Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
Tuto aktualizaci si můžete stáhnout a nainstalovat pomocí Aktualizace softwaru nebo z webu podpory společnosti Apple.
OS X Mavericks 10.9.2 a aktualizace zabezpečení 2014-001
- 

- 

Apache

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Několik bezpečnostních slabin v softwaru Apache.

Popis: Aplikace Apache obsahovala několik bezpečnostních slabin, z nichž ty nejvážnější mohly umožnit skriptový útok napříč weby. Problémy byly vyřešeny aktualizací na Apache 2.2.26.

CVE-ID

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Aplikační sandbox

K dispozici pro: OS X Mountain Lion 10.8.5

Dopad: Aplikační sandbox mohl být obcházen.

Popis: Rozhraní LaunchServices pro spuštění aplikace umožňovalo aplikacím v sandboxu specifikovat seznam argumentů předávaných novému procesu. Narušené aplikace v sandboxu mohly tyto informace používat k obejití sandboxu. Problém byl vyřešen tím, že bylo aplikacím v sandboxu zabráněno specifikovat argumenty. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.

CVE-ID

CVE-2013-5179: Friedrich Graeter ze společnosti The Soulmen GbR

 

- 

- 

ATS

K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Prohlížení a stahování dokumentů obsahujících škodlivá vložená písma může vést ke svévolnému spuštění kódu.

Popis: Ve zpracovávání písem Type 1 existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1254 : Felix Groebert z týmu Google Security

 

- 

- 

ATS

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: Aplikační sandbox mohl být obcházen.

Popis: Ve zpracovávání zpráv Mach předávaných do ATS existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1262: Meder Kydyraliev z týmu Google Security

 

- 

- 

ATS

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: Aplikační sandbox mohl být obcházen.

Popis: Při zpracovávání zpráv Mach předávaných do ATS docházelo k problému se svévolným uvolněním paměti. Problém byl vyřešen dalším ověřením zpráv Mach.

CVE-ID

CVE-2014-1255: Meder Kydyraliev z týmu Google Security

 

- 

- 

ATS

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Aplikační sandbox mohl být obcházen.

Popis: Při zpracovávání zpráv Mach předávaných do ATS docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen dodatečnou kontrolou rozsahu.

CVE-ID

CVE-2014-1256: Meder Kydyraliev z týmu Google Security

 

- 

- 

Zásady důvěryhodnosti certifikátů

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Kořenové certifikáty byly aktualizovány.

Popis: Byla aktualizována sada kořenových certifikátů systému. Úplný seznam rozeznávaných kořenových certifikátů si můžete zobrazit v aplikaci Klíčenka.

 

- 

- 

Soubory cookie frameworku CFNetwork

K dispozici pro: OS X Mountain Lion 10.8.5

Dopad: Cookies relace mohou přetrvávat i po resetování Safari.

Popis: Dokud nebyla aplikace Safari zavřena, nepodařilo se resetováním Safari vždy odstranit cookies relace. Tento problém byl vyřešen lepším zpracováváním cookies relací. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.

CVE-ID

CVE-2014-1257: Rob Ansaldo z univerzity Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Návštěva škodlivého webu může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání obrázků docházelo k problému s přetečením haldy vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1258: Karl Smith ze společnosti NCC Group

 

- 

- 

CoreText

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: U aplikací, které používají CoreText, může docházet k jejich nečekanému ukončení nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání písem Unicode docházelo k problému s chybou podpisu v rozhraní CoreText. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1261: Lucas Apa a Carlos Mario Penagos ze společnosti IOActive Labs

 

- 

- 

cURL

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: Útočník s vysokými oprávněními v síti může zachytit přihlašovací údaje nebo jiné citlivé informace.

Popis: Pokud byl pro připojení k URL adrese protokolu HTTPS, která obsahuje IP adresu, použit příkaz curl, nebyla tato IP adresa ověřena pomocí certifikátu. Tento problém nemá vliv na systémy před OS X Mavericks 10.9.

CVE-ID

CVE-2014-1263: Roland Moriz ze společnosti Moriz GmbH

 

- 

- 

Zabezpečení dat

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: Útočník s vysokými oprávněními v síti může být schopen zachytávat nebo upravovat data v relacích chráněných protokolem SSL/TLS.

Popis: Zabezpečený přenos nedokázal ověřit pravost připojení. Tento problém byl vyřešen obnovením chybějících kroků ověření.

CVE-ID

CVE-2014-1266

 

- 

- 

Datum a čas

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Uživatel, který k tomu nemá oprávnění, může změnit systémový čas.

Popis: Tato aktualizace mění chování příkazu tak,
systemsetup
aby ke změně systémového času vyžadoval oprávnění správce.
CVE-ID

CVE-2014-1265

 

- 

- 

Záložka souboru

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Zobrazení souboru s nebezpečně vytvořeným názvem může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání názvů souborů docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1259

 

- 

- 

Finder

K dispozici pro: OS X Mavericks 10.9 a 10.9.1

Dopad: Přístup k seznamu ACL prostřednictvím Finderu mohl vést k tomu, že ostatní uživatelé získali neoprávněný přístup k souborům.

