OS X Mavericks 10.9.2 ve Güvenlik Güncellemesi 2014-001 güvenlik içeriği hakkında

Bu belge, OS X Mavericks 10.9.2 ve Güvenlik Güncellemesi 2014-001'ün güvenlik içeriğini açıklar.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.

OS X Mavericks 10.9.2 ve Güvenlik Güncellemesi 2014-001

  • Apache

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Apache'de birden çok güvenlik açığı

    Açıklama: Apache'de birden çok güvenlik açığı vardı; bunların en ciddi olanı siteler arası betik çalıştırmaya neden olabiliyordu. Bu sorunlar, Apache 2.2.26 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2013-1862

    CVE-2013-1896

  • Uygulama Korumalı Alanı

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

    Etki: Uygulama Korumalı Alanı atlanabilir

    Açıklama: Bir uygulamayı başlatmak için kullanılan LaunchServices arabirimi, korumalı alandaki uygulamaların yeni işleme geçirilecek bağımsız değişkenler listesi belirtmesine izin verdi. Gizliliği ihlal edilen bir korumalı alan uygulaması korumalı alanı atlayabiliyordu. Bu sorun korumalı alanda çalışan uygulamaların bağımsız değişken belirtmesi önlenerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

    CVE kimliği

    CVE-2013-5179: Friedrich Graeter, The Soulmen GbR

  • ATS

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

    Açıklama: Tür 1 fontlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1254: Google Güvenlik Ekibi'nden Felix Groebert

  • ATS

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: Uygulama Korumalı Alanı atlanabilir

    Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1262: Google Güvenlik Ekibi'nden Meder Kydyraliev

  • ATS

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: Uygulama Korumalı Alanı atlanabilir

    Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde rasgele kod yürütülmesine açık olma sorunu vardı. Bu sorun Mach mesajlarına ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-1255: Google Güvenlik Ekibi'nden Meder Kydyraliev

  • ATS

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Uygulama Korumalı Alanı atlanabilir

    Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde bir arabellek taşması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

    CVE kimliği

    CVE-2014-1256: Google Güvenlik Ekibi'nden Meder Kydyraliev

  • Sertifika Güven Politikası

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kök sertifikalar güncellendi

    Açıklama: Sistem kök sertifikaları seti güncellendi. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması yoluyla görüntülenebilir.

  • CFNetwork Çerezleri

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

    Etki: Oturum çerezleri Safari sıfırlandıktan sonra bile kalabiliyor

    Açıklama: Safari'nin sıfırlanması Safari kapatılmadıkça oturum çerezlerinin silinmesini her zaman sağlamıyordu. Bu sorun oturum çerezlerinin işlenmesi iyileştirilerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1257: Amherst College'dan Rob Ansaldo, Graham Bennett

  • CoreAnimation

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir siteyi ziyaret etmek, beklenmedik uygulama sonlandırma veya rastgele kod yürütme sorunlarına yol açabilir

    Açıklama: CoreAnimation'ın görüntüleri işlenmesinde yığın arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1258: NCC Group'tan Karl Smith

  • CoreText

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: CoreText kullanan uygulamalar, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine açık olabilir

    Açıklama: CoreText'in Unicode fontları işlemesinde bir imzalanma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1261: IOActive Labs'den Lucas Apa ve Carlos Mario Penagos

  • curl

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

    Açıklama: IP adresi içeren bir HTTPS URL'ye bağlanmak için cURL kullanıldığında, IP adresi sertifikayla doğrulanamıyordu. Bu sorun OS X Mavericks 10.9 öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1263: Moriz GmbH'den Roland Moriz

  • Veri Güvenliği

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: Ayrıcalıklı bir ağ konumuna sahip bir saldırgan SSL/TLS ile korunan oturumlarda verileri alabilir veya değiştirebilir

    Açıklama: Güvenli Aktarım bağlantının gerçekliğini doğrulayamadı. Bu sorun eksik doğrulama adımları geri yüklenerek giderildi.

    CVE kimliği

    CVE-2014-1266

  • Tarih ve Saat

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Yetkisiz bir kullanıcı sistem saatini değiştirebilir

    Tanım: Bu güncelleme, sistem saatini değiştirmek için

    systemsetup
    komutunu, yönetici yetkileri gerektirecek şekilde değiştirir.

    CVE kimliği

    CVE-2014-1265

  • Dosya Yer İşareti

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir ada sahip bir dosyayı görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Dosya adlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1259

  • Finder

    İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

    Etki: Finder üzerinden dosyanın ACL'sine erişmek diğer kullanıcıların dosyalara yetkisiz erişim olanağı kazanmasına yol açabilir

    Açıklama: Finder üzerinden dosyanın ACL'sine erişmek dosyadaki ACL'leri bozabilir. Bu sorun ACL'lerin işlenmesinin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-1264

  • ImageIO

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek bellek içeriğinin ifşa edilmesine yol açabilir

    Açıklama: JPEG işaretçilerinin libjpeg'inin işlenmesinde, bellek içeriğinin ifşa edilmesine yol açan bir başlatılmamış bellek erişimi sorunu vardı. Bu sorun JPEG daha iyi işlenerek giderildi.

    CVE kimliği

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

    Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun ek sınır denetimi ile giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

    CVE kimliği

    CVE-2013-5139: @dent1zt

  • LaunchServices

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Etki: Dosya yanlış uzantı gösterebiliyordu

    Açıklama: Belirli unicode karakterlerin işlenmesinde dosya adlarının hatalı uzantılar göstermesine neden olabilen bir sorun vardı. Sorun güvenli olmayan unicode karakterleri dosya adlarında gösterilmeyecek şekilde filtrelenerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

    CVE kimliği

    CVE-2013-5178: Mozilla Corporation'dan Jesse Ruderman, Intego'dan Stephane Sudre

  • NVIDIA Sürücüleri

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlı bir uygulamanın çalıştırılması grafik kartında rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: Grafik kartındaki bazı güvenilir bellek kısımlarına yazmaya izin veren bir sorun vardı. Bu sorun ana bilgisayarın bu belleğe yazma yeteneği kaldırılarak giderildi.

    CVE kimliği

    CVE-2013-5986: X.Org Foundation Nouveau projesinden Marcin Kościelnicki

    CVE-2013-5987: X.Org Foundation Nouveau projesinden Marcin Kościelnicki

  • PHP

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: PHP'de birden çok güvenlik açığı

    Açıklama: PHP'de birden çok güvenlik açığı vardı; bunların en ciddi olanı rasgele kod yürütülmesine neden olabiliyordu. Bu sorunlar PHP sürümü OS X Mavericks 10.9'da 5.4.24'e, OS X Lion ve Mountain Lion'da ise 5.3.28'e yükseltilerek giderildi.

    CVE kimliği

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickLook'ta Microsoft Office dosyalarının işlenmesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabiliyordu. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1260: Google Güvenlik Ekibi'nden Felix Groebert

  • QuickLook

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Word dosyasını indirmek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickLook'ta Microsoft Word belgelerinin işlenmesinde double free sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2014-1252: Google Güvenlik Ekibi'nden Felix Groebert

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 'ftab' atomlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1246: HP Zero Day Initiative için çalışan anonim bir araştırmacı

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 'dref' atomlarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1247: HP Zero Day Initiative için çalışan Tom Gallagher ve Paul Bates

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 'ldat' atomlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1248: iDefense VCP'de çalışan Jason Kratzer

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir PSD görüntüsünü görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PSD görüntülerinin işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1249: Tencent Security Team'den dragonltx

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 'ttfo' öğelerinin işlenmesinde bir sınırlar dışında bayt değiş tokuşu sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1250: iDefense VCP'de çalışan Jason Kratzer

  • QuickTime

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 'stsz' atomlarının işlenmesinde bir imzalama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1245: HP Zero Day Initiative için çalışan Tom Gallagher ve Paul Bates

  • Güvenli Aktarım

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: Bir cipher suite CBC modunda bir block cipher kullandığında, SSL 3.0 ve TLS 1.0'ın gizliliğine yönelik bilinen saldırılar vardı. Güvenli Aktarım kullanan uygulamalarda bu sorunu gidermek için, bu yapılandırmada 1 baytlık parça azaltma varsayılan olarak etkinleştirildi.

    CVE kimliği

    CVE-2011-3389: Juliano Rizzo ve Thai Duong

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: