Om sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004
I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004.
Denne opdatering kan hentes og installeres via Softwareopdatering eller fra siden med Overførsler på webstedet for Apple-support.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet om Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apples sikkerhedsudgivelser.
Bemærk: OS X Mavericks v10.9.5 inkluderer sikkerhedsindholdet fra Safari 7.0.6.
OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004
apache_mod_php
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Flere sårbarheder i PHP 5.4.24
Beskrivelse: Der eksisterede flere sårbarheder i PHP 5.4.24, hvoraf den mest alvorlige kan have ført til kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere PHP til version 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med godkendelse under behandlingen af et API-kald fra Bluetooth. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4390 : Ian Beer fra Google Project Zero
CoreGraphics
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Åbning af et skadeligt PDF-arkiv kan føre til en uventet programlukning eller afsløring af oplysninger
Beskrivelse: Der var et out-of-bounds-læseproblem med hukommelsen under håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
CoreGraphics
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Åbning af et skadeligt PDF-arkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med heltalsoverløb under håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
Foundation
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: En app, der bruger NSXMLParser, kan blive misbrugt til at afsløre oplysninger
Beskrivelse: Der var et problem med en ekstern XML-entitet under NSXMLParsers håndtering af XML-indhold. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af oprindelsessteder.
CVE-id
CVE-2014-4374: George Gal fra VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Kompilering af upålidelige GLSL-shaders kan føre til en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb i brugerområdet i shader-compileren. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4393 : Apple
Intel Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere valideringsproblemer i nogle integrerede grafikdriverrutiner. Problemerne er løst ved forbedret kontrol af grænser.
CVE-ID
CVE-2014-4394 : Ian Beer fra Google Project Zero
CVE-2014-4395 : Ian Beer fra Google Project Zero
CVE-2014-4396 : Ian Beer fra Google Project Zero
CVE-2014-4397 : Ian Beer fra Google Project Zero
CVE-2014-4398 : Ian Beer fra Google Project Zero
CVE-2014-4399 : Ian Beer fra Google Project Zero
CVE-2014-4400 : Ian Beer fra Google Project Zero
CVE-2014-4401 : Ian Beer fra Google Project Zero
CVE-2014-4416 : Ian Beer fra Google Project Zero
IOAcceleratorFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer i forbindelse med håndteringen af IOKit-API-argumenter. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.
CVE-ID
CVE-2014-4376 : Ian Beer fra Google Project Zero
IOAcceleratorFamily
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et out-of-bounds-læseproblem under håndteringen af en IOAcceleratorFamily-funktion. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4402 : Ian Beer fra Google Project Zero
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: En lokal bruger kan læse kernemarkører, som kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner
Beskrivelse: Der var et out-of-bounds-læseproblem under håndteringen af en IOHIDFamily-funktion. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4379: Ian Beer fra Google Project Zero
IOKit
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et valideringsproblem under håndteringen af visse felter med metadata i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2014-4388: @PanguTeam
IOKit
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med heltalsoverløb under håndteringen af IOKit-funktioner. Problemet er løst via forbedret kontrol af grænser.
CVE-ID
CVE-2014-4389 : Ian Beer fra Google Project Zero
Kernel
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: En lokal bruger kan udlede kerneadresser og tilsidesætte ASLR (Address Space Layout Randomisation) for kerner
Beskrivelse: I nogle tilfælde blev CPU Global Descriptor Table tildelt en forudsigelig adresse. Problemet blev løst ved altid at allokere Global Descriptor Table på vilkårlige adresser.
CVE-ID
CVE-2014-4403 : Ian Beer fra Google Project Zero
Libnotify
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: Der var et out-of-bounds-skriveproblem i Libnotify. Dette problem blev løst gennem forbedret grænsekontrol
CVE-ID
CVE-2014-4381 : Ian Beer fra Google Project Zero
OpenSSL
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Flere sårbarheder i OpenSSL 0.9.8y, inklusive en, der kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var flere sårbarheder i OpenSSL 0.9.8y. Problemet er løst ved at opdatere OpenSSL til version 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt filmarkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse under håndteringen af RLE-kodede filmarkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1391: Fernando Munoz, der arbejder med iDefense VCP, Tom Gallagher og Paul Bates, der arbejder med HP's Zero Day Initiative
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt MIDI-arkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb under håndteringen af MIDI-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4350: s3tm3m, der arbejder med HP's Zero Day Initiative
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt filmarkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse under håndteringen af 'mvhd'-atomerne. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-4979: Andrea Micalizzi, også kendt som rgod, der arbejder med HP's Zero Day Initiative
ruby
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: En fjernangriber kan muligvis køre vilkårlig kode
Beskrivelse: Der eksisterede et heap-bufferoverløb i LibYAML's håndtering af procentkodede tegn i en URI. Problemet er løst via forbedret kontrol af grænser. Denne opdatering løser problemerne ved at opdatere LibYAML til version 0.1.6
CVE-ID
CVE-2014-2525
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.