Tietoja OS X Mavericks 10.9.5:n ja suojauspäivitys 2014-004:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Mavericks 10.9.5:n ja suojauspäivitys 2014-004:n turvallisuussisällöstä.

Päivityksen voi ladata ja asentaa Ohjelmiston päivityksen avulla tai Applen tukisivustolta.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Huomautus: OS X Mavericks 10.9.5:ssä on Safari 7.0.6:n turvallisuussisältö.

OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004

  • apache_mod_php

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: PHP 5.4.24:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP 5.4.24:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä PHP versioon 5.4.30.

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Bluetooth API-kutsun käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4390: Google Project Zeron Ian Beer

  • CoreGraphics

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai tietojen paljastumisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli muistin rajojen ylittämiseen liittyvä lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano

  • CoreGraphics

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano

  • Foundation

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: NSXMLParseria käyttävää ohjelmaa saatettiin käyttää väärin tietojen paljastamiseen.

    Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.

    CVE-ID

    CVE-2014-4374: VSR:n George Gal (http://www.vsecurity.com/)

  • Intelin grafiikkaohjain

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Ei-luotettujen GLSL-varjostinten kääntäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Varjostinkääntäjässä oli käyttäjätilan puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4393: Apple

  • Intelin grafiikkaohjain

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Joissakin integroidun näytönohjaimen rutiineissa oli useita tarkistukseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4394: Google Project Zeron Ian Beer

    CVE-2014-4395: Google Project Zeron Ian Beer

    CVE-2014-4396: Google Project Zeron Ian Beer

    CVE-2014-4397: Google Project Zeron Ian Beer

    CVE-2014-4398: Google Project Zeron Ian Beer

    CVE-2014-4399: Google Project Zeron Ian Beer

    CVE-2014-4400: Google Project Zeron Ian Beer

    CVE-2014-4401: Google Project Zeron Ian Beer

    CVE-2014-4416: Google Project Zeron Ian Beer

  • IOAcceleratorFamily

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu IOKit API-argumenttien parannetulla tarkistuksella.

    CVE-ID

    CVE-2014-4376: Google Project Zeron Ian Beer

  • IOAcceleratorFamily

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4402: Google Project Zeron Ian Beer

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Paikallinen käyttäjä pystyi lukemaan kernel-osoittimet, joita voitiin käyttää ohittamaan kernel-osoitetilan asettelun satunnaistaminen.

    Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4379: Google Project Zeron Ian Beer

  • IOKit

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4389: Google Project Zeron Ian Beer

  • Kernel

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä selvittämään kernel-osoitteita ja ohittamaan kernel-osoitetilan asettelun satunnaistamisen.

    Kuvaus: Prosessorin yleinen kuvaajataulukko oli joskus allokoitu ennustettavissa olevaan osoitteeseen. Ongelma on ratkaistu allokoimalla yleinen kuvaajataulukko aina satunnaiseen osoitteeseen.

    CVE-ID

    CVE-2014-4403: Google Project Zeron Ian Beer

  • Libnotify

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4381: Google Project Zeron Ian Beer

  • OpenSSL

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: OpenSSL 0.9.8y:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: OpenSSL 0.9.8y:ssä oli useita haavoittuvuuksia. Ongelmat on ratkaistu tässä päivityksessä päivittämällä OpenSSL versioon 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: RLE-koodattujen elokuvatiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-1391: iDefense VCP:n parissa työskentelevä Fernando Munoz sekä HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates

  • QT Media Foundation

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haitallisen MIDI-tiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: MIDI-tiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4350: HP:n Zero Day Initiativen parissa työskentelevä s3tm3m

  • QT Media Foundation

    Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.

    Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: mvhd-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4979: HP:n Zero Day Initiativen parissa työskentelevä Andrea Micalizzi eli rgod

  • ruby

    Saatavuus: OS X Mavericks 10.9–10.9.4.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: LibYAML:n tavassa käsitellä URI:ssa olevia prosenttikoodattuja merkkejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelmat on ratkaistu tässä päivityksessä päivittämällä LibYAML versioon 0.1.6.

    CVE-ID

    CVE-2014-2525

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: