Denne opdatering kan hentes og installeres via Softwareopdatering eller Apple-support.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Bemærk: OS X Mavericks 10.9.4 inkluderer sikkerhedsindholdet i Safari 7.0.5.
OS X Mavericks v10.9.4 og sikkerhedsopdatering 2014-003
Politik for certifikatgodkendelse
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Du kan se den komplette liste med certifikater på https://support.apple.com/da-dk/HT6005.
copyfile
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Åbning af et skadeligt .zip-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med overskredet byte swapping ved behandling af AppleDouble-arkiver i .zip-arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1370: Chaitanya (SegFault), der arbejder sammen med iDefense VCP
curl
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En hacker kan få adgang til en anden brugers session
Beskrivelse: cURL med genbrug af NTLM-forbindelser og mere end en enkelt godkendelsesmetode gjorde det muligt for en hacker at få adgang til en anden brugers session.
CVE-id
CVE-2014-0015
Dock
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Et sandbox-program kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Der var et problem med et array-indeks, der ikke er godkendt, i Docks behandling af beskeder fra programmer. En skadelig besked kunne forårsage, at der blev refereret til en ugyldig funktionspointer, hvilket kunne medføre pludselig programlukning eller kørsel af vilkårlig kode.
CVE-id
CVE-2014-1371: En anonym programmør, der arbejder sammen med HP's Zero Day Initiative
Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: En lokal bruger kan læse kernehukommelse, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner
Beskrivelse: Der var et out-of-bounds-læseproblem ved behandling af et systemkald. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1372: Ian Beer fra Google Project Zero
iBooks Commerce
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En hacker med systemadgang kan gendanne legitimationsoplysninger for Apple-id
Beskrivelse: Der var et problem ved behandling af iBooks-logarkiver. iBooks-processen kunne logge legitimationsoplysninger for Apple-id i iBooks-logarkivet, hvor andre systembrugere kunne læse dem. Problemet er løst ved at fjerne tilladelsen til at logføre legitimationsoplysninger.
CVE-id
CVE-2014-1317: Steve Dunham
Intel Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem ved behandling af et API-kald fra OpenGL. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1373: Ian Beer fra Google Project Zero
Intel Graphics Driver
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En lokal bruger kan læse en kernemarkør, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kernen
Beskrivelse: En kernemarkør, der er arkiveret i et IOKit-objekt, kunne opfanges fra userland. Problemet er løst ved at fjerne markøren fra objektet.
CVE-id
CVE-2014-1375
Intel Compute
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem ved behandling af et API-kald fra OpenCL. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1376: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med array-indeksering i IOAcceleratorFamily. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1377: Ian Beer fra Google Project Zero
IOGraphicsFamily
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En lokal bruger kan læse en kernemarkør, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kernen
Beskrivelse: En kernemarkør, der er arkiveret i et IOKit-objekt, kunne opfanges fra userland. Problemet er løst ved at anvende et entydigt id i stedet for en markør.
CVE-id
CVE-2014-1378
IOReporting
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En lokal bruger kunne forårsage pludselig systemgenstart
Beskrivelse: Der var en reference til en null-pointer ved behandling af IOKit API-argumenter. Problemet er løst med forbedret godkendelse af IOKit API-argumenter.
CVE-id
CVE-2014-1355: cunzhang fra Adlab hos Venustech
launchd
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med heltalsunderløb i launchd. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1359: Ian Beer fra Google Project Zero
launchd
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et bufferoverløbsproblem i heap i launchd's håndtering af IPC-beskeder. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1356: Ian Beer fra Google Project Zero
launchd
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et bufferoverløbsproblem i heap i launchd's håndtering af logbeskeder. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1357: Ian Beer fra Google Project Zero
launchd
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med heltalsoverløb i launchd. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1358: Ian Beer fra Google Project Zero
Graphics Drivers
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere problemer med en reference til en null-pointer i kernegrafikdrivere. Et skadeligt 32-bit-programarkiv kunne muligvis få udvidede rettigheder.
CVE-id
CVE-2014-1379: Ian Beer fra Google Project Zero
Sikkerhed – nøglering
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: En hacker kan muligvis skrive i vinduer under skærmlåsen
Beskrivelse: I sjældne tilfælde opfangede skærmlåsen ikke tastetryk. Dette kunne gøre det muligt for en hacker at skrive i vinduer under skærmlåsen. Problemet er løst ved forbedret overvågning af tastetryk.
CVE-id
CVE-2014-1380: Ben Langfeld fra Mojo Lingo LLC
Sikkerhed – sikker transport
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3
Effekt: To byte hukommelse kunne være tilgængelig for en ekstern hacker
Beskrivelse: Der var et problem med adgang til ikke-initialiseret hukommelse ved behandling af DTLS-beskeder på en TLS-forbindelse. Problemet er løst ved kun at acceptere DTLS-beskeder på en DTLS-forbindelse.
CVE-id
CVE-2014-1361: Thijs Alkemade fra The Adium Project
Thunderbolt
Fås til: OS X Mavericks 10.9 til 10.9.3
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med overskredet hukommelse ved behandling af API-kald fra IOThunderBoltController. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2014-1381: Sarah, også kaldet winocm
Post opdateret 3. februar 2020