Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.
Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.
OS X Mavericks 10.9.2 ve Güvenlik Güncellemesi 2014-001
- 

- 

Apache

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Apache'de birden çok güvenlik açığı

Açıklama: Apache'de birden çok güvenlik açığı vardı; bunların en ciddi olanı siteler arası betik çalıştırmaya neden olabiliyordu. Bu sorunlar, Apache 2.2.26 sürümüne güncellenerek giderildi.

CVE kimliği

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Uygulama Korumalı Alanı

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

Etki: Uygulama Korumalı Alanı atlanabilir

Açıklama: Bir uygulamayı başlatmak için kullanılan LaunchServices arabirimi, korumalı alandaki uygulamaların yeni işleme geçirilecek bağımsız değişkenler listesi belirtmesine izin verdi. Gizliliği ihlal edilen bir korumalı alan uygulaması korumalı alanı atlayabiliyordu. Bu sorun korumalı alanda çalışan uygulamaların bağımsız değişken belirtmesi önlenerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

CVE kimliği

CVE-2013-5179: Friedrich Graeter, The Soulmen GbR

 

- 

- 

ATS

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş gömülü font içeren bir belgeyi görüntülemek veya indirmek rastgele kod yürütülmesine neden olabilir

Açıklama: Tür 1 fontlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1254: Google Güvenlik Ekibi'nden Felix Groebert

 

- 

- 

ATS

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: Uygulama Korumalı Alanı atlanabilir

Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1262: Google Güvenlik Ekibi'nden Meder Kydyraliev

 

- 

- 

ATS

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: Uygulama Korumalı Alanı atlanabilir

Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde rasgele kod yürütülmesine açık olma sorunu vardı. Bu sorun Mach mesajlarına ek doğrulama yapılarak giderildi.

CVE kimliği

CVE-2014-1255: Google Güvenlik Ekibi'nden Meder Kydyraliev

 

- 

- 

ATS

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Uygulama Korumalı Alanı atlanabilir

Açıklama: ATS'ye iletilen Mach mesajlarının işlenmesinde bir arabellek taşması sorunu vardı. Bu sorun ek sınır denetimi ile giderildi.

CVE kimliği

CVE-2014-1256: Google Güvenlik Ekibi'nden Meder Kydyraliev

 

- 

- 

Sertifika Güven Politikası

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kök sertifikalar güncellendi

Açıklama: Sistem kök sertifikaları seti güncellendi. Tanınan sistem köklerinin tam listesi Anahtar Zinciri Erişimi uygulaması yoluyla görüntülenebilir.

 

- 

- 

CFNetwork Çerezleri

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

Etki: Oturum çerezleri Safari sıfırlandıktan sonra bile kalabiliyor

Açıklama: Safari'nin sıfırlanması Safari kapatılmadıkça oturum çerezlerinin silinmesini her zaman sağlamıyordu. Bu sorun oturum çerezlerinin işlenmesi iyileştirilerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

CVE kimliği

CVE-2014-1257: Amherst College'dan Rob Ansaldo, Graham Bennett

 

- 

- 

CoreAnimation

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir siteyi ziyaret etmek, beklenmedik uygulama sonlandırma veya rastgele kod yürütme sorunlarına yol açabilir

Açıklama: CoreAnimation'ın görüntüleri işlenmesinde yığın arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1258: NCC Group'tan Karl Smith

 

- 

- 

CoreText

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: CoreText kullanan uygulamalar, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine açık olabilir

Açıklama: CoreText'in Unicode fontları işlemesinde bir imzalanma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1261: IOActive Labs'den Lucas Apa ve Carlos Mario Penagos

 

- 

- 

curl

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcı kimlik bilgilerini veya diğer hassas bilgileri ele geçirebilir

Açıklama: IP adresi içeren bir HTTPS URL'ye bağlanmak için cURL kullanıldığında, IP adresi sertifikayla doğrulanamıyordu. Bu sorun OS X Mavericks 10.9 öncesi sistemleri etkilemez.

CVE kimliği

CVE-2014-1263: Moriz GmbH'den Roland Moriz

 

- 

- 

Veri Güvenliği

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: Ayrıcalıklı bir ağ konumuna sahip bir saldırgan SSL/TLS ile korunan oturumlarda verileri alabilir veya değiştirebilir

Açıklama: Güvenli Aktarım bağlantının gerçekliğini doğrulayamadı. Bu sorun eksik doğrulama adımları geri yüklenerek giderildi.

CVE kimliği

CVE-2014-1266

 

- 

- 

Tarih ve Saat

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Yetkisiz bir kullanıcı sistem saatini değiştirebilir

Tanım: Bu güncelleme, sistem saatini değiştirmek için
systemsetup
komutunu, yönetici yetkileri gerektirecek şekilde değiştirir.
CVE kimliği

CVE-2014-1265

 

- 

- 

Dosya Yer İşareti

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir ada sahip bir dosyayı görüntülemek, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Dosya adlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1259

 

- 

- 

Finder

İlgili işletim sistemleri: OS X Mavericks 10.9 ve 10.9.1

Etki: Finder üzerinden dosyanın ACL'sine erişmek diğer kullanıcıların dosyalara yetkisiz erişim olanağı kazanmasına yol açabilir

Açıklama: Finder üzerinden dosyanın ACL'sine erişmek dosyadaki ACL'leri bozabilir. Bu sorun ACL'lerin işlenmesinin geliştirilmesiyle giderildi.

CVE kimliği

CVE-2014-1264

 

- 

- 

ImageIO

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasını görüntülemek bellek içeriğinin ifşa edilmesine yol açabilir

Açıklama: JPEG işaretçilerinin libjpeg'inin işlenmesinde, bellek içeriğinin ifşa edilmesine yol açan bir başlatılmamış bellek erişimi sorunu vardı. Bu sorun JPEG daha iyi işlenerek giderildi.

CVE kimliği

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

Açıklama: IOSerialFamily sürücüsünde sınırların dışında bir dizi erişimi vardı. Bu sorun ek sınır denetimi ile giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

CVE kimliği

CVE-2013-5139: @dent1zt

 

- 

- 

LaunchServices

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Etki: Dosya yanlış uzantı gösterebiliyordu

Açıklama: Belirli unicode karakterlerin işlenmesinde dosya adlarının hatalı uzantılar göstermesine neden olabilen bir sorun vardı. Sorun güvenli olmayan unicode karakterleri dosya adlarında gösterilmeyecek şekilde filtrelenerek giderildi. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

CVE kimliği

CVE-2013-5178: Mozilla Corporation'dan Jesse Ruderman, Intego'dan Stephane Sudre

 

- 

- 

NVIDIA Sürücüleri

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlı bir uygulamanın çalıştırılması grafik kartında rastgele kod yürütülmesine neden olabiliyordu

Açıklama: Grafik kartındaki bazı güvenilir bellek kısımlarına yazmaya izin veren bir sorun vardı. Bu sorun ana bilgisayarın bu belleğe yazma yeteneği kaldırılarak giderildi.

CVE kimliği

CVE-2013-5986: X.Org Foundation Nouveau projesinden Marcin Kościelnicki

CVE-2013-5987: X.Org Foundation Nouveau projesinden Marcin Kościelnicki

 

- 

- 

PHP

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: PHP'de birden çok güvenlik açığı

Açıklama: PHP'de birden çok güvenlik açığı vardı; bunların en ciddi olanı rasgele kod yürütülmesine neden olabiliyordu. Bu sorunlar PHP sürümü OS X Mavericks 10.9'da 5.4.24'e, OS X Lion ve Mountain Lion'da ise 5.3.28'e yükseltilerek giderildi.

CVE kimliği

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickLook'ta Microsoft Office dosyalarının işlenmesinde bellek bozulması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Microsoft Office dosyasını indirmek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabiliyordu. Bu sorun OS X Mavericks 10.9 veya sonrası çalışan sistemleri etkilemez.

CVE kimliği

CVE-2014-1260: Google Güvenlik Ekibi'nden Felix Groebert

 

- 

- 

QuickLook

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir Microsoft Word dosyasını indirmek, uygulamanın beklenmeyen bir şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickLook'ta Microsoft Word belgelerinin işlenmesinde double free sorunu vardı. Bu sorun iyileştirilmiş bellek yönetimiyle giderildi.

CVE kimliği

CVE-2014-1252: Google Güvenlik Ekibi'nden Felix Groebert

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 'ftab' atomlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1246: HP Zero Day Initiative için çalışan anonim bir araştırmacı

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 'dref' atomlarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1247: HP Zero Day Initiative için çalışan Tom Gallagher ve Paul Bates

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 'ldat' atomlarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1248: iDefense VCP'de çalışan Jason Kratzer

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir PSD görüntüsünü görüntülemek, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

Açıklama: PSD görüntülerinin işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1249: Tencent Security Team'den dragonltx

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 'ttfo' öğelerinin işlenmesinde bir sınırlar dışında bayt değiş tokuşu sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1250: iDefense VCP'de çalışan Jason Kratzer

 

- 

- 

QuickTime

İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 ve 10.9.1

Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 'stsz' atomlarının işlenmesinde bir imzalama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE kimliği

CVE-2014-1245: HP Zero Day Initiative için çalışan Tom Gallagher ve Paul Bates

 

- 

- 

Güvenli Aktarım

İlgili işletim sistemleri: OS X Mountain Lion 10.8.5

Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

Açıklama: Bir cipher suite CBC modunda bir block cipher kullandığında, SSL 3.0 ve TLS 1.0'ın gizliliğine yönelik bilinen saldırılar vardı. Güvenli Aktarım kullanan uygulamalarda bu sorunu gidermek için, bu yapılandırmada 1 baytlık parça azaltma varsayılan olarak etkinleştirildi.

 
CVE kimliği

CVE-2011-3389: Juliano Rizzo ve Thai Duong