Popis: Přístup k seznamu ACL prostřednictvím Finderu mohl poškodit seznamy ACL daného souboru. Problém byl vyřešen lepším zpracováváním seznamů ACL.

CVE-ID

CVE-2014-1264

 

- 

- 

ImageIO

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Zobrazení nebezpečně vytvořeného souboru JPEG mohlo vést ke zveřejnění obsahu paměti.

Popis: Při zpracovávání markerů JPEG příkazem libjpeg docházelo k problému s neinicializovaným přístupem k paměti, který vedl ke zveřejnění obsahu paměti. Problém byl vyřešen lepším zpracováváním soborů JPEG.

CVE-ID

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Dopad: Spuštění škodlivé aplikace mohlo vést ke svévolnému spuštění kódu v jádru.

Popis: V ovladači IOSerialFamily existoval přístup k poli vymykající se rozsahu. Problém byl vyřešen dodatečnou kontrolou rozsahu. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.

CVE-ID

CVE-2013-5139 : @dent1zt

 

- 

- 

LaunchServices

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Dopad: Soubor mohl zobrazovat špatnou příponu.

Popis: Při zpracovávání určitých znaků Unicode docházelo k problému, který umožňoval, aby se v názvech souborů zobrazovaly nesprávné přípony. Problém byl vyřešen odfiltrováním nebezpečných znaků z názvů souborů. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.

CVE-ID

CVE-2013-5178: Jesse Ruderman ze společnosti Mozilla Corporation, Stephane Sudre ze společnosti Intego

 

- 

- 

Ovladače NVIDIA

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Spuštění škodlivé aplikace mohlo vést ke svévolnému spuštění kódu v grafické kartě.

Popis: Docházelo k problému, který umožňoval zápis do některé důvěryhodné paměti na grafické kartě. Problém byl vyřešen odebráním schopnosti hostitele zapisovat do této paměti.

CVE-ID

CVE-2013-5986 : Marcin Kościelnicki z projektu X.Org Foundation Nouveau

CVE-2013-5987 : Marcin Kościelnicki z projektu X.Org Foundation Nouveau

 

- 

- 

PHP

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Několik bezpečnostních slabin v softwaru PHP.

Popis: Software PHP obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu. Problémy byly vyřešeny aktualizací kódu PHP na verzi 5.4.24 v OS X Mavericks 10.9 a na verzi 5.3.28 v OS X Lionu a Mountain Lionu.

CVE-ID

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

Rychlý náhled

K dispozici pro: OS X Mountain Lion 10.8.5

Dopad: Stažení škodlivého dokumentu Microsoft Office může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání souborů sady Microsoft Office Rychlým náhledem docházelo k problému s poškozením paměti. Stažení nebezpečně vytvořeného dokumentu Microsoft Office mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu. Tento problém nemá vliv na systémy s OS X Mavericks 10.9. nebo novějším.

CVE-ID

CVE-2014-1260 : Felix Groebert z týmu Google Security

 

- 

- 

Rychlý náhled

K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Stažení nebezpečně vytvořeného dokumentu Microsoft Wordu mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracování dokumentů Microsoft Wordu Rychlým náhledem docházelo k problému s dvojitým uvolněním paměti. Problém byl vyřešen vylepšením správy paměti.

CVE-ID

CVE-2014-1252: Felix Groebert z týmu Google Security

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání prvků 'ftab' atom docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1246: Anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti HP

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání prvků 'dref' atom docházelo k problému s možným poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1247: Tom Gallagher a Paul Bates spolupracující s iniciativou Zero Day Initiative společnosti HP

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání prvků 'ldat' atom docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1248: Jason Kratzer ve spolupráci s iDefense VCP

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Zobrazení škodlivého obrázku PSD může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání obrázků PSD docházelo k problému s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1249: dragonltx z týmu Tencent Security

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracování prvků 'ttfo' docházelo k problému se záměnou bajtů mimo rozsah. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1250: Jason Kratzer ve spolupráci s iDefense VCP

 

- 

- 

QuickTime

K dispozici pro: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 a 10.9.1

Dopad: Přehrání škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

Popis: Při zpracovávání prvků 'stsz' atom docházelo k problému s chybou podpisů. Problém byl vyřešen vylepšenou kontrolou rozsahu.

CVE-ID

CVE-2014-1245: Tom Gallagher a Paul Bates spolupracující s iniciativou Zero Day Initiative společnosti HP

 

- 

- 

Zabezpečený přenos

K dispozici pro: OS X Mountain Lion 10.8.5

Dopad: Útočník může dešifrovat data chráněná protokolem SSL.

Popis: Byly zaznamenány útoky na důvěrnost protokolů SSL 3.0 a TLS 1.0 v situaci, kdy šifrovací sada používala blokovou šifru v režimu CBC. K vyřešení těchto problémů pro aplikace využívající Zabezpečený přenos byla pro tuto konfiguraci ve výchozím nastavení zapnuta ochrana pomocí 1bajtových fragmentů.

 
CVE-ID

CVE-2011-3389 : Juliano Rizzo a Thai Duong