Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple Support-Website geladen und installiert werden.
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.
Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.
Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.
Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.
Hinweis: OS X Mavericks 10.9.5 beinhaltet den Sicherheitsinhalt von Safari 7.0.6.
OS X Mavericks 10.9.5 und Sicherheitsupdate 2014-004
apache_mod_php
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Mehrere Schwachstellen in PHP 5.4.24
Beschreibung: In PHP 5.4.24 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen konnten. Mit dieser Aktualisierung werden die Probleme durch Aktualisierung von PHP auf Version 5.4.30 behoben.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung eines Bluetooth API-Aufrufs bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4390: Ian Beer von Google Project Zero
CoreGraphics
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Offenlegung von Daten führen
Beschreibung: Bei der Verarbeitung von PDF-Dateien trat ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program
CoreGraphics
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program
Foundation
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Programm, das NSXMLParser verwendet, könnte missbraucht werden, um Daten preiszugeben
Beschreibung: Bei der Verarbeitung von XML-Daten konnte es zu einem Problem mit externen XML-Entitäten kommen. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.
CVE-ID
CVE-2014-4374: George Gal von VSR (http://www.vsecurity.com/)
Intel-Grafiktreiber
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Das Kompilieren nicht vertrauenswürdiger GLSL-Shader kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Im Shader-Compiler gab es einen User-Space-Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4393: Apple
Intel-Grafiktreiber
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: In manchen integrierten Grafiktreiber-Routinen gab es mehrere Validierungsprobleme. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4394: Ian Beer von Google Project Zero
CVE-2014-4395: Ian Beer von Google Project Zero
CVE-2014-4396: Ian Beer von Google Project Zero
CVE-2014-4397: Ian Beer von Google Project Zero
CVE-2014-4398: Ian Beer von Google Project Zero
CVE-2014-4399: Ian Beer von Google Project Zero
CVE-2014-4400: Ian Beer von Google Project Zero
CVE-2014-4401: Ian Beer von Google Project Zero
CVE-2014-4416: Ian Beer von Google Project Zero
IOAcceleratorFamily
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von IOKit API-Argumenten existierte eine NULL-Zeiger-Dereferenz. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.
CVE-ID
CVE-2014-4376: Ian Beer von Google Project Zero
IOAcceleratorFamily
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung einer IOAcceleratorFamily-Funktion trat ein Problem mit Leseproblemen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4402: Ian Beer von Google Project Zero
IOHIDFamily
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein lokaler Benutzer kann Kernel-Zeiger lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können
Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4379: Ian Beer von Google Project Zero
IOKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen
Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4389: Ian Beer von Google Project Zero
Kernel
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein lokaler Benutzer kann Kerneladressen inferieren und die Kernel-ASLR (Address Space Layout Randomization) umgehen
Beschreibung: In manchen Fällen wurde die CPU Global Descriptor Table an einer vorhersagbaren Adresse zugewiesen. Dieses Problem wurde dadurch behoben, dass die Global Descriptor Table immer an zufällig ausgewählten Adressen zugewiesen wird.
CVE-ID
CVE-2014-4403: Ian Beer von Google Project Zero
Libnotify
Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen
Beschreibung: In Libnotify trat ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4381: Ian Beer von Google Project Zero
OpenSSL
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Mehrere Schwachstellen in OpenSSL 0.9.8y, darunter eine, die zur Ausführung willkürlichen Codes führen kann
Beschreibung: In OpenSSL 0.9.8y gab es mehrere Schwachstellen. Dieses Update wurde durch Aktualisierung von OpenSSL auf Version 0.9.8za behoben.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von RLE-codierten Filmdateien gab es einen Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-1391: Fernando Munoz in Zusammenarbeit mit iDefense VCP, Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP
QT Media Foundation
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten MIDI-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von MIDI-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4350: s3tm3m in Zusammenarbeit mit der Zero Day Initiative von HP
QT Media Foundation
Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Bei der Verarbeitung von 'mvhd'-Atomen existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-ID
CVE-2014-4979: Andrea Micalizzi (rgod) in Zusammenarbeit mit der Zero Day Initiative von HP
Ruby
Verfügbar für: OS X Mavericks 10.9 bis 10.9.4
Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen
Beschreibung: Bei der Verarbeitung von prozentcodierten Zeichen in einer URI durch LibYAML existierte ein Stapelpufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Diese Probleme werden mit diesem Update durch Aktualisierung auf LibYAML 0.1.6 behoben.
CVE-ID
CVE-2014-2525