Om sikkerhedsindholdet i OS X Mavericks v10.9.4 og sikkerhedsopdatering 2014-003

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.4 og sikkerhedsopdatering 2014-003.

Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Bemærk: OS X Mavericks 10.9.4 inkluderer sikkerhedsindholdet i Safari 7.0.5.

OS X Mavericks v10.9.4 og sikkerhedsopdatering 2014-003

  • Politik for certifikatgodkendelse

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Du kan se den komplette liste med certifikater i artiklen http://support.apple.com/kb/HT6005?viewlocale=da_DK.

  • copyfile

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Åbning af et skadeligt .zip-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med overskredet byte swapping ved behandling af AppleDouble-arkiver i .zip-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1370: Chaitanya (SegFault), der arbejder sammen med iDefense VCP

  • curl

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En hacker kan få adgang til en anden brugers session

    Beskrivelse: cURL med genbrug af NTLM-forbindelser og mere end en enkelt godkendelsesmetode gjorde det muligt for en hacker at få adgang til en anden brugers session.

    CVE-id

    CVE-2014-0015

  • Dok

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Et sandbox-program kan muligvis gå uden om sandbox-begrænsningerne.

    Beskrivelse: Der var et problem med et array-indeks, der ikke er godkendt, i Docks behandling af beskeder fra programmer. En skadelig besked kunne forårsage, at der blev refereret til en ugyldig funktionspointer, hvilket kunne medføre pludselig programlukning eller kørsel af vilkårlig kode.

    CVE-id

    CVE-2014-1371: En anonym anmelder, der arbejder sammen med HP's Zero Day Initiative

  • Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: En lokal bruger kan læse kernehukommelse, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

    Beskrivelse: Der var et out-of-bounds-læseproblem ved behandling af et systemkald. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1372: Ian Beer fra Google Project Zero

  • iBooks Commerce

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En hacker med systemadgang kan gendanne legitimationsoplysninger for Apple-id

    Beskrivelse: Der var et problem ved behandling af iBooks-logarkiver. iBooks-processen kunne logge legitimationsoplysninger for Apple-id i iBooks-logarkivet, hvor andre systembrugere kunne læse det. Problemet er løst ved at fjerne tilladelsen til at logføre legitimationsoplysninger.

    CVE-id

    CVE-2014-1317: Steve Dunham

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af et API-kald fra OpenGL. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1373: Ian Beer fra Google Project Zero

  • Intel Graphics Driver

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En lokal bruger kan læse en kernemarkør, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

    Beskrivelse: En kernemarkør, der er arkiveret i et IOKit-objekt, kunne opfanges fra userland. Problemet er løst ved at fjerne markøren fra objektet.

    CVE-id

    CVE-2014-1375

  • Intel Compute

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af et API-kald fra OpenCL. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1376: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med array-indeksering i IOAcceleratorFamily. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1377: Ian Beer fra Google Project Zero

  • IOGraphicsFamily

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En lokal bruger kan læse en kernemarkør, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

    Beskrivelse: En kernemarkør, der er arkiveret i et IOKit-objekt, kunne opfanges fra userland. Problemet er løst ved at anvende et entydigt id i stedet for en markør.

    CVE-id

    CVE-2014-1378

  • IOReporting

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En lokal bruger kunne forårsage pludselig systemgenstart

    Beskrivelse: Der var en reference til en null-pointer ved behandling af IOKit API-argumenter. Problemet er løst med forbedret godkendelse af IOKit API-argumenter.

    CVE-id

    CVE-2014-1355: cunzhang fra Adlab hos Venustech

  • launchd

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med heltalsunderløb i launchd. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1359: Ian Beer fra Google Project Zero

  • launchd

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløbsproblem i heap ved launchd-behandling af IPC-beskeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1356: Ian Beer fra Google Project Zero

  • launchd

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløbsproblem i heap ved launchd-behandling af logbeskeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1357: Ian Beer fra Google Project Zero

  • launchd

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med heltalsoverløb i launchd. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1358: Ian Beer fra Google Project Zero

  • Graphics Drivers

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med null-dereference i kernegrafikdrivere. Et skadeligt 32-bit-programarkiv kunne muligvis få udvidede rettigheder.

    CVE-id

    CVE-2014-1379: Ian Beer fra Google Project Zero

  • Sikkerhed – nøglering

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: En hacker kan muligvis skrive i vinduer under skærmlåsen

    Beskrivelse: I sjældne tilfælde opfangede skærmlåsen ikke tastetryk. Dette kunne gøre det muligt for en hacker at skrive i vinduer under skærmlåsen. Problemet er løst ved forbedret overvågning af tastetryk.

    CVE-id

    CVE-2014-1380: Ben Langfeld fra Mojo Lingo LLC

  • Sikkerhed – sikker transport

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Effekt: To byte hukommelse kunne være tilgængelig for en ekstern hacker.

    Beskrivelse: Der var et problem med adgang til ikke-initialiseret hukommelse ved behandling af DTLS-beskeder på en TLS-forbindelse. Problemet er løst ved kun at acceptere DTLS-beskeder på en DTLS-forbindelse.

    CVE-id

    CVE-2014-1361: Thijs Alkemade fra The Adium Project

  • Thunderbolt

    Fås til: OS X Mavericks 10.9 til 10.9.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med overskredet hukommelse ved behandling af API-kald fra IOThunderBoltController. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1381: Catherine, også kaldet winocm

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: