Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Ez a frissítés a Szoftverfrissítés funkció segítségével, illetve az Apple támogatási webhelyéről tölthető le és telepíthető.
Az OS X Mavericks 10.9.2 és a 2014-001-es biztonsági frissítés
- 

- 

Apache

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Több biztonsági rés az Apache alkalmazásban.

Leírás: Több biztonsági rés volt az Apache alkalmazásban, amelyek közül a legsúlyosabb webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget. A hibákat az Apache 2.2.26-os verzióra való frissítése küszöböli ki.

CVE-azonosító

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Az alkalmazások sandboxa

A következőhöz érhető el: OS X Mountain Lion 10.8.5

Érintett terület: Az alkalmazások sandboxa megkerülhető volt.

Leírás: Az alkalmazások indítására szolgáló LaunchServices felület lehetővé tette a sandboxban lévő alkalmazásoknak, hogy meghatározzák az új folyamatnak átadandó argumentumok listáját. Ezt a körülményt kihasználva egy sandboxban lévő feltört alkalmazással megkerülhető volt a sandbox. A problémát azzal küszöbölték ki, hogy a sandboxban lévő alkalmazások számára megtiltották az argumentumok meghatározását. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.

CVE-azonosító

CVE-2013-5179 : Friedrich Graeter (The Soulmen GbR)

 

- 

- 

ATS

A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.

Leírás: Memóriasérülési hiba állt fenn az 1. típusú betűtípusok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1254 : Felix Groebert (Google Security Team)

 

- 

- 

ATS

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az alkalmazások sandboxa megkerülhető volt.

Leírás: Memóriasérülési hiba állt fenn az ATS felé továbbított Mach-üzenetek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1262 : Meder Kydyraliev (Google Security Team)

 

- 

- 

ATS

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az alkalmazások sandboxa megkerülhető volt.

Leírás: Egy tetszőleges felszabadítást előidéző hiba volt jelen az ATS felé továbbított Mach-üzenetek kezelésében. A problémát a Mach-üzenetek további hitelesítésével küszöbölték ki.

CVE-azonosító

CVE-2014-1255 : Meder Kydyraliev (Google Security Team)

 

- 

- 

ATS

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az alkalmazások sandboxa megkerülhető volt.

Leírás: Puffertúlcsordulást okozó probléma állt fenn az ATS felé továbbított Mach-üzenetek kezelésében. A problémát további határérték-ellenőrzéssel küszöbölték ki.

CVE-azonosító

CVE-2014-1256 : Meder Kydyraliev (Google Security Team)

 

- 

- 

Megbízható tanúsítványok házirendje

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Frissültek a gyökértanúsítványok.

Leírás: A rendszer gyökértanúsítványainak készlete frissítésre került. Az elismert rendszergyökerek teljes listája a Kulcskarika-elérés alkalmazásban tekinthető meg.

 

- 

- 

CFNetwork cookie-k

A következőhöz érhető el: OS X Mountain Lion 10.8.5

Érintett terület: Előfordult, hogy a munkameneti sütik megmaradtak a Safari visszaállítása után is.

Leírás: A Safari visszaállításával nem törlődött minden munkameneti süti a Safari bezárásáig. A problémát a munkameneti sütik kezelésének javítása révén küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.

CVE-azonosító

CVE-2014-1257 : Rob Ansaldo (Amherst College), Graham Bennett

 

- 

- 

CoreAnimation

A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

Leírás: Puffertúlcsordulást okozó probléma állt fenn a képek CoreAnimation általi kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1258 : Karl Smith (NCC Group)

 

- 

- 

CoreText

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintett terület: A CoreText technológiát használó alkalmazások sebezhetők lehetnek a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben.

Leírás: Aláírási probléma lépett fel a Unicode betűtípusok CoreText általi kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1261 : Lucas Apa és Carlos Mario Penagos (IOActive Labs)

 

- 

- 

curl

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.

Leírás: Ha a rendszer curl segítségével kapcsolódott egy IP-címet tartalmazó HTTPS URL-címhez, az IP-cím hitelesítése nem történt meg a tanúsítvánnyal. A probléma nem érinti az OS X Mavericks 10.9-es verziójánál korábbi rendszereket.

CVE-azonosító

CVE-2014-1263 : Roland Moriz (Moriz GmbH)

 

- 

- 

Adatbiztonság

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintett terület: Egy magas hálózati jogosultságú támadó adatokat tudott rögzíteni vagy módosítani SSL/TLS által védett munkamenetekben.

Leírás: Biztonságos átvitellel nem volt igazolható a kapcsolat hitelessége. A hiányzó igazolási lépések visszaállításával küszöbölték ki a problémát.

CVE-azonosító

CVE-2014-1266

 

- 

- 

Dátum és idő

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Leírás: Egy jogosulatlan felhasználó módosítani tudta a rendszerórát.

Leírás: A frissítés módosítja annak a parancsnak a viselkedését,
systemsetup
amely a rendszeróra módosításához rendszergazdai jogosultságokat követel meg.
CVE-azonosító

CVE-2014-1265

 

- 

- 

Fájlkönyvjelző

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az ártó szándékkal létrehozott nevű fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

Leírás: Puffertúlcsordulást okozó probléma állt fenn a fájlnevek kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1259

 

- 

- 

Finder

A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1

Érintet terület: Egy fájl ACL elemének Finderen keresztüli elérésekor más felhasználók jogosulatlanul hozzá tudtak férni a fájlokhoz.

Leírás: Egy fájl ACL elemének Finderen keresztüli elérésekor sérülhettek a fájl ACL elemei. A problémát az ACL elemek kezelésének javításával küszöbölték ki.

CVE-azonosító

CVE-2014-1264

 

- 

- 

ImageIO

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott JPEG-fájl megtekintése a memória tartalmának közzétételéhez vezetett.

Leírás: A JPEG-jelölők libjpeg általi kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn, ami a memória tartalmának közzétételét okozhatta. A problémát hatékonyabb JPEG-kezelés révén küszöbölték ki.

CVE-azonosító

CVE-2013-6629 : Michal Zalewski

 

- 

- 

IOSerialFamily

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

Leírás: Az IOSerialFamily illesztőprogramban a határértéket túllépő tömbhozzáférés volt megtalálható. A problémát további határérték-ellenőrzéssel küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.

CVE-azonosító

CVE-2013-5139 : @dent1zt

 

- 

- 

LaunchServices

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

Érintett terület: Egy fájl hibás kiterjesztéssel jelenhetett meg.

Leírás: Bizonyos unicode karakterek kezelése hibás volt, és emiatt a fájlnevek helytelen kiterjesztéssel jelenhettek meg. Ezt a hibát a megjelenített fájlnevekben található nem biztonságos unicode karakterek szűrésével küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.

CVE-azonosító

CVE-2013-5178 : Jesse Ruderman (Mozilla Corporation), Stephane Sudre (Intego)

 

- 

- 

NVIDIA-illesztőprogramok

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a grafikus kártyában.

Leírás: Egy probléma miatt lehetőség nyílt a grafikus kártyán lévő megbízható memóriára történő írásra. A problémát azzal küszöbölték ki, hogy megtiltották a gazdagép számára, hogy a memóriára írjon.

CVE-azonosító

CVE-2013-5986 : Marcin Kościelnicki, X.Org Foundation Nouveau projekt

CVE-2013-5987 : Marcin Kościelnicki, X.Org Foundation Nouveau projekt

 

- 

- 

PHP

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: A PHP több biztonsági rése.

Leírás: Több biztonsági rés volt a PHP-ben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé. A problémákat azzal küszöbölték ki, hogy frissítették a PHP-t az 5.4.24-es verzióra az OS X Mavericks 10.9 rendszeren, illetve az 5.3.28-as verzióra az OS X Lion és Mountain Lion rendszeren.

CVE-azonosító

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

A következőhöz érhető el: OS X Mountain Lion 10.8.5

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Memóriasérülési hiba állt fenn a Microsoft Office-fájlok QuickLook általi kezelésében. Az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.

CVE-azonosító

CVE-2014-1260 : Felix Groebert (Google Security Team)

 

- 

- 

QuickLook

A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az ártó szándékkal létrehozott Microsoft Word-dokumentumok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

Leírás: Egy kétszeres felszabadítást előidéző hiba állt fenn a Microsoft Word-dokumentumok QuickLook általi kezelésében. A memóriakezelés javításával küszöbölték ki a problémát.

CVE-azonosító

CVE-2014-1252 : Felix Groebert (Google Security Team)

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Puffertúlcsordulást okozó probléma állt fenn az „ftab” atomok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1246 : Anonim kutató a HP Zero Day Initiative kezdeményezésének közreműködőjeként

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Memóriasérülési hiba állt fenn a „dref” atomok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1247 : Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőiként

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Puffertúlcsordulást okozó probléma állt fenn az „ldat” atomok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1248 : Jason Kratzer az iDefense VCP-vel együttműködésben

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Az ártó szándékkal létrehozott PSD-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.

Leírás: Puffertúlcsordulást okozó probléma állt fenn a PSD-képek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1249 : dragonltx (Tencent Security Team)

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Egy határértéket túllépő bájtcserelési probléma állt fenn a „ttfo” elemek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1250 : Jason Kratzer az iDefense VCP-vel együttműködésben

 

- 

- 

QuickTime

A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

Leírás: Aláírási hiba állt fenn az „stsz” atomok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

CVE-azonosító

CVE-2014-1245 : Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőiként

 

- 

- 

Biztonságos átvitel

A következőhöz érhető el: OS X Mountain Lion 10.8.5

Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

Leírás: Támadások érték az SSL 3.0 és a TLS 1.0 titkosítását, amikor egy rejtjelcsomag blokkrejtjelet használt CBC-módban. A Biztonságos átvitelt használó alkalmazásokkal kapcsolatos problémák kiküszöbölése érdekében alapértelmezésként engedélyezték az 1 bájtos töredékcsökkentést ebben a konfigurációban.

 
CVE-azonosító

CVE-2011-3389 : Juliano Rizzo és Thai Duong