Uppdateringen kan hämtas och installeras med Programuppdatering eller från Apple-supportwebbplatsen.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.
Obs! OS X Mavericks 10.9.4 innehåller säkerhetsinnehållet i Safari 7.0.5.
OS X Mavericks 10.9.4 och säkerhetsuppdatering 2014-003
Certifierad förtroendepolicy
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/sv-se/HT6005.
copyfile
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Öppning av en uppsåtligt skadlig ZIP-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett out of bounds-byteväxlingsproblem förekom i hanteringen av AppleDouble-filer i ZIP-arkiv. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1370: Chaitanya (SegFault) i samarbete med iDefense VCP
curl
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En fjärrangripare kan få åtkomst till en annan användares session
Beskrivning: cURL återanvände NTLM-anslutningar när fler än en autentiseringsmetod var aktiverad, vilket gjorde att en angripare kunde få åtkomst till en annan användares session.
CVE-ID
CVE-2014-0015
Dock
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Ett program i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett problem med ett ovaliderat array-index förekom i hanteringen av meddelanden från program i Dock. Ett skadligt meddelande kunde orsaka att en ogiltig funktionspekare blev avrefererad vilket kunde leda till oväntad programavslutning eller körning av opålitlig kod.
CVE-ID
CVE-2014-1371: En anonym forskare i samarbete med HP:s Zero Day Initiative
Grafikdrivrutin
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: En lokal användare kan läsa kärnminne, som kan användas för att kringgå kerneladressutrymmets slumpmässiga layout
Beskrivning: Ett out-of-bounds-läsproblem förekom i hanteringen av ett systemanrop. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1372: Ian Beer på Google Project Zero
iBooks Commerce
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En angripare med åtkomst till ett system kan återskapa Apple-ID-uppgifter
Beskrivning: Ett problem förekom i hanteringen av iBooks-loggar. iBooks-processen kunde logga Apple-ID-uppgifter i iBooks-loggen där andra användare i systemet kunde läsa dem. Det här problemet har åtgärdats genom att loggning av uppgifter inte tillåts.
CVE-ID
CVE-2014-1317: Steve Dunham
Intel Graphics-drivrutin
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med validering förekom vid hantering av ett OpenGL API-anrop. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1373: Ian Beer på Google Project Zero
Intel Graphics-drivrutin
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En lokal användare kan läsa en kärnpekare, som kan användas för att kringgå kerneladressutrymmets slumpmässiga layout
Beskrivning: En kärnpekare lagrad i ett IOKit-objekt kunde hämtas från userland. Detta löstes genom borttagning av pekaren från objektet.
CVE-ID
CVE-2014-1375
Intel Compute
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med validering förekom vid hantering av ett OpenCL API-anrop. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1376: Ian Beer på Google Project Zero
IOAcceleratorFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med array-indexering förekom i IOAcceleratorFamily. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1377: Ian Beer på Google Project Zero
IOGraphicsFamily
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En lokal användare kan läsa en kärnpekare, som kan användas för att kringgå kerneladressutrymmets slumpmässiga layout
Beskrivning: En kärnpekare lagrad i ett IOKit-objekt kunde hämtas från userland. Problemet åtgärdades genom användning av ett unikt ID istället för en pekare.
CVE-ID
CVE-2014-1378
IOReporting
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En lokal användare kunde orsaka oväntad omstart av systemet
Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom ytterligare validering av IOKit API-argument.
CVE-ID
CVE-2014-1355: cunzhang från Adlab på Venustech
launchd
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heltalsunderskott förekom i launchd. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1359: Ian Beer på Google Project Zero
launchd
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom vid hantering av IPC-meddelanden i launchd. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1356: Ian Beer på Google Project Zero
launchd
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom vid hantering av loggmeddelanden i launchd. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1357: Ian Beer på Google Project Zero
launchd
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett heltalsspill förekom i launchd. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1358: Ian Beer på Google Project Zero
Grafikdrivrutiner
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Flera problem med nullreferens förekom i kärngrafikdrivrutiner. En skadlig 32-bitars körbar fil kan skaffa sig högre privilegier.
CVE-ID
CVE-2014-1379: Ian Beer på Google Project Zero
Säkerhet – Nyckelring
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: En angripare kan skriva till fönster medan skärmen är låst
Beskrivning: I sällsynta fall påverkades inte tangenttryckningar av att skärmen var låst. Detta kunde göra att en angripare kunde skriva till fönster medan skärmen var låst. Problemet åtgärdades genom förbättrad hantering av tangenttryckningsigenkänningen.
CVE-ID
CVE-2014-1380: Ben Langfeld på Mojo Lingo LLC
Säkerhet – Secure Transport
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3
Effekt: Två byte av minnet kunde avslöjas för en fjärrangripare
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i hanteringen av DTLS-meddelanden i en TLS-anslutning. Problemet åtgärdades genom att endast DTLS-meddelanden accepteras i en DTLS-anslutning.
CVE-ID
CVE-2014-1361: Thijs Alkemade på The Adium Project
Thunderbolt
Tillgänglig för: OS X Mavericks 10.9 till 10.9.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med minnesläsning utanför gränsen förekom i hanteringen av IOThunderBoltController API-anrop. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1381: Sarah även kallad winocm
Uppdaterades 3 februari 2020