Om sikkerhedsindholdet i OS X Mavericks v10.9.2 og sikkerhedsopdatering 2014-001

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.2 og Sikkerhedsopdatering 2014-001.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.

OS X Mavericks v10.9.2 og sikkerhedsopdatering 2014-001

  • Apache

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Flere sikkerhedsrisici i Apache

    Beskrivelse: Der fandtes flere sikkerhedshuller i Apache, hvoraf det alvorligste kan muliggøre angreb med scripting på tværs af websteder. Problemerne løses ved at opdatere til Apache-version 2.2.26.

    CVE-id

    CVE-2013-1862

    CVE-2013-1896

  • Programmet Sandbox

    Fås til: OS X Mountain Lion v10.8.5

    Effekt: Programmet Sandbox kan omgås

    Beskrivelse: Brugerfladen LaunchServices til åbning af et program gjorde det muligt for programmer med Sandbox-funktion at angive den liste med argumenter, der blev sendt til den nye proces. Et Sandbox-program med sikkerhedsproblemer kunne bruge muligheden til at gå uden om Sandbox. Problemet er løst ved at undgå, at Sandbox-programmet angiver argumenterne. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

    CVE-id

    CVE-2013-5179: Friedrich Graeter fra The Soulmen GbR

  • ATS

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Visning eller overførsel af et dokument, som indeholder en skadelig integreret skrift, kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var en hukommelsesfejl ved behandling af Type 1-skrifter. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1254: Felix Groebert fra Google Security Team

  • ATS

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: Programmet Sandbox kan omgås

    Beskrivelse: Der var en hukommelsesfejl ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1262: Meder Kydyraliev fra Google Security Team

  • ATS

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: Programmet Sandbox kan omgås

    Beskrivelse: Der var et vilkårligt free-problem ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved yderligere godkendelse af Mach-meddelelser.

    CVE-id

    CVE-2014-1255: Meder Kydyraliev fra Google Security Team

  • ATS

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Programmet Sandbox kan omgås

    Beskrivelse: Der var et bufferoverløb ved behandling af Mach-meddelelser, der blev sendt til ATS. Problemet er løst ved yderligere kontrol af grænser.

    CVE-id

    CVE-2014-1256: Meder Kydyraliev fra Google Security Team

  • Politik for certifikatgodkendelse

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Rodcertifikaterne er blevet opdateret

    Beskrivelse: Gruppen af systemrodcertifikater er blevet opdateret. Den komplette liste over genkendte systemrødder kan ses via programmet Hovednøglering.

  • CFNetwork-cookies

    Fås til: OS X Mountain Lion v10.8.5

    Effekt: Sessions-cookies bliver liggende efter nulstilling af Safari

    Beskrivelse: Ved nulstilling af Safari blev session-cookies ikke altid slettet, før Safari blev lukket. Problemet er løst ved forbedret behandling af session-cookies. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

    CVE-id

    CVE-2014-1257: Rob Ansaldo fra Amherst College, Graham Bennett

  • CoreAnimation

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Et besøg på et skadeligt websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløbsproblem i heap ved CoreAnimations behandling af billeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1258: Karl Smith fra NCC Group

  • CoreText

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: Programmer, der bruger CoreText, kan være udsat for pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et signeringsproblem i CoreText ved behandling af Unicode-skrifter. Dette problem løses ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1261: Lucas Apa og Carlos Mario Penagos fra IOActive Labs

  • curl

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: En hacker med en priviligeret netværksposition kan opfange brugerens adgangsoplysninger eller andre følsomme oplysninger

    Beskrivelse: Hvis curl bruges til at oprette forbindelse til en HTTPS-URL-adresse med en IP-adresse, blev certifikatet ikke brugt til at validere IP-adressen. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks v10.9.

    CVE-id

    CVE-2014-1263: Roland Moriz fra Moriz GmbH

  • Datasikkerhed

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: En hacker med rettigheder på netværket kan opfange eller ændre data i sessioner, der er beskyttet af SSL/TLS

    Beskrivelse: "Secure Transport" godkendte ikke forbindelsens ægthed. Problemet er løst ved at genoprette de manglende godkendelsestrin.

    CVE-id

    CVE-2014-1266

  • Dato og tid

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: En bruger uden rettigheder kan ændre systemuret

    Beskrivelse: Denne opdatering ændrer funktionsmåden for

    systemsetup
    kommandoen, så der skal administratortilladelser til at ændre systemuret.

