Informationen zum Sicherheitsinhalt von OS X Mavericks 10.9.5 und zum Sicherheitsupdate 2014-004
In diesem Dokument wird der Sicherheitsinhalt von OS X Mavericks 10.9.5 und das Sicherheitsupdate 2014-004 beschrieben.
Diese Aktualisierung kann über die Option Softwareupdate oder von der Apple Supportwebsite geladen und installiert werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit findest du auf der Website zur Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit findest du unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates findest du unter Apple-Sicherheitsupdates.
Hinweis: OS X Mavericks 10.9.5 umfasst den Sicherheitsinhalt von Safari 7.0.6.
OS X Mavericks 10.9.5 und Sicherheitsupdate 2014-004
apache_mod_php
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: diverse Schwachstellen in PHP 5.4.24
Beschreibung: In PHP 5.4.24 lagen diverse Schwachstellen vor, von denen die schwerwiegendste zur Ausführung willkürlichen Codes führen konnte. Dieses Update behebt die Probleme, indem PHP auf die Version 5.4.30 aktualisiert wird.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung eines Bluetooth-API-Aufrufs trat ein Validierungsproblem auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4390: Ian Beer von Google Project Zero
CoreGraphics
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zum unerwarteten Programmabbruch oder zur Offenlegung von Informationen führen.
Beschreibung: Bei der Verarbeitung von PDF-Dateien traten Out-of-Bound-Lesevorgänge im Arbeitsspeicher auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program
CoreGraphics
Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 und OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Öffnen einer in böswilliger Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte es zu einem Ganzzahlüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program
Foundation
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein mit NSXMLParser laufendes Programm kann zur Offenlegung von Informationen missbraucht werden.
Beschreibung: Bei der XML-Verarbeitung durch NSXMLParser trat ein Problem bei einer XML-externen Entität auf. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.
CVE-ID
CVE-2014-4374: George Gal von VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Kompilieren nicht vertrauenswürdiger GLSL-Shader kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Im Shader-Compiler trat ein user-space-Pufferüberlauf auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.
Beschreibung: In bestimmten integrierten Grafiktreiberroutinen traten diverse Validierungsprobleme auf. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4394: Ian Beer von Google Project Zero
CVE-2014-4395: Ian Beer von Google Project Zero
CVE-2014-4396: Ian Beer von Google Project Zero
CVE-2014-4397: Ian Beer von Google Project Zero
CVE-2014-4398: Ian Beer von Google Project Zero
CVE-2014-4399: Ian Beer von Google Project Zero
CVE-2014-4400: Ian Beer von Google Project Zero
CVE-2014-4401: Ian Beer von Google Project Zero
CVE-2014-4416: Ian Beer von Google Project Zero
IOAcceleratorFamily
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung von IOKit-API-Argumenten wurde ein Nullzeiger dereferenziert. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.
CVE-ID
CVE-2014-4376: Ian Beer von Google Project Zero
IOAcceleratorFamily
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung einer IOAcceleratorFamily-Funktion trat ein Problem bei Out-of-Bound-Lesevorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4402: Ian Beer von Google Project Zero
IOHIDFamily
OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein lokaler Benutzer kann Kernel-Zeiger lesen und so die Kernel-ASLR (Address Space Layout Randomization) umgehen.
Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem bei Out-of-Bound-Lesevorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4379: Ian Beer von Google Project Zero
IOKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Systemrechten ausführen.
Beschreibung: Bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten trat ein Validierungsproblem auf. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
CVE-2014-4389: Ian Beer von Google Project Zero
Impact: A malicious application may be able to execute arbitrary code with system privileges
Description: An integer overflow existed in the handling of IOKit functions. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2014-4389 : Ian Beer of Google Project Zero
Kernel
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein lokaler Benutzer kann Kernel-Adressen ableiten und so die Kernel-ASLR (Address Space Layout Randomization) umgehen.
Beschreibung: In manchen Fällen wurde die CPU-GDT (Global Descriptor Table) einer vorhersehbaren Adresse zugewiesen. Dieses Problem wurde dadurch behoben, dass die Global Descriptor Table immer zufälligen Adressen zugewiesen wird.
CVE-ID
CVE-2014-4403: Ian Beer von Google Project Zero
Libnotify
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann willkürlichen Code mit Root-Rechten ausführen.
Beschreibung: In Libnotify trat ein Problem bei Out-of-Bound-Schreibvorgängen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4381: Ian Beer von Google Project Zero
OpenSSL
Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: diverse Schwachstellen in OpenSSL 0.9.8y, von denen eine zur Ausführung willkürlichen Codes führen kann
Beschreibung: In OpenSSL 0.9.8y lagen diverse Schwachstellen vor. Dieses Update behebt das Problem, indem OpenSSL auf die Version 0.9.8za aktualisiert wird.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung RLE-kodierter Videodateien trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1391: Fernando Munoz in Zusammenarbeit mit iDefense VCP, Tom Gallagher & Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP
QT Media Foundation
Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten MIDI-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von MIDI-Dateien konnte es zu einem Pufferüberlauf kommen. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4350: s3tm3m in Zusammenarbeit mit der HP Zero Day Initiative von HP
QT Media Foundation
Verfügbar für: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Abspielen einer in böswilliger Absicht erstellten Videodatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.
Beschreibung: Bei der Verarbeitung von „dref“-Atomen trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4979: Andrea Micalizzi alias rgod in Zusammenarbeit mit der HP Zero Day Initiative von HP
ruby
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Angreifer kann aus der Ferne die Ausführung willkürlichen Codes auslösen.
Beschreibung: Bei der Verarbeitung prozentkodierter Zeichen in einem URI durch LibYAML trat ein Heap Buffer Overflow auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Dieses Update behebt die Probleme durch die Aktualisierung von LibYAML auf die Version 0.1.6
CVE-ID
CVE-2014-2525
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.