Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.
OS X Mavericks v10.9.2 og sikkerhedsopdatering 2014-001
- 

- 

Apache

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Flere sikkerhedsrisici i Apache

Beskrivelse: Der fandtes flere sikkerhedshuller i Apache, hvoraf det alvorligste kan muliggøre angreb med scripting på tværs af websteder. Problemerne løses ved at opdatere til Apache-version 2.2.26.

CVE-id

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Programmet Sandbox

Fås til: OS X Mountain Lion v10.8.5

Effekt: Programmet Sandbox kan omgås

Beskrivelse: Brugerfladen LaunchServices til åbning af et program gjorde det muligt for programmer med Sandbox-funktion at angive den liste med argumenter, der blev sendt til den nye proces. Et Sandbox-program med sikkerhedsproblemer kunne bruge muligheden til at gå uden om Sandbox. Problemet er løst ved at undgå, at Sandbox-programmet angiver argumenterne. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

CVE-id

CVE-2013-5179: Friedrich Graeter fra The Soulmen GbR

 

- 

- 

ATS

Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var en hukommelsesfejl ved behandling af Type 1-skrifter. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1254: Felix Groebert fra Google Security Team

 

- 

- 

ATS

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: Programmet Sandbox kan omgås

Beskrivelse: Der var en hukommelsesfejl ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1262: Meder Kydyraliev fra Google Security Team

 

- 

- 

ATS

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: Programmet Sandbox kan omgås

Beskrivelse: Der var et vilkårligt free-problem ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved yderligere godkendelse af Mach-meddelelser.

CVE-id

CVE-2014-1255: Meder Kydyraliev fra Google Security Team

 

- 

- 

ATS

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Programmet Sandbox kan omgås

Beskrivelse: Der var et bufferoverløb ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved yderligere kontrol af grænser.

CVE-id

CVE-2014-1256: Meder Kydyraliev fra Google Security Team

 

- 

- 

Politik for certifikatgodkendelse

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Rodcertifikaterne er blevet opdateret

Beskrivelse: Gruppen af systemrodcertifikater er blevet opdateret. Den komplette liste over genkendte systemrødder kan ses via programmet Hovednøglering.

 

- 

- 

CFNetwork-cookies

Fås til: OS X Mountain Lion v10.8.5

Effekt: Sessions-cookies bliver liggende efter nulstilling af Safari

Beskrivelse: Ved nulstilling af Safari blev session-cookies ikke altid slettet, før Safari blev lukket. Problemet er løst ved forbedret behandling af session-cookies. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

CVE-id

CVE-2014-1257: Rob Ansaldo fra Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløbsproblem i heap ved CoreAnimations behandling af billeder. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1258: Karl Smith fra NCC Group

 

- 

- 

CoreText

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: Programmer, der bruger CoreText, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et signeringsproblem i CoreText ved behandling af Unicode-skrifter. Dette problem løses ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1261: Lucas Apa og Carlos Mario Penagos fra IOActive Labs

 

- 

- 

curl

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

Beskrivelse: Hvis curl bruges til at oprette forbindelse til en HTTPS-URL-adresse med en IP-adresse, blev certifikatet ikke brugt til at validere IP-adressen. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks v10.9.

CVE-id

CVE-2014-1263: Roland Moriz fra Moriz GmbH

 

- 

- 

Datasikkerhed

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: En hacker med rettigheder på netværket kan opfange eller ændre data i sessioner, der er beskyttet af SSL/TLS

Beskrivelse: "Secure Transport" godkendte ikke forbindelsens ægthed. Problemet er løst ved at genoprette de manglende godkendelsestrin.

CVE-id

CVE-2014-1266

 

- 

- 

Dato og tid

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: En bruger uden rettigheder kan ændre systemuret

Beskrivelse: Denne opdatering ændrer funktionsmåden for
systemsetup
kommandoen, så der skal administratortilladelser til at ændre systemuret.
CVE-id

CVE-2014-1265

 

- 

- 

Arkivbogmærke

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Visning af et arkiv med et navn, der er ændret med henblik på at gøre skade, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandling af arkivnavne. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1259

 

- 

- 

Finder

Fås til: OS X Mavericks 10.9 og 10.9.1

Effekt: Adgang til et arkivs ACL via Finder kan medføre, at andre brugere får uautoriseret adgang til arkiver

Beskrivelse: Adgang til et arkivs ACL via Finder kan ødelægge arkivets ACL'er. Problemet er løst ved forbedret behandling af ACL'er.

CVE-id

CVE-2014-1264

 

- 

- 

ImageIO

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre, at data i hukommelsen bliver synlige for andre

Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved libjpegs behandling af JPEG-markører, hvilket medførte visning af hukommelsesdata. Problemet er løst ved forbedret behandling af JPEG.

CVE-id

CVE-2013-6629: Michal Zalewski

 

- 

- 

IOSerialFamily

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode i kernen

Beskrivelse: Der var et problem med out-of-bounds-systemadgang i IOSerialFamily-driveren. Problemet er løst ved yderligere kontrol af grænser. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

CVE-id

CVE-2013-5139: @dent1zt

 

- 

- 

LaunchServices

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Effekt: Et arkiv kunne blive vist med den forkerte arkivendelse

Beskrivelse: Der var et problem med behandling af bestemte Unicode-tegn, som medførte, at arkivnavnene kunne blive vist med forkert arkivendelse. Problemet er løst ved at filtrere usikre Unicode-tegn, så de ikke vises i arkivnavne. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

CVE-id

CVE-2013-5178: Jesse Ruderman fra Mozilla Corporation, Stephane Sudre fra Intego

 

- 

- 

NVIDIA-drivere

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode inden for grafikkortet

Beskrivelse: Der var et problem, som gjorde det muligt at skrive til pålidelig hukommelse på grafikkortet. Problemet er løst ved at fjerne muligheden for, at værten kan skrive til denne hukommelse.

CVE-id

CVE-2013-5986: Marcin Kościelnicki fra projekt X.Org Foundation Nouveau

CVE-2013-5987: Marcin Kościelnicki fra projekt X.Org Foundation Nouveau

 

- 

- 

PHP

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Flere sikkerhedsrisici i PHP

Beskrivelse: Der opstod flere sikkerhedsrisici i PHP, hvoraf de mest alvorlige kan medføre vilkårlig kørsel af kode. Problemerne er løst ved at opdatere PHP til version 5.4.24 i OS X Mavericks v10.9 og til version 5.3.28 i OS X Lion og Mountain Lion.

CVE-id

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Fås til: OS X Mountain Lion v10.8.5

Effekt: Overførsel af et Microsoft Office-arkiv med skadelig tilpasning kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Overførsel af et Microsoft Office-arkiv med skadelig tilpasning kan medføre pludselig programlukning eller vilkårlig kørsel af kode. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

CVE-id

CVE-2014-1260: Felix Groebert fra Google Security Team

 

- 

- 

QuickLook

Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Overførsel af et skadeligt Microsoft Word-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et double free-problem ved QuickLooks behandling af Microsoft Word-dokumenter. Problemet er løst ved forbedret hukommelsesstyring.

CVE-id

CVE-2014-1252: Felix Groebert fra Google Security Team

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandling af 'ftab'-atomer. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1246: En anonym programmør, der arbejder for HP's Zero Day Initiative

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af 'dref'-atomer. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1247: Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandling af 'ldat'-atomer. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1248: Jason Kratzer, som arbejder for iDefense VCP

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Visning af et skadeligt PSD-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandling af PSD-billeder. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1249: dragonltx fra Tencent Security Team

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med overskredet byte swapping ved behandling af 'ttfo'-elementer. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1250: Jason Kratzer, som arbejder for iDefense VCP

 

- 

- 

QuickTime

Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et signeringsproblem ved behandling af 'stsz'-atomer. Problemet er løst ved forbedret kontrol af grænser.

CVE-id

CVE-2014-1245: Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative

 

- 

- 

Secure Transport

Fås til: OS X Mountain Lion v10.8.5

Effekt: En hacker kan dekryptere SSL-beskyttede data

Beskrivelse: Der er konstateret hackerangreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger et blokchiffer i CBC-funktion. Med henblik på at løse problemerne i programmer, der anvender "Secure Transport", er 1-byte fragmentformindskelse slået til som standard i denne konfiguration.

 
CVE-id

CVE-2011-3389: Juliano Rizzo og Thai Duong