Om sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004.

Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

Bemærk: Sikkerhedsindholdet i Safari 7.0.6 indgår i OS X Mavericks v10.9.5.

OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004

  • apache_mod_php

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Flere sikkerhedsrisici i PHP 5.4.24

    Beskrivelse: Der opstod flere sikkerhedsrisici i PHP 5.4.24, hvoraf de mest alvorlige kan medføre vilkårlig kørsel af kode. Denne opdatering løser problemerne ved at opdatere PHP til version 5.4.30

    CVE-id

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af et Bluetooth API-kald. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4390: Ian Beer fra Google Project Zero

  • CoreGraphics

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller afsløring af oplysninger

    Beskrivelse: Der var et problem med overskredet hukommelse ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet

  • CoreGraphics

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet

  • Foundation

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Et program, der bruger NSXMLParser, kan misbruges til at afsløre oplysninger

    Beskrivelse: Der var et problem med XML-eksterne entiteter ved NSXMLParser-behandling af XML. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af oprindelsessteder.

    CVE-id

    CVE-2014-4374: George Gal fra VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Samling af GLSL-shaders, der ikke er tillid til, kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et user-space-bufferoverløb i shader-compileren. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere godkendelsesproblemer med nogle integrerede grafikdriverrutiner. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4394: Ian Beer fra Google Project Zero

    CVE-2014-4395: Ian Beer fra Google Project Zero

    CVE-2014-4396: Ian Beer fra Google Project Zero

    CVE-2014-4397: Ian Beer fra Google Project Zero

    CVE-2014-4398: Ian Beer fra Google Project Zero

    CVE-2014-4399: Ian Beer fra Google Project Zero

    CVE-2014-4400: Ian Beer fra Google Project Zero

    CVE-2014-4401: Ian Beer fra Google Project Zero

    CVE-2014-4416: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved behandling af IOKit API-argumenter. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

    CVE-id

    CVE-2014-4376: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et out of bounds-læseproblem ved behandling af en IOAcceleratorFamily-funktion. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4402: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: En lokal bruger kan læse kernemarkører, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kernen

    Beskrivelse: Der var et out of bounds-læseproblem ved behandling af en IOHIDFamily-funktion. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4379: Ian Beer fra Google Project Zero

  • IOKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af nogle metadatafelter i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-id

    CVE-2014-4388: @PanguTeam

  • IOKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktions. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4389: Ian Beer fra Google Project Zero

  • Kernel

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: En lokal bruger kan udlede kerneadresse og tilsidesætte ASLR (Address Space Layout Randomisation) for kernen

    Beskrivelse: I nogle tilfælde blev Global Descriptor Table allokeret på en forudsigelig adresse. Problemet blev løst ved altid at allokere Global Descriptor Table på vilkårlige adresser.

    CVE-id

    CVE-2014-4403: Ian Beer fra Google Project Zero

  • Libnotify

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

    Beskrivelse: Der var et out of bounds-skriveproblem i Libnotify. Problemet er løst ved forbedret kontrol af grænser

    CVE-id

    CVE-2014-4381: Ian Beer fra Google Project Zero

  • OpenSSL

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4

    Effekt: OpenSSL 0.9.8y indeholdt flere sikkerhedsrisici, bl.a. en, der kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL 0.9.8y. Problemet er løst ved at opdatere OpenSSL til version 0.9.8za.

    CVE-id

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af RLE-krypterede filmarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-1391: Fernando Munoz, der arbejder for iDefense VCP, Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative

  • QT Media Foundation

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4

    Effekt: Afspilning af et skadeligt MIDI-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af MIDI-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4350: s3tm3m, der arbejder for HP's Zero Day Initiative

  • QT Media Foundation

    Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4

    Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af 'mvhd'-atomer. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4979: Andrea Micalizzi, også kendt som rgod, der arbejder for HP's Zero Day Initiative

  • ruby

    Fås til: OS X Mavericks v10.9 til v10.9.4

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et heap-bufferoverløb ved LibYAML-behandlingen af procentkodede tegn i en URI. Problemet er løst ved forbedret kontrol af grænser. Denne opdatering løser problemerne ved at opdatere LibYAML til version 0.1.6

    CVE-id

    CVE-2014-2525

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: