Informationen zum Sicherheitsinhalt von OS X Mavericks 10.9.5 und Sicherheitsupdate 2014-004

Dieses Dokument beschreibt den Sicherheitsinhalt von OS X Mavericks 10.9.5 und dem Sicherheitsupdate 2014-004.

Diese Aktualisierung kann über die Option "Softwareaktualisierung" oder von der Apple Support-Website geladen und installiert werden.

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Nähere Informationen zur Apple-Produktsicherheit finden Sie auf der Website Apple-Produktsicherheit.

Informationen zum Apple-PGP-Schlüssel für die Produktsicherheit finden Sie unter Verwenden des PGP-Schlüssels für die Apple-Produktsicherheit.

Nach Möglichkeit werden zur vereinfachten Bezugnahme auf die Schwachstellen CVE-IDs verwendet.

Informationen zu weiteren Sicherheitsupdates finden Sie unter Apple-Sicherheitsupdates.

Hinweis: OS X Mavericks 10.9.5 beinhaltet den Sicherheitsinhalt von Safari 7.0.6.

OS X Mavericks 10.9.5 und Sicherheitsupdate 2014-004

  • apache_mod_php

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Mehrere Schwachstellen in PHP 5.4.24

    Beschreibung: In PHP 5.4.24 existierten mehrere Schwachstellen, die im schlimmsten Fall zur Ausführung willkürlichen Codes führen konnten. Mit dieser Aktualisierung werden die Probleme durch Aktualisierung von PHP auf Version 5.4.30 behoben.

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung eines Bluetooth API-Aufrufs bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4390: Ian Beer von Google Project Zero

  • CoreGraphics

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Offenlegung von Daten führen

    Beschreibung: Bei der Verarbeitung von PDF-Dateien trat ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • CoreGraphics

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Öffnen einer in böser Absicht erstellten PDF-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von PDF-Dateien konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano von Binamuse VRT in Zusammenarbeit mit dem iSIGHT Partners GVP Program

  • Foundation

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Programm, das NSXMLParser verwendet, könnte missbraucht werden, um Daten preiszugeben

    Beschreibung: Bei der Verarbeitung von XML-Daten konnte es zu einem Problem mit externen XML-Entitäten kommen. Das Problem wurde behoben, indem externe Entitäten nicht herkunftsübergreifend geladen werden.

    CVE-ID

    CVE-2014-4374: George Gal von VSR (http://www.vsecurity.com/)

  • Intel-Grafiktreiber

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Das Kompilieren nicht vertrauenswürdiger GLSL-Shader kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Im Shader-Compiler gab es einen User-Space-Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel-Grafiktreiber

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: In manchen integrierten Grafiktreiber-Routinen gab es mehrere Validierungsprobleme. Diese Probleme wurden durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4394: Ian Beer von Google Project Zero

    CVE-2014-4395: Ian Beer von Google Project Zero

    CVE-2014-4396: Ian Beer von Google Project Zero

    CVE-2014-4397: Ian Beer von Google Project Zero

    CVE-2014-4398: Ian Beer von Google Project Zero

    CVE-2014-4399: Ian Beer von Google Project Zero

    CVE-2014-4400: Ian Beer von Google Project Zero

    CVE-2014-4401: Ian Beer von Google Project Zero

    CVE-2014-4416: Ian Beer von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOKit API-Argumenten existierte eine NULL-Zeiger-Dereferenz. Dieses Problem wurde durch eine verbesserte Überprüfung von IOKit API-Argumenten behoben.

    CVE-ID

    CVE-2014-4376: Ian Beer von Google Project Zero

  • IOAcceleratorFamily

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung einer IOAcceleratorFamily-Funktion trat ein Problem mit Leseproblemen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4402: Ian Beer von Google Project Zero

  • IOHIDFamily

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein lokaler Benutzer kann Kernel-Zeiger lesen, die zur Umgehung der Kernel-ASLR (Address Space Layout Randomization) verwendet werden können

    Beschreibung: Bei der Verarbeitung einer IOHIDFamily-Funktion trat ein Problem mit Lesevorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4379: Ian Beer von Google Project Zero

  • IOKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Es existierte ein Validierungsproblem bei der Verarbeitung bestimmter Metadatenfelder von IODataQueue-Objekten. Dieses Problem wurde durch eine verbesserte Überprüfung von Metadaten behoben.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen

    Beschreibung: Bei der Verarbeitung von IOKit-Funktionen konnte ein Ganzzahlüberlauf auftreten. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4389: Ian Beer von Google Project Zero

  • Kernel

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein lokaler Benutzer kann Kerneladressen inferieren und die Kernel-ASLR (Address Space Layout Randomization) umgehen

    Beschreibung: In manchen Fällen wurde die CPU Global Descriptor Table an einer vorhersagbaren Adresse zugewiesen. Dieses Problem wurde dadurch behoben, dass die Global Descriptor Table immer an zufällig ausgewählten Adressen zugewiesen wird.

    CVE-ID

    CVE-2014-4403: Ian Beer von Google Project Zero

  • Libnotify

    Verfügbar für: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen

    Beschreibung: In Libnotify trat ein Problem mit Schreibvorgängen außerhalb der Speicherbegrenzungen auf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4381: Ian Beer von Google Project Zero

  • OpenSSL

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Mehrere Schwachstellen in OpenSSL 0.9.8y, darunter eine, die zur Ausführung willkürlichen Codes führen kann

    Beschreibung: In OpenSSL 0.9.8y gab es mehrere Schwachstellen. Dieses Update wurde durch Aktualisierung von OpenSSL auf Version 0.9.8za behoben.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von RLE-codierten Filmdateien gab es einen Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-1391: Fernando Munoz in Zusammenarbeit mit iDefense VCP, Tom Gallagher und Paul Bates in Zusammenarbeit mit der Zero Day Initiative von HP

  • QT Media Foundation

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten MIDI-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von MIDI-Dateien existierte ein Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4350: s3tm3m in Zusammenarbeit mit der Zero Day Initiative von HP

  • QT Media Foundation

    Verfügbar für: Mac OS X Lion 10.7.5, Mac OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Filmdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

    Beschreibung: Bei der Verarbeitung von 'mvhd'-Atomen existierte ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi (rgod) in Zusammenarbeit mit der Zero Day Initiative von HP

  • Ruby

    Verfügbar für: OS X Mavericks 10.9 bis 10.9.4

    Auswirkung: Ein Remote-Angreifer kann die Ausführung willkürlichen Codes verursachen

    Beschreibung: Bei der Verarbeitung von prozentcodierten Zeichen in einer URI durch LibYAML existierte ein Stapelpufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben. Diese Probleme werden mit diesem Update durch Aktualisierung auf LibYAML 0.1.6 behoben.

    CVE-ID

    CVE-2014-2525

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: