OS X Mavericks v10.9.5 ve Güvenlik Güncellemesi 2014-004'ün güvenlik içeriği hakkında
Bu belgede OS X Mavericks v10.9.5 ve Güvenlik Güncellemesi 2014-004'ün güvenlik içeriği açıklanmaktadır.
Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
Not: OS X Mavericks v10.9.5, Safari 7.0.6'nın güvenlik içeriğini kapsar.
OS X Mavericks v10.9.5 ve Güvenlik Güncellemesi 2014-004
apache_mod_php
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: PHP 5.4.24'te birden fazla güvenlik açığı
Açıklama: PHP 5.4.24'te birden fazla güvenlik açığı vardı. Bunlardan en önemlisi rastgele kod yürütülmesine neden olabiliyordu. Bu güncelleme, PHP'yi 5.4.30 sürümüne güncelleyerek bu sorunları giderir.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bluetooth API çağrısının işlenmesinde bir doğrulama sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-1379: Google Project Zero'dan Ian Beer
CoreGraphics
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya bilgilerin açığa çıkmasına neden olabilir
Açıklama: PDF dosyalarının işlenmesinde sınırların dışında bellek okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4378: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
CoreGraphics
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarının işlenmesinde bir tam sayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4377: Binamuse VRT'den Felipe Andres Manzano (iSIGHT Partners GVP Program ile)
Foundation
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: NSXMLParser kullanan bir uygulama, bilgileri açığa çıkarmak için kötüye kullanılabilir
Açıklama: NSXMLParser'ın XML dosyalarını işlemesinde, XML Harici Varlık sorunu vardı. Bu sorun, kaynaklar arasında harici varlıklar yüklenmeyerek giderildi.
CVE Kimliği
CVE-2014-4374: VSR'den George Gal (http://www.vsecurity.com/)
Intel Graphics Driver
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Güvenilmeyen GLSL gölgelendiricilerinin derlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Gölgelendirici derleyicisinde kullanıcı alanı arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4393 : Apple
Intel Graphics Driver
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bazı tümleşik grafik kartı sürücü rutinlerinde birden fazla doğrulama sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-ID
CVE-2014-4394 : Google Project Zero'dan Ian Beer
CVE-2014-4395 : Google Project Zero'dan Ian Beer
CVE-2014-4396 : Google Project Zero'dan Ian Beer
CVE-2014-4397 : Google Project Zero'dan Ian Beer
CVE-2014-4398 : Google Project Zero'dan Ian Beer
CVE-2014-4399 : Google Project Zero'dan Ian Beer
CVE-2014-4400 : Google Project Zero'dan Ian Beer
CVE-2014-4401 : Google Project Zero'dan Ian Beer
CVE-2014-4416 : Google Project Zero'dan Ian Beer
IOAcceleratorFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: IOKit API bağımsız değişkenlerinin işlenmesinde null işaretçi dereferansı vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE-ID
CVE-2014-4376 : Google Project Zero'dan Ian Beer
IOAcceleratorFamily
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily işlevinin işlenmesinde bir sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4402 : Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Yerel bir kullanıcı, çekirdek adres alanı düzeni rastgele seçimini atlamak için kullanılabilen çekirdek işaretçilerini okuyabilir
Açıklama: Bir IOHIDFamily işlevinin işlenmesinde sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4379: Google Project Zero'dan Ian Beer
IOKit
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tamsayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4389 : Google Project Zero'dan Ian Beer
Kernel
İlgili sürümler: OS X Mavericks v10.9 - v10.9.4
Etki: Yerel bir kullanıcı çekirdek adreslerini ortaya çıkarabilir ve çekirdek adres alanı düzeni rastgele seçimini atlayabilir
Açıklama: Bazı durumlarda CPU Genel Tanımlayıcı Tablosu tahmin edilebilir bir adrese tahsis ediliyordu. Genel Tanımlayıcı Tablosu her zaman rastgele bir adrese tahsis edilerek bu sorun giderildi.
CVE-ID
CVE-2014-4403 : Google Project Zero'dan Ian Beer
Libnotify
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Libnotify'da bir sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi
CVE-ID
CVE-2014-4381 : Google Project Zero'dan Ian Beer
OpenSSL
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: OpenSSL 0.9.8y'de birden fazla güvenlik açığı vardı. Bunlardan biri, rastgele kod yürütülmesine neden olabiliyordu
Açıklama: OpenSSL 0.9.8y'de birden fazla güvenlik açığı. OpenSSL, 0.9.8za sürümüne güncellenerek bu sorun giderildi.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: RLE kodlamalı film dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-1391: iDefense VCP'de çalışan Fernando MunoziDefense VCP, HP'nin Zero Day Initiative programında çalışan Tom Gallagher ve Paul Bates
QT Media Foundation
OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlarla oluşturulmuş bir MIDI dosyasını oynatmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: MIDI dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4350: HP'nin Zero Day Initiative programında çalışan s3tm3m
QT Media Foundation
İlgili sürümler: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 - v10.9.4
Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını oynatmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: 'mvhd' atomlarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4979: HP'nin Zero Day Initiative programında çalışan Andrea Micalizzi (rgod)
ruby
CVE-2013-
Impact: A remote attacker may be able to cause arbitrary code execution
Description: A heap buffer overflow existed in LibYAML's handling of percent-encoded characters in a URI. This issue was addressed through improved bounds checking. This update addresses the issues by updating LibYAML to version 0.1.6
CVE-ID
CVE-2014-2525
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.