Päivityksen voi ladata ja asentaa Ohjelmiston päivityksen avulla tai Applen tukisivustolta.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
Huomautus: OS X Mavericks 10.9.5:ssä on Safari 7.0.6:n turvallisuussisältö.
OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004
apache_mod_php
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: PHP 5.4.24:ssä oli useita haavoittuvuuksia.
Kuvaus: PHP 5.4.24:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä PHP versioon 5.4.30.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Bluetooth API-kutsun käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4390: Google Project Zeron Ian Beer
CoreGraphics
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai tietojen paljastumisen.
Kuvaus: PDF-tiedostojen käsittelyssä oli muistin rajojen ylittämiseen liittyvä lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4378: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano
CoreGraphics
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4377: iSIGHT Partners GVP Programin parissa työskentelevä Binamuse VRT:n Felipe Andres Manzano
Foundation
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: NSXMLParseria käyttävää ohjelmaa saatettiin käyttää väärin tietojen paljastamiseen.
Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.
CVE-ID
CVE-2014-4374: VSR:n George Gal (http://www.vsecurity.com/)
Intelin grafiikkaohjain
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Ei-luotettujen GLSL-varjostinten kääntäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Varjostinkääntäjässä oli käyttäjätilan puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4393: Apple
Intelin grafiikkaohjain
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Joissakin integroidun näytönohjaimen rutiineissa oli useita tarkistukseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.
CVE-ID
CVE-2014-4394: Google Project Zeron Ian Beer
CVE-2014-4395: Google Project Zeron Ian Beer
CVE-2014-4396: Google Project Zeron Ian Beer
CVE-2014-4397: Google Project Zeron Ian Beer
CVE-2014-4398: Google Project Zeron Ian Beer
CVE-2014-4399: Google Project Zeron Ian Beer
CVE-2014-4400: Google Project Zeron Ian Beer
CVE-2014-4401: Google Project Zeron Ian Beer
CVE-2014-4416: Google Project Zeron Ian Beer
IOAcceleratorFamily
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOKit API-argumenttien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu IOKit API-argumenttien parannetulla tarkistuksella.
CVE-ID
CVE-2014-4376: Google Project Zeron Ian Beer
IOAcceleratorFamily
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4402: Google Project Zeron Ian Beer
IOHIDFamily
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Paikallinen käyttäjä pystyi lukemaan kernel-osoittimet, joita voitiin käyttää ohittamaan kernel-osoitetilan asettelun satunnaistaminen.
Kuvaus: IOHIDFamily-funktion käsittelyssä oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4379: Google Project Zeron Ian Beer
IOKit
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4389: Google Project Zeron Ian Beer
Kernel
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä selvittämään kernel-osoitteita ja ohittamaan kernel-osoitetilan asettelun satunnaistamisen.
Kuvaus: Prosessorin yleinen kuvaajataulukko oli joskus allokoitu ennustettavissa olevaan osoitteeseen. Ongelma on ratkaistu allokoimalla yleinen kuvaajataulukko aina satunnaiseen osoitteeseen.
CVE-ID
CVE-2014-4403: Google Project Zeron Ian Beer
Libnotify
Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Libnotifyssa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4381: Google Project Zeron Ian Beer
OpenSSL
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: OpenSSL 0.9.8y:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: OpenSSL 0.9.8y:ssä oli useita haavoittuvuuksia. Ongelmat on ratkaistu tässä päivityksessä päivittämällä OpenSSL versioon 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: RLE-koodattujen elokuvatiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-1391: iDefense VCP:n parissa työskentelevä Fernando Munoz sekä HP:n Zero Day Initiativen parissa työskentelevät Tom Gallagher ja Paul Bates
QT Media Foundation
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haitallisen MIDI-tiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: MIDI-tiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4350: HP:n Zero Day Initiativen parissa työskentelevä s3tm3m
QT Media Foundation
Saatavuus: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9–10.9.4.
Vaikutus: Haitallisen elokuvatiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: mvhd-atomien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4979: HP:n Zero Day Initiativen parissa työskentelevä Andrea Micalizzi eli rgod
ruby
Saatavuus: OS X Mavericks 10.9–10.9.4.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: LibYAML:n tavassa käsitellä URI:ssa olevia prosenttikoodattuja merkkejä oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta. Ongelmat on ratkaistu tässä päivityksessä päivittämällä LibYAML versioon 0.1.6.
CVE-ID
CVE-2014-2525