Om säkerhetsinnehållet i OS X Mavericks v10.9.5 och säkerhetsuppdateringen 2014-004
Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks v10.9.5 och säkerhetsuppdateringen 2014-004.
Den här uppdateringen kan hämtas och installeras med Programuppdatering eller från webbplatsen för Apple-supporten.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
Obs! OS X Mavericks v10.9.5 innehåller säkerhetsinnehållet i Safari 7.0.6.
OS X Mavericks v10.9.5 och säkerhetsuppdatering 2014-004
apache_mod_php
Tillgänglig för: OS X Mavericks v10.9 till v10.9.4
Effekt: Flera sårbarheter i PHP 5.4.24
Beskrivning: Flera sårbarheter fanns i PHP 5.4.24, av vilka den allvarligaste kan ha lett till körning av opålitlig kod. Denna uppdatering åtgärdar problemen genom att uppdatera PHP till versionen 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Ett valideringsfel fanns vid hanteringen av ett Bluetooth API-anrop. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4390: Ian Beer på Google Project Zero
CoreGraphics
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: Att öppna en PDF-fil skapad med skadligt uppsåt kan leda till att programmet avslutas oväntat eller att information avslöjas
Beskrivning: Det fanns minnesläsning utanför gränserna vid hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet
CoreGraphics
Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Att öppna en PDF-fil skapad med skadligt uppsåt kan leda till att programmet avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det förekom ett heltalsspill vid hantering av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet
Foundation
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program som använder NSXMLParser kan eventuellt missbrukas för att avslöja information
Beskrivning: Ett problem med extern XML-entitet förekom vid hantering av XML med NSXMLParser. Problemet åtgärdades genom att externa entiteter inte läses in mellan olika ursprung.
CVE-ID
CVE-2014-4374: George Gal på VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Kompilering av obetrodda GLSL-shaders kan leda till att programmet avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det förekom ett buffertspill för användarutrymme i shader-kompilatorn. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Flera valideringsfel fanns i vissa integrerade grafikdrivrutiner. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4394: Ian Beer på Google Project Zero
CVE-2014-4395: Ian Beer på Google Project Zero
CVE-2014-4396: Ian Beer på Google Project Zero
CVE-2014-4397: Ian Beer på Google Project Zero
CVE-2014-4398: Ian Beer på Google Project Zero
CVE-2014-4399: Ian Beer på Google Project Zero
CVE-2014-4400: Ian Beer på Google Project Zero
CVE-2014-4401: Ian Beer på Google Project Zero
CVE-2014-4416: Ian Beer på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Det fanns problem med en nullpekarreferens vid hanteringen av IOKit API-argument. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.
CVE-ID
CVE-2014-4376: Ian Beer på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hanteringen av en IOAcceleratorFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4402: Ian Beer på Google Project Zero
IOHIDFamily
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: En lokal användare kan läsa kernelpekare, vilket kan användas för att kringgå randomisering av kerneladressutrymmets layout
Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4379: Ian Beer på Google Project Zero
IOKit
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Det förekom ett valideringsproblem vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter
Beskrivning: Det förekom ett heltalsspill vid hanteringen av IOKit-funktioner. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4389: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: En lokal användare kan gissa kerneladresser och kringgå randomiseringen av kerneladressutrymmets layout
Beskrivning: I vissa fall tilldelades CPU Global Descriptor-tabellen till en förutsägbar adress. Detta problem åtgärdades genom att alltid tilldela Global Descriptor-tabellen till slumpmässiga adresser.
CVE-ID
CVE-2014-4403: Ian Beer på Google Project Zero
Libnotify
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med rotbehörigheter
Beskrivning: Ett problem med skrivning utanför gränserna fanns i Libnotify. Det här problemet åtgärdades genom förbättrad gränskontroll
CVE-ID
CVE-2014-4381: Ian Beer på Google Project Zero
OpenSSL
Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Flera sårbarheter i OpenSSL 0.9.8y, inklusive en sårbarhet som kan leda till körning av opålitlig kod
Beskrivning: Det fanns flera sårbarheter i OpenSSL 0.9.8y. Denna uppdatering åtgärdades genom att uppdatera OpenSSL till version 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Uppspelning av en skadligt skapad filmfil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett problem med minnesfel förekom vid hantering av RLE-kodade filmfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-1391: Fernando Munoz som arbetar med iDefense VCP, Tom Gallagher och Paul Bates som arbetar med HP's Zero Day Initiative
QT Media Foundation
Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till 10.9.4
Effekt: Uppspelning av en skadligt skapad MIDI-fil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det förekom ett buffertspill vid hantering av MIDI-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4350: s3tm3m som arbetar med HP's Zero Day Initiative
QuickTime
Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4
Effekt: Uppspelning av en skadligt skapad filmfil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det förekom ett problem med minnesfel vid hantering av 'mvhd'-atomer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aka rgod som arbetar med HP's Zero Day Initiative
ruby
Tillgängligt för: OS X Mavericks v10.9 till v10.9.4
Effekt: En fjärrangripare kan eventuellt orsaka körning av opålitlig kod
Beskrivning: Det förekom ett heap-buffertspill vid LibYAML:s hantering av procentkodade tecken i en URI. Problemet åtgärdades med förbättrad kontroll av gränserna. Den här uppdateringen åtgärdar problemen genom att uppdatera LibYAML till version 0.1.6
CVE-ID
CVE-2014-2525
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.