Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Tuto aktualizaci si můžete stáhnout a nainstalovat pomocí Aktualizace softwaru nebo z webu podpory společnosti Apple.
OS X Mavericks 10.9.2 a aktualizace zabezpečení 2014-001
-
Apache
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Několik bezpečnostních slabin v softwaru Apache.
Popis: Aplikace Apache obsahovala několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit skriptový útok napříč weby. Problémy byly vyřešeny aktualizací na Apache 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
Aplikační sandbox
K dispozici pro: OS X Mountain Lion 10.8.5
Dopad: Aplikační sandbox mohl být obcházen.
Popis: Rozhraní LaunchServices pro spuštění aplikace umožňovalo aplikacím v sandboxu specifikovat seznam argumentů předávaných novému procesu. Narušené aplikace v sandboxu mohly tyto informace používat k obejití sandboxu. Problém byl vyřešen tím, že bylo aplikacím v sandboxu zabráněno specifikovat argumenty. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.
CVE-ID
CVE-2013-5179: Friedrich Graeter ze společnosti The Soulmen GbR
-
ATS
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke svévolnému spuštění kódu.
Popis: Ve zpracovávání písem Type 1 existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1254 : Felix Groebert z týmu Google Security
-
ATS
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: Aplikační sandbox mohl být obcházen.
Popis: Ve zpracovávání zpráv Mach předávaných do ATS existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1262: Meder Kydyraliev z týmu Google Security
-
ATS
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: Aplikační sandbox mohl být obcházen.
Popis: Při zpracovávání zpráv Mach předávaných do ATS docházelo k problému se svévolným uvolněním paměti. Problém byl vyřešen dalším ověřením zpráv Mach.
CVE-ID
CVE-2014-1255: Meder Kydyraliev z týmu Google Security
-
ATS
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Aplikační sandbox mohl být obcházen.
Popis: Při zpracovávání zpráv Mach předávaných do ATS docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-ID
CVE-2014-1256: Meder Kydyraliev z týmu Google Security
-
Zásady důvěryhodnosti certifikátů
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Kořenové certifikáty byly aktualizovány.
Popis: Byla aktualizována sada kořenových certifikátů systému. Úplný seznam rozeznávaných kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.
-
Soubory cookie frameworku CFNetwork
K dispozici pro: OS X Mountain Lion 10.8.5
Dopad: Cookies relace mohou přetrvávat i po resetování Safari.
Popis: Dokud nebyla aplikace Safari zavřena, nepodařilo se resetováním Safari vždy odstranit cookies relace. Tento problém byl vyřešen lepším zpracováváním cookies relací. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.
CVE-ID
CVE-2014-1257: Rob Ansaldo z univerzity Amherst College, Graham Bennett
-
CoreAnimation
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání obrázků docházelo k problému s přetečením haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1258: Karl Smith ze společnosti NCC Group
-
CoreText
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: U aplikací, které používají CoreText, může docházet k jejich nečekanému ukončení nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání písem Unicode docházelo k problému s chybou podpisu v rozhraní CoreText. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1261: Lucas Apa a Carlos Mario Penagos ze společnosti IOActive Labs
-
cURL
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: Útočník s vysokými oprávněními v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.
Popis: Pokud byl pro připojení k URL adrese protokolu HTTPS, která obsahuje IP adresu, použit příkaz curl, nebyla tato IP adresa ověřena pomocí certifikátu. Tento problém nemá vliv na systémy před OS X Mavericks 10.9.
CVE-ID
CVE-2014-1263: Roland Moriz ze společnosti Moriz GmbH
-
Zabezpečení dat
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: Útočník s vysokými oprávněními v síti může být schopen zachytávat nebo upravovat data v relacích chráněných protokolem SSL/TLS.
Popis: Zabezpečený přenos nedokázal ověřit pravost připojení. Tento problém byl vyřešen obnovením chybějících kroků ověření.
CVE-ID
CVE-2014-1266
-
Datum a čas
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Uživatel, který k tomu nemá oprávnění, může změnit systémový čas.
Popis: Tato aktualizace mění chování příkazu tak,
systemsetup
aby ke změně systémového času vyžadoval oprávnění správce.CVE-ID
CVE-2014-1265
-
Záložka souboru
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Zobrazení souboru s nebezpečně vytvořeným názvem může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání názvů souborů docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1259
-
Finder
K dispozici pro: OS X Mavericks 10.9 a 10.9.1
Dopad: Přístup k seznamu ACL prostřednictvím Finderu mohl vést k tomu, že ostatní uživatelé získali neoprávněný přístup k souborům.
