Это обновление можно загрузить для последующей установки с помощью функции Обновление ПО или с веб-сайта службы поддержки Apple.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.
Информацию о PGP-ключе безопасности продуктов Apple см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
Примечание. В ОС OS X Mavericks 10.9.4 также устранены проблемы системы безопасности, имеющие отношение к браузеру Safari 7.0.5
ОС OS X Mavericks 10.9.4 и обновление системы безопасности 2014-003
Политика доверия к сертификатам
Целевые продукты: ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие: обновление политики доверия к сертификатам.
Описание. Политика доверия к сертификатам обновлена. Полный список сертификатов см. в статье https://support.apple.com/ru-ru/HT6005.
copyfile
Целевые продукты: ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Открытие вредоносного файла ZIP может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. При обработке файлов AppleDouble из архивов ZIP возникала проблема, связанная с выходом за границы выделенной памяти при перестановке байтов. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1370: Чайтанья (Chaitanya) (SegFault) в сотрудничестве с iDefense в рамках программы VCP
curl
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Удаленный злоумышленник может получить доступ к сеансу другого пользователя.
Описание. При нескольких включенных методах аутентификации с помощью инструмента curl повторно использовались NTLM-соединения. Это могло позволить злоумышленнику получить доступ к сеансу другого пользователя.
Идентификатор CVE
CVE-2014-0015
Панель Dock
Целевые продукты: ОС OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. С помощью программы из песочницы можно обойти ограничения песочницы.
Описание. При обработке на панели Dock сообщений из программ возникала ошибка индекса неподтвержденного массива. Вредоносное сообщение могло привести к разыменованию указателя недействительной функции, что могло вызвать неожиданное завершение работы программы или выполнение произвольного кода.
Идентификатор CVE
CVE-2014-1371: анонимный исследователь в сотрудничестве с HP в рамках программы Zero Day Initiative
Графический драйвер
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Локальный пользователь имеет возможность считывать память ядра, что может использоваться для обхода технологии рандомизации схемы размещения в адресном пространстве ядра.
Описание. При обработке системного вызова возникала проблема чтения за границами выделенной памяти. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1372: Иэн Бир (Ian Beer) из подразделения Google Project Zero
iBooks Commerce
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Злоумышленник с доступом к системе может узнавать учетные данные Apple ID.
Описание. При обработке журналов iBooks возникала проблема. Во время работы в программе iBooks учетные данные Apple ID могли сохраняться в журнал iBooks, где к ним могли получить доступ другие пользователи системы. Проблема устранена путем запрета сохранения учетных данных в журнал.
Идентификатор CVE
CVE-2014-1317: Стив Данам (Steve Dunham)
Графический драйвер Intel
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке вызова через интерфейс API OpenGL возникала проблема проверки. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1373: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Графический драйвер Intel
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Локальный пользователь имеет возможность прочитать указатель ядра, который может быть использован для обхода технологии рандомизации схемы размещения в адресном пространстве ядра.
Описание. Указатель ядра, хранящийся в объекте IOKit, мог быть получен из пространства пользователя. Проблема устранена путем удаления указателя из объекта.
Идентификатор CVE
CVE-2014-1375
Intel Compute
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке вызова через интерфейс API OpenCL возникала проблема проверки. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1376: Иэн Бир (Ian Beer) из подразделения Google Project Zero
IOAcceleratorFamily
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В IOAcceleratorFamily возникала проблема индексации массива. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1377: Иэн Бир (Ian Beer) из подразделения Google Project Zero
IOGraphicsFamily
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Локальный пользователь имеет возможность прочитать указатель ядра, который может быть использован для обхода технологии рандомизации схемы размещения в адресном пространстве ядра.
Описание. Указатель ядра, хранящийся в объекте IOKit, мог быть получен из пространства пользователя. Проблема устранена путем использования уникального идентификатора вместо указателя.
Идентификатор CVE
CVE-2014-1378
IOReporting
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Локальный пользователь мог вызвать неожиданный перезапуск системы.
Описание. При обработке аргументов интерфейса API IOKit возникало разыменование нулевого указателя. Проблема устранена путем дополнительной проверки аргументов интерфейса API IOKit.
Идентификатор CVE
CVE-2014-1355: пользователь cunzhang из подразделения Adlab компании Venustech
launchd
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В системе launchd возникало отрицательное целочисленное переполнение. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1359: Иэн Бир (Ian Beer) из подразделения Google Project Zero
launchd
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке IPC-сообщений в системе launchd возникало переполнение буфера в динамической памяти. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1356: Иэн Бир (Ian Beer) из подразделения Google Project Zero
launchd
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке сообщений из журналов в системе launchd возникало переполнение буфера в динамической памяти. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1357: Иэн Бир (Ian Beer) из подразделения Google Project Zero
launchd
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В системе launchd возникало целочисленное переполнение. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1358: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Графические драйверы
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В графических драйверах ядра возникал ряд проблем, связанных с разыменованием нулевого указателя. С помощью вредоносного 32-разрядного исполняемого файла можно было получить более высокий уровень привилегий.
Идентификатор CVE
CVE-2014-1379: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Безопасность: связка ключей
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Злоумышленник может вводить текст в окнах в режиме блокировки экрана.
Описание. В редких случаях не удавалось предотвратить нажатия клавиш в режиме блокировки экрана. Поэтому злоумышленник мог вводить текст в окнах в режиме блокировки экрана. Проблема устранена путем улучшенного управления алгоритмом наблюдения за нажатиями клавиш.
Идентификатор CVE
CVE-2014-1380: Бен Лэнгфельд (Ben Langfeld) из Mojo Lingo LLC
Безопасность: протокол Secure Transport
Целевые продукты: ОС OS X Mountain Lion 10.8.5 и OS X Mavericks 10.9–10.9.3
Воздействие. Удаленный злоумышленник мог получить доступ к двум байтам памяти.
Описание. При обработке DTLS-сообщений с помощью TLS-соединения возникала проблема доступа к неинициализированной области памяти. Проблема устранена путем приема DTLS-сообщений только через DTLS-соединение.
Идентификатор CVE
CVE-2014-1361: Тийс Алькемад (Thijs Alkemade) в рамках проекта The Adium Project
Thunderbolt
Целевые продукты: ОС OS X Mavericks 10.9–10.9.3
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке вызовов интерфейса API IOThunderBoltController возникала проблема нарушения доступа к памяти. Проблема устранена путем улучшенной проверки границ.
Идентификатор CVE
CVE-2014-1381: пользователь Sarah (winocm)
Запись обновлена 3 февраля 2020 г.