Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról „Az Apple termékbiztonsági PGP-kulcs használata” című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről „Az Apple biztonsági frissítései” című cikkből tájékozódhat.
Ez a frissítés a Szoftverfrissítés funkció segítségével, illetve az Apple támogatási webhelyéről tölthető le és telepíthető.
Az OS X Mavericks 10.9.2 és a 2014-001-es biztonsági frissítés
-
Apache
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Több biztonsági rés az Apache alkalmazásban.
Leírás: Több biztonsági rés volt az Apache alkalmazásban, amelyek közül a legsúlyosabb webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget. A hibákat az Apache 2.2.26-os verzióra való frissítése küszöböli ki.
CVE-azonosító
CVE-2013-1862
CVE-2013-1896
-
Az alkalmazások sandboxa
A következőhöz érhető el: OS X Mountain Lion 10.8.5
Érintett terület: Az alkalmazások sandboxa megkerülhető volt.
Leírás: Az alkalmazások indítására szolgáló LaunchServices felület lehetővé tette a sandboxban lévő alkalmazásoknak, hogy meghatározzák az új folyamatnak átadandó argumentumok listáját. Ezt a körülményt kihasználva egy sandboxban lévő feltört alkalmazással megkerülhető volt a sandbox. A problémát azzal küszöbölték ki, hogy a sandboxban lévő alkalmazások számára megtiltották az argumentumok meghatározását. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.
CVE-azonosító
CVE-2013-5179 : Friedrich Graeter (The Soulmen GbR)
-
ATS
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott, beágyazott betűtípust tartalmazó dokumentum megtekintése vagy letöltése tetszőleges programkód végrehajtásához vezetett.
Leírás: Memóriasérülési hiba állt fenn az 1. típusú betűtípusok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1254 : Felix Groebert (Google Security Team)
-
ATS
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az alkalmazások sandboxa megkerülhető volt.
Leírás: Memóriasérülési hiba állt fenn az ATS felé továbbított Mach-üzenetek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1262 : Meder Kydyraliev (Google Security Team)
-
ATS
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az alkalmazások sandboxa megkerülhető volt.
Leírás: Egy tetszőleges felszabadítást előidéző hiba volt jelen az ATS felé továbbított