Om sikkerhedsopdatering 2014-002

I dette dokument beskrives sikkerhedsindholdet i sikkerhedsopdatering 2014-002.

Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.

Af hensyn til vores kunder sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

  • CFNetwork HTTPProtocol

    Fås til OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

    Effekt: En hacker med rettigheder på netværket kan opfange webstedsdata.

    Beskrivelse: Set-Cookie HTTP-headere bliver behandlet, inden headerlinjen er udført. En hacker kan aflure sikkerhedsindstillinger fra cookies ved at gennemtvinge afbrydelse af forbindelsen, inden sikkerhedsindstillingerne er sendt, og derefter opfange den ubeskyttede cookies værdi. Dette problem blev løst ved at ignorere ikke-udførte HTTP-headerlinjer.

    CVE-id

    CVE-2014-1296: Antoine Delignat-Lavaud fra Prosecco i Inria Paris

  • CoreServicesUIAgent

    Fås til OS X Mavericks 10.9.2

    Effekt: Et besøg på et skadeligt udformet websted kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med formateringsstrengen ved behandling af URL-adresser. Problemet er løst ved forbedret godkendelse af URL-adresser. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks.

    CVE-id

    CVE-2014-1315: Lukasz Pilorz fra runic.pl, Erik Kooistra

  • FontParser

    Fås til OS X Mountain Lion v10.8.5

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med bufferunderløbs ved behandling af skrifter i PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Mavericks.

    CVE-id

    CVE-2013-5170: Will Dormann fra CERT/CC

  • Heimdal Kerberos

    Fås til OS X Mavericks 10.9.2

    Effekt: En ekstern hacker kan muligvis fremkalde denial of service

    Beskrivelse: Forbindelsen blev afbrudt under behandling af ASN.1-data. Problemet er løst ved forbedret godkendelse af ASN.1-data.

    CVE-id

    CVE-2014-1316: Joonas Kuorilehto fra Codenomicon

  • ImageIO

    Fås til OS X Mavericks 10.9.2

    Effekt: Visning af et skadeligt JPEG-billede kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med bufferoverløb ved ImageIO's behandling af JPEG-billeder. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks.

    CVE-id

    CVE-2014-1319: Cristian Draghici fra Modulo Consulting, Karl Smith fra NCC Group

  • Intel Graphics Driver

    Fås til OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

    Effekt: Et skadeligt program kan overtage kontrollen med systemet

    Beskrivelse: Der var et godkendelsesproblem ved behandling af en markør fra userspace. Problemet er løst ved forbedret godkendelse af markører.

    CVE-id

    CVE-2014-1318: Ian Beer fra Google Project Zero, som arbejder for HP's Zero Day Initiative

  • IOKit Kernel

    Fås til OS X Mavericks 10.9.2

    Effekt: En lokal bruger kan læse kernemarkører, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

    Beskrivelse: Et sæt kernemarkører, der er arkiveret i et IOKit-objekt, kan opfanges fra userland. Problemet blev løst ved at fjerne markørerne fra objektet.

    CVE-id

    CVE-2014-1320: Ian Beer fra Google Project Zero, som arbejder for HP's Zero Day Initiative

  • Kernel

    Fås til OS X Mavericks 10.9.2

    Effekt: En lokal bruger kan læse en kernemarkør, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

    Beskrivelse: En kernemarkør, der er arkiveret i et XNU-objekt, kunne opfanges fra userland. Problemet blev løst ved at fjerne markøren fra objektet.

    CVE-id

    CVE-2014-1322: Ian Beer fra Google Project Zero

  • Strømstyring

    Fås til OS X Mavericks 10.9.2

    Effekt: Skærmen låses muligvis ikke

    Beskrivelse: Hvis brugeren trykkede på en tast eller rørte ved pegefeltet, lige efter at låget blev lukket, har computeren muligvis forsøgt at gå på vågeblus og afbryde vågeblus samtidig, hvilket har medført, at skærmen ikke er blevet låst. Problemet blev løst ved at ignorere tastetryk, når computeren er ved at gå på vågeblus. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks.

    CVE-id

    CVE-2014-1321: Paul Kleeberg fra Stratis Health Bloomington MN, Julian Sincu fra Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda fra R&A, Daniel Luz

  • Ruby

    Fås til OS X Mavericks 10.9.2

    Effekt: Kørsel af et Ruby-script, der håndterer ikke-godkendte YAML-koder, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heltalsoverløb i LibYAMLs håndtering af YAML-koder. Problemet er løst ved forbedret godkendelse af YAML-koder. Problemet påvirker ikke computere med ældre udgaver end OS X Mavericks.

    CVE-id

    CVE-2013-6393

  • Ruby

    Fås til OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

    Effekt: Kørsel af et Ruby-script, der anvender ikke-godkendt input til at oprette et float-objekt, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med heapbufferoverløb i Ruby ved konvertering af en streng til en floating point-værdi. Problemet blev løst ved forbedret godkendelse af floating point-værdier.

    CVE-id

    CVE-2013-4164

  • Security - Secure Transport

    Fås til OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

    Effekt: En hacker med rettigheder på netværket kan opfange data eller ændre de handlinger, der foretages under beskyttelse af SSL

    Beskrivelse: I et angreb med trevejs-handshake var det muligt for en hacker at oprette to forbindelser med samme krypteringsnøgler og handshake. Hackeren kunne indsætte sine data i den ene forbindelse og derefter genforhandle, så forbindelserne kunne viderestilles til hinanden. Secure Transport blev ændret for at undgå angreb baseret på denne situation: En genforhandling skal nu som standard have det samme servercertifikat som certifikatet i den oprindelige forbindelse. Dette problem påvirker ikke computere med Mac OS X 10.7 og ældre versioner.

    CVE-id

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan og Alfredo Pironti fra Prosecco i Inria Paris

  • WindowServer

    Fås til OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

    Effekt: Skadelige programmer kan medføre kørsel af vilkårlig kode uden for sandkassen

    Beskrivelse: WindowServer-sessioner kunne oprettes af sandkasseprogrammer. Problemet blev løst ved at forbyde, at sandkasseprogrammer kan oprette WindowServer-sessioner.

    CVE-id

    CVE-2014-1314: KeenTeam, som arbejder for HP's Zero Day Initiative

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: