ניתן להוריד עדכון זה על ידי בחירה באפשרות עדכוני תוכנה או באתר התמיכה של Apple.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה מלאה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. כדי לקבל מידע נוסף על 'אבטחת מוצרי Apple', עיינו בדף אבטחת מוצרי Apple.
לקבלת מידע על 'מפתח PGP לאבטחת מוצר' של Apple, עיינו במאמר כיצד להשתמש ב'מפתח PGP לאבטחת מוצר' של Apple.
כאשר הדבר אפשרי, מזהי CVE ID משמשים לייחוס פרצות האבטחה למידע נוסף.
כדי לקבל מידע נוסף על עדכוני אבטחה אחרים, עיינו בדף עדכוני אבטחה של Apple.
שימו לב: OS X Mavericks 10.9.4 כולל את תוכן האבטחה של Safari 7.0.5.
OS X Mavericks גרסה 10.9.4 ועדכון האבטחה 2014-003
מדיניות אמון באישורים
זמין עבור: OS X Lion גרסה 10.7.5, OS X Lio Server גרסה 10.7.5, OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: עדכון למדיניות האמון באישורים
תיאור: מדיניות האמון באישורים עודכנה. ניתן לצפות ברשימה מלאה של האישורים בדף https://support.apple.com/he-il/HT202858.
copyfile
זמין עבור: OS X Lion גרסה 10.7.5, OS X Lio Server גרסה 10.7.5, OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: פתיחת קובץ zip בעל מבנה זדוני עלולה להוביל לסיום לא צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: בעיה של החלפת בייטים מחוץ לתחום שהייתה קיימת בניהול קובצי AppleDouble בארכיוני zip. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1370 : צ'יטניה (SegFault) יחד עם iDefense VCP
curl
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: תוקף מרוחק עלול להשיג גישה להפעלה של משתמש אחר
תיאור: cURL השתמש מחדש בחיבורי NTLM כאשר הופעלה יותר משיטת אימות אחת, שאפשר לתוקף להשיג גישה להפעלה של משתמש אחר.
CVE-ID
CVE-2014-0015
Dock
זמין עבור: OS X Lion גרסה 10.7.5, OS X Lio Server גרסה 10.7.5, OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: ייתכן שיישום בארגז החול יוכל לעקוף את הגבלות ארגז החול
תיאור: בעיה באינדקס מערך לא מאומת הייתה קיימת בניהול ההודעות מיישומים של Dock. הודעה בעלת מבנה זדוני עלולה לגרום לביטול ההפניה של מצביע פונקציה לא תקין, שעלול להוביל לסיום לא צפוי של אפליקציה או להפעלת קוד שרירותי.
CVE-ID
CVE-2014-1371: חוקר אנונימי שעובד עם Zero Day Initiative של HP
Graphics Driver
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: משתמש מקומי יכול לקרוא זיכרון ליבה, שיכול לשמש כדי לעקוף הופעה אקראית של פריסת שטח כתובת הליבה
תיאור: בעיה של קריאה מחוץ לתחום שהייתה קיימת בטיפול בקריאת מערכת. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1372 : איאן ביר מ-Google Project Zero
iBooks Commerce
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: תוקף עם גישה למערכת עלול להצליח לשחזר הרשאות של Apple ID
תיאור: בעיה שהייתה קיימת בניהול דו"חות של iBooks. התהליך של iBooks יכול ליצור דו"ח הרשאות של ה-Apple ID בדו"חות של iBooks כאשר משתמשים אחרים של המערכת יכולים לקרוא אותם. בעיה זו טופלה על ידי ביטול האפשרות של יצירת דו"חות של הרשאות.
CVE-ID
CVE-2014-1317 : סטיב דנהאם
Intel Graphics Driver
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה באימות היתה קיימת בטיפול בקריאת OpenGL API. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1373 : איאן ביר מ-Google Project Zero
Intel Graphics Driver
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: משתמש מקומי יכול לקרוא מצביע ליבה, שיכול לשמש כדי לעקוף הופעה אקראית של פריסת שטח כתובת הליבה
תיאור: מצביע ליבה המאוחסן באובייקט IOKit ניתן לאחזור מ-userland. בעיה זו טופלה על ידי הסרת המצביע מהאובייקט.
CVE-ID
CVE-2014-1375
Intel Compute
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה באימות שהייתה קיימת בטיפול בקריאת API של OpenCL. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1376 : איאן ביר מ-Google Project Zero
IOAcceleratorFamily
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה שהייתה קיימת ביצירת אינדקס מערך ב-IOAcceleratorFamily. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1377 : איאן ביר מ-Google Project Zero
IOGraphicsFamily
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: משתמש מקומי יכול לקרוא מצביע ליבה, שיכול לשמש כדי לעקוף הופעה אקראית של פריסת שטח כתובת הליבה
תיאור: מצביע ליבה המאוחסן באובייקט IOKit ניתן לאחזור מ-userland. בעיה זו טופלה על ידי שימוש במזהה ייחדי במקום במצביע.
CVE-ID
CVE-2014-1378
IOReporting
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: משתמש מקומי יכול לגרום לאתחול לא צפוי של המערכת
תיאור: ביטול הפנייה של מצביע ריק היה קיים בטיפול בארגומנטים של ה-API של IOKit. בעיה זו טופלה באמצעות אימות נוסף של הארגומנטים ב-API של IOKit.
CVE-ID
CVE-2014-1355 : צונג'אנג מ-Adlab של Venustech
launchd
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: גלישה נומרית מלמטה שהייתה קיימת ב-launchd. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1359 : איאן ביר מ-Google Project Zero
launchd
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: גלישת חוצץ בערימה הייתה קיימת בניהול הודעות IPC של launchd. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1356 : איאן ביר מ-Google Project Zero
launchd
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: גלישת חוצץ בערימה הייתה קיימת בניהול רישום הודעות IPC של launchd. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1357 : איאן ביר מ-Google Project Zero
launchd
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: גלישה נומרית מלמעלה הייתה קיימת ב-launchd. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1358 : איאן ביר מ-Google Project Zero
Graphics Drivers
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיות מרובות של ביטול הפניות ריקות היו קיימות בהתקני ליבה גרפיים. ייתכן שקובץ הפעלה 32 סיביות בעל מבנה זדוני הצליח להשיג הרשאות ברמה גבוהה יותר.
CVE-ID
CVE-2014-1379 : איאן ביר מ-Google Project Zero
אבטחה - צרור מפתחות
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: תוקף עלול להצליח להקליד בחלונות דרך נעילת המסך
תיאור: במקרים נדירים, נעילת המסך לא יירטה הקשות. ייתכן שלתוקף הייתה אפשרות להקליד בחלונות דרך נעילת המסך. בעיה זו טופלה דרך ניהול משופר של צופה הקשות.
CVE-ID
CVE-2014-1380 : בן לנגפלד מ-Mojo Lingo LLC
אבטחה - העברה מאובטחת
זמין עבור: OS X Mountain Lion גרסה 10.8.5, OS X Mavericks 10.9 עד 10.9.3
השפעה: ייתכן ששני בייטים של זיכרון יהיו חשופים לתוקף מרוחק
תיאור: בעיה בגישה לזיכרון לא מאותחל שהייתה קיימת בניהול הודעות DTLS בחיבור TLS. בעיה זו טופלה על ידי אישור הודעות DTLS רק בחיבור DTLS.
CVE-ID
CVE-2014-1361 : תייס אלקמדה מ-The Adium Project
Thunderbolt
זמין עבור: OS X Mavericks 10.9 עד 10.9.3
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה של גישה לזיכרון מחוץ לתחום שהייתה קיימת בטיפול בקריאות ה-API של IOThunderBoltController. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-ID
CVE-2014-1381 :שרה, הידועה גם בשם winocm
הרשומה עודכנה ב-3 בפברואר 2020