проблема устранена путем улучшенной проверки границ памяти.
Идентификатор CVE
CVE-2014-1245: Том Галлахер (Tom Gallagher) и Пол Бэйтс (Paul Bates), работающие с компанией HP по программе Zero Day Initiative
-
Secure Transport
Доступно для ОС OS X Mountain Lion 10.8.5.
Воздействие. Злоумышленник может расшифровать данные, защищенные SSL.
Описание. Существовал ряд известных атак на конфиденциальность SSL 3.0 и TLS 1.0, при которых комплект шифров использовал блочный шифр в режиме CBC. Чтобы решить эту проблему с программами, использующими протокол Secure Transport, для этой конфигурации по умолчанию было включено предотвращение однобайтового фрагмента.
Идентификатор CVE
CVE-2011-3389: Хулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong)