Denne opdatering kan hentes og installeres via Softwareopdatering eller Apples side med overførsler.
For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
Bemærk: Sikkerhedsindholdet i Safari 7.0.6 indgår i OS X Mavericks v10.9.5.
OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004
apache_mod_php
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Flere sikkerhedsrisici i PHP 5.4.24
Beskrivelse: Der opstod flere sikkerhedsrisici i PHP 5.4.24, hvoraf de mest alvorlige kan medføre vilkårlig kørsel af kode. Denne opdatering løser problemerne ved at opdatere PHP til version 5.4.30
CVE-id
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem ved behandling af et Bluetooth API-kald. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4390: Ian Beer fra Google Project Zero
CoreGraphics
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller afsløring af oplysninger
Beskrivelse: Der var et problem med overskredet hukommelse ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
CoreGraphics
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der opstod et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet
Foundation
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et program, der bruger NSXMLParser, kan misbruges til at afsløre oplysninger
Beskrivelse: Der var et problem med XML-eksterne entiteter ved NSXMLParser-behandling af XML. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af oprindelsessteder.
CVE-id
CVE-2014-4374: George Gal fra VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Samling af GLSL-shaders, der ikke er tillid til, kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et user-space-bufferoverløb i shader-compileren. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4393: Apple
Intel Graphics Driver
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere godkendelsesproblemer med nogle integrerede grafikdriverrutiner. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4394: Ian Beer fra Google Project Zero
CVE-2014-4395: Ian Beer fra Google Project Zero
CVE-2014-4396: Ian Beer fra Google Project Zero
CVE-2014-4397: Ian Beer fra Google Project Zero
CVE-2014-4398: Ian Beer fra Google Project Zero
CVE-2014-4399: Ian Beer fra Google Project Zero
CVE-2014-4400: Ian Beer fra Google Project Zero
CVE-2014-4401: Ian Beer fra Google Project Zero
CVE-2014-4416: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer ved behandling af IOKit API-argumenter. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.
CVE-id
CVE-2014-4376: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et out of bounds-læseproblem ved behandling af en IOAcceleratorFamily-funktion. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4402: Ian Beer fra Google Project Zero
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: En lokal bruger kan læse kernemarkører, der kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kernen
Beskrivelse: Der var et out of bounds-læseproblem ved behandling af en IOHIDFamily-funktion. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4379: Ian Beer fra Google Project Zero
IOKit
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem ved behandling af nogle metadatafelter i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.
CVE-id
CVE-2014-4388: @PanguTeam
IOKit
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktions. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4389: Ian Beer fra Google Project Zero
Kernel
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: En lokal bruger kan udlede kerneadresse og tilsidesætte ASLR (Address Space Layout Randomisation) for kernen
Beskrivelse: I nogle tilfælde blev Global Descriptor Table allokeret på en forudsigelig adresse. Problemet blev løst ved altid at allokere Global Descriptor Table på vilkårlige adresser.
CVE-id
CVE-2014-4403: Ian Beer fra Google Project Zero
Libnotify
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: Der var et out of bounds-skriveproblem i Libnotify. Problemet er løst ved forbedret kontrol af grænser
CVE-id
CVE-2014-4381: Ian Beer fra Google Project Zero
OpenSSL
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4
Effekt: OpenSSL 0.9.8y indeholdt flere sikkerhedsrisici, bl.a. en, der kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL 0.9.8y. Problemet er løst ved at opdatere OpenSSL til version 0.9.8za.
CVE-id
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af RLE-krypterede filmarkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-1391: Fernando Munoz, der arbejder for iDefense VCP, Tom Gallagher og Paul Bates, der arbejder for HP's Zero Day Initiative
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt MIDI-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb ved behandling af MIDI-arkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4350: s3tm3m, der arbejder for HP's Zero Day Initiative
QT Media Foundation
Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9 til v10.9.4
Effekt: Afspilning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af 'mvhd'-atomer. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4979: Andrea Micalizzi, også kendt som rgod, der arbejder for HP's Zero Day Initiative
ruby
Fås til: OS X Mavericks v10.9 til v10.9.4
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et heap-bufferoverløb ved LibYAML-behandlingen af procentkodede tegn i en URI. Problemet er løst ved forbedret kontrol af grænser. Denne opdatering løser problemerne ved at opdatere LibYAML til version 0.1.6
CVE-id
CVE-2014-2525