    CVE-id

    CVE-2014-1265

  • Arkivbogmærke

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Visning af et arkiv med et navn, der er ændret med henblik på at gøre skade, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af arkivnavne. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1259

  • Finder

    Fås til: OS X Mavericks 10.9 og 10.9.1

    Effekt: Adgang til et arkivs ACL via Finder kan medføre, at andre brugere får uautoriseret adgang til arkiver

    Beskrivelse: Adgang til et arkivs ACL via Finder kan ødelægge arkivets ACL'er. Problemet er løst ved forbedret behandling af ACL'er.

    CVE-id

    CVE-2014-1264

  • ImageIO

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Visning af et skadeligt JPEG-arkiv kan medføre, at data i hukommelsen bliver synlige for andre

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved libjpegs behandling af JPEG-markører, hvilket medførte visning af hukommelsesdata. Problemet er løst ved forbedret behandling af JPEG.

    CVE-id

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode i kernen

    Beskrivelse: Der var et problem med out-of-bounds-systemadgang i IOSerialFamily-driveren. Problemet er løst ved yderligere kontrol af grænser. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

    CVE-id

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Effekt: Et arkiv kunne blive vist med den forkerte arkivendelse

    Beskrivelse: Der var et problem med behandling af bestemte Unicode-tegn, som medførte, at arkivnavnene kunne blive vist med forkert arkivendelse. Problemet er løst ved at filtrere usikre Unicode-tegn, så de ikke vises i arkivnavne. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

    CVE-id

    CVE-2013-5178: Jesse Ruderman fra Mozilla Corporation, Stephane Sudre fra Intego

  • NVIDIA-drivere

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode inden for grafikkortet

    Beskrivelse: Der var et problem, som gjorde det muligt at skrive til pålidelig hukommelse på grafikkortet. Problemet er løst ved at fjerne muligheden for, at værten kan skrive til denne hukommelse.

    CVE-id

    CVE-2013-5986: Marcin Kościelnicki fra projekt X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki fra projekt X.Org Foundation Nouveau

  • PHP

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Flere sikkerhedsrisici i PHP

    Beskrivelse: Der opstod flere sikkerhedsrisici i PHP, hvoraf de mest alvorlige kan medføre vilkårlig kørsel af kode. Problemerne er løst ved at opdatere PHP til version 5.4.24 i OS X Mavericks v10.9 og til version 5.3.28 i OS X Lion og Mountain Lion.

    CVE-id

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Fås til: OS X Mountain Lion v10.8.5

    Effekt: Overførsel af et Microsoft Office-arkiv med skadelig tilpasning kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der er en hukommelsesfejl i forbindelse med håndteringen af Microsoft Office-arkiver i QuickLook. Overførsel af et Microsoft Office-arkiv med skadelig tilpasning kan medføre pludselig programlukning eller vilkårlig kørsel af kode. Problemet påvirker ikke computere med OS X Mavericks v10.9 og nyere versioner.

    CVE-id

    CVE-2014-1260: Felix Groebert fra Google Security Team

  • QuickLook

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Overførsel af et skadeligt Microsoft Word-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et double free-problem ved QuickLooks behandling af Microsoft Word-dokumenter. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2014-1252: Felix Groebert fra Google Security Team

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af 'ftab'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1246: En anonym programmør, der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af 'dref'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1247: Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af 'ldat'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1248: Jason Kratzer, som arbejder for iDefense VCP

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Visning af et skadeligt PSD-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af PSD-billeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1249: dragonltx fra Tencent Security Team

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med overskredet byte swapping ved behandling af 'ttfo'-elementer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1250: Jason Kratzer, som arbejder for iDefense VCP

  • QuickTime

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et signeringsproblem ved behandling af 'stsz'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1245: Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative

  • Secure Transport

    Fås til: OS X Mountain Lion v10.8.5

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er konstateret hackerangreb på sikkerheden i SSL 3.0 og TLS 1.0, hvis en chiffer-suite bruger et blokchiffer i CBC-funktion. Med henblik på at løse problemerne i programmer, der anvender "Secure Transport", er 1-byte fragmentformindskelse slået til som standard i denne konfiguration.

    CVE-id

    CVE-2011-3389: Juliano Rizzo og Thai Duong

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: