Tietoja OS X Mavericks 10.9.2:n ja suojauspäivitys 2014-001:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mavericks 10.9.2:n ja suojauspäivitys 2014-001:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Päivityksen voi ladata ja asentaa Ohjelmiston päivityksen avulla tai Applen tukisivustolta.

OS X Mavericks 10.9.2 ja suojauspäivitys 2014-001

  • Apache

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Useita haavoittuvuuksia Apachessa.

    Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavimmat saattoivat johtaa sivustojenväliseen komentosarjahyökkäykseen. Ongelmat on ratkaistu päivittämällä Apache versioon 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • App Sandbox

    Saatavuus: OS X Mountain Lion 10.8.5.

    Vaikutus: App Sandbox saatettiin joskus ohittaa.

    Kuvaus: Ohjelmien käynnistämiseen käytettävä LaunchServices-liittymä salli eristettyjen ohjelmien määrittää argumentteja, jotka välitettiin uudelle prosessille. Jos eristetty ohjelma oli vaarantunut, se saattoi käyttää eristyksen ohittamista hyväkseen. Ongelma on ratkaistu estämällä eristettyjä ohjelmia määrittämästä argumentteja. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.

    CVE-ID

    CVE-2013-5179: The Soulmen GbR:n Friedrich Graeter

  • ATS

    Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Haitallisen upotetun kirjasimen sisältävän asiakirjan tarkasteleminen tai lataaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: Type 1 -kirjasinten käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1254: Google Security Teamin Felix Groebert

  • ATS

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: App Sandbox saatettiin joskus ohittaa.

    Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1262: Google Security Teamin Meder Kydyraliev

  • ATS

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: App Sandbox saatettiin joskus ohittaa.

    Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli mielivaltaiseen vapautukseen liittyvä ongelma. Ongelma on ratkaistu Mach-viestien lisätarkistuksella.

    CVE-ID

    CVE-2014-1255: Google Security Teamin Meder Kydyraliev

  • ATS

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: App Sandbox saatettiin joskus ohittaa.

    Kuvaus: ATS:ään välitettyjen Mach-viestien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2014-1256: Google Security Teamin Meder Kydyraliev

  • Varmenteiden luottamuskäytäntö

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Juurivarmenteet on päivitetty.

    Kuvaus: Järjestelmän juurivarmenteet on päivitetty. Tunnistettujen järjestelmäjuurten koko luettelon näkee Avainnipun käyttö -ohjelmasta.

  • CFNetwork Cookies

    Saatavuus: OS X Mountain Lion 10.8.5.

    Vaikutus: Istuntoevästeitä ei joskus poistettu edes Safarin nollaamisen jälkeen.

    Kuvaus: Istuntoevästeitä ei joskus poistettu Safarin nollauksen yhteydessä, kunnes Safari suljettiin. Ongelma on ratkaistu parantamalla istuntoevästeiden käsittelyä. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.

    CVE-ID

    CVE-2014-1257: Amherst Collegen Rob Ansaldo sekä Graham Bennett

  • CoreAnimation

    Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Haitallisella sivustolla käynti saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: CoreAnimationin tavassa käsitellä kuvia oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1258: NCC Groupin Karl Smith

  • CoreText

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: CoreTextiä käyttävät ohjelmat saattoivat olla alttiita ohjelman odottamattomalle sulkeutumiselle tai mielivaltaisen koodin suorittamiselle.

    Kuvaus: CoreTextin tavassa käsitellä Unicode-kirjasimia oli etumerkillisyyteen liittyvä ongelma. Tämä ongelma on ratkaistu rajojen parannetun tarkastuksen avulla.

    CVE-ID

    CVE-2014-1261: IOActive Labsin Lucas Apa ja Carlos Mario Penagos

  • curl

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada haltuunsa käyttäjän tunnistetiedot tai muita luottamuksellisia tietoja.

    Kuvaus: Kun curlia käytettiin yhteyden muodostamiseen IP-osoitteen sisältävään HTTPS-URL-osoitteeseen, IP-osoitetta ei validoitu varmenteeseen nähden. Tämä ongelma ei koske OS X Mavericks 10.9:ää vanhempia järjestelmiä.

    CVE-ID

    CVE-2014-1263: Moriz GmbH:n Roland Moriz

  • Tietoturva

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Hyökkääjä, jolla on etuoikeutettu verkkoasema, saattoi saada haltuunsa tai muokata tietoja istunnoissa, jotka on suojattu SSL/TLS:llä.

    Kuvaus: Secure Transport epäonnistui yhteyden aitouden validoinnissa. Ongelma on ratkaistu palauttamalla puuttuvat validointivaiheet.