Popis: Přístup k seznamu ACL prostřednictvím Finderu mohl poškodit seznamy ACL daného souboru. Problém byl vyřešen lepším zpracováváním seznamů ACL.
CVE-ID
CVE-2014-1264
-
ImageIO
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Zobrazení nebezpečně vytvořeného souboru JPEG mohlo vést ke zveřejnění obsahu paměti.
Popis: Při zpracovávání markerů JPEG příkazem libjpeg docházelo k problému s neinicializovaným přístupem k paměti, který vedl ke zveřejnění obsahu paměti. Problém byl vyřešen lepším zpracováváním soborů JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Dopad: Spuštění škodlivé aplikace mohlo vést ke svévolnému spuštění kódu v jádru.
Popis: V ovladači IOSerialFamily existoval přístup k poli vymykající se rozsahu. Problém byl vyřešen dodatečnou kontrolou rozsahu. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.
CVE-ID
CVE-2013-5139 : @dent1zt
-
LaunchServices
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Dopad: Soubor mohl zobrazovat špatnou příponu.
Popis: Při zpracovávání určitých znaků Unicode docházelo k problému, který umožňoval, aby se v názvech souborů zobrazovaly nesprávné přípony. Problém byl vyřešen odfiltrováním nebezpečných znaků z názvů souborů. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.
CVE-ID
CVE-2013-5178: Jesse Ruderman ze společnosti Mozilla Corporation, Stephane Sudre ze společnosti Intego
-
Ovladače NVIDIA
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Spuštění škodlivé aplikace mohlo vést ke svévolnému spuštění kódu v grafické kartě.
Popis: Docházelo k problému, který umožňoval zápis do některé důvěryhodné paměti na grafické kartě. Problém byl vyřešen odebráním schopnosti hostitele zapisovat do této paměti.
CVE-ID
CVE-2013-5986 : Marcin Kościelnicki z projektu X.Org Foundation Nouveau
CVE-2013-5987 : Marcin Kościelnicki z projektu X.Org Foundation Nouveau
-
PHP
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Několik bezpečnostních slabin v softwaru PHP.
Popis: Software PHP obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu. Problémy byly vyřešeny aktualizací kódu PHP na verzi 5.4.24 v OS X Mavericks 10.9 a na verzi 5.3.28 v OS X Lionu a Mountain Lionu.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Rychlý náhled
K dispozici pro: OS X Mountain Lion 10.8.5
Dopad: Stažení škodlivého dokumentu Microsoft Office může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání souborů sady Microsoft Office Rychlým náhledem docházelo k problému s poškozením paměti. Stažení nebezpečně vytvořeného dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.
CVE-ID
CVE-2014-1260 : Felix Groebert z týmu Google Security
-
Rychlý náhled
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Stažení nebezpečně vytvořeného dokumentu Microsoft Wordu mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracování dokumentů Microsoft Wordu Rychlým náhledem docházelo k problému s dvojitým uvolněním paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-ID
CVE-2014-1252: Felix Groebert z týmu Google Security
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání prvků 'ftab' atom docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1246: Anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti HP
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání prvků 'dref' atom docházelo k problému s možným poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1247: Tom Gallagher a Paul Bates spolupracující s iniciativou Zero Day Initiative společnosti HP
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání prvků 'ldat' atom docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1248: Jason Kratzer ve spolupráci s iDefense VCP
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Zobrazení škodlivého obrázku PSD může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání obrázků PSD docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1249: dragonltx z týmu Tencent Security
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracování prvků 'ttfo' docházelo k problému se záměnou bajtů mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1250: Jason Kratzer ve spolupráci s iDefense VCP
-
QuickTime
K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1
Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.
Popis: Při zpracovávání prvků 'stsz' atom docházelo k problému s chybou podpisů. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2014-1245: Tom Gallagher a Paul Bates spolupracující s iniciativou Zero Day Initiative společnosti HP
-
Zabezpečený přenos
K dispozici pro: OS X Mountain Lion 10.8.5
Dopad: Útočník může dešifrovat data chráněná protokolem SSL.
Popis: Byly zaznamenány útoky na důvěrnost protokolů SSL 3.0 a TLS 1.0 v situaci, kdy šifrovací sada používala blokovou šifru v režimu CBC. K vyřešení těchto problémů pro aplikace využívající Zabezpečený přenos byla pro tuto konfiguraci ve výchozím nastavení zapnuta ochrana pomocí 1bajtových fragmentů.
CVE-ID
CVE-2011-3389 : Juliano Rizzo a Thai Duong