    CVE-ID

    CVE-2014-1266

  • Päivämäärä ja aika

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Luvaton käyttäjä saattoi muuttaa järjestelmän kelloa.

    Kuvaus: Tämä päivitys muuttaa

    systemsetup
    -komennon toimintaa siten, että järjestelmän kellon muuttamiseen vaaditaan ylläpitäjän oikeudet.

    CVE-ID

    CVE-2014-1265

  • Tiedostokirjanmerkki

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisesti nimetyn tiedoston tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Tiedostonimien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1259

  • Finder

    Saatavuus: OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Tiedoston käyttöoikeusluettelon käyttäminen Finderin kautta saattoi johtaa siihen, että muut käyttäjät saivat luvattoman pääsyn tiedostoihin.

    Kuvaus: Tiedoston käyttöoikeusluettelo saattoi vioittua, jos sitä käytettiin Finderin kautta. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden käsittelyä.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen JPEG-tiedoston katselu saattoi aiheuttaa muistin sisällön paljastumisen.

    Kuvaus: libjpeg:n tavassa käsitellä JPEG-merkkejä oli alustamattoman muistin käyttöongelma, mikä johti muistin sisällön paljastumiseen. Ongelma on ratkaistu parantamalla JPEG-tiedostojen käsittelyä.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5 ja OS X Mountain Lion 10.8.5.

    Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: IOSerialFamily-ohjaimessa oli pääsy rajojen ulkopuoliseen matriisiin. Ongelma on ratkaistu rajojen lisätarkistuksella. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5 ja OS X Mountain Lion 10.8.5.

    Vaikutus: Tiedostolle saatettiin näyttää väärä tarkenne.

    Kuvaus: Joidenkin unicode-merkkien käsittelyssä oli ongelma, jonka vuoksi tiedostonimelle saatettiin näyttää väärä tarkenne. Ongelma on ratkaistu estämällä vaarallisten unicode-merkkien näyttäminen tiedostonimissä. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.

    CVE-ID

    CVE-2013-5178: Mozilla Corporationin Jesse Ruderman ja Integon Stephane Sudre

  • NVIDIA-ohjaimet

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen näytönohjaimessa.

    Kuvaus: Järjestelmässä oli ongelma, jonka vuoksi näytönohjaimen luotetun muistin joihinkin osiin pystyi kirjoittamaan. Ongelma on ratkaistu poistamalla isännän kyky kirjoittaa kyseiseen muistiin.

    CVE-ID

    CVE-2013-5986: X.Org-säätiön Nouveau-hankkeen Marcin Kościelnicki

    CVE-2013-5987: X.Org-säätiön Nouveau-hankkeen Marcin Kościelnicki

  • PHP

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP:ssä oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.4.24 OS X Mavericks 10.9:ssä ja 5.3.28:aan OS X Lionissa ja Mountain Lionissa.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • Pikakatselu

    Saatavuus: OS X Mountain Lion 10.8.5.

    Vaikutus: Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Pikakatselun tavassa käsitellä Microsoft Office -tiedostoja oli muistin vioittumisongelma. Haitallisen Microsoft Office -tiedoston lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen. Tämä ongelma ei koske järjestelmiä, joissa on OS X Mavericks 10.9 tai uudempi.

    CVE-ID

    CVE-2014-1260: Google Security Teamin Felix Groebert

  • Pikakatselu

    Saatavuus: OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9 ja 10.9.1.

    Vaikutus: Haitallisen Microsoft Word -dokumentin lataaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Pikakatselun tavassa käsitellä Microsoft Word -dokumentteja oli double free -ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2014-1252: Google Security Teamin Felix Groebert

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ftab-atomien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1246: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: dref-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1247: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ldat-atomien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1248: iDefense VCP:n parissa työskentelevä Jason Kratzer

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen PSD-kuvan tarkasteleminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: PSD-kuvien käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1249: Tencent Security Teamin dragonltx

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: ttfo-elementtien käsittelyssä oli muistin ulkopuolisten tavujen vaihtamisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1250: iDefense VCP:n parissa työskentelevä Jason Kratzer

  • QuickTime

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 sekä OS X Mavericks 10.9. ja 10.9.1.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: stsz-atomien käsittelyssä oli etumerkillisyyteen liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1245: HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates

  • Secure Transport

    Saatavuus: OS X Mountain Lion 10.8.5.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n ja TLS 1.0:n luottamuksellisuuteen kohdistui tunnettuja hyökkäyksiä, kun salausohjelmisto käytti lohkosalausta CBC-tilassa. Ongelmat on ratkaistu Secure Transportia käyttävien ohjelmien osalta ottamalla 1-tavuisen fragmentin estäminen oletusarvoisesti käyttöön tässä kokoonpanossa.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo ja Thai Duong

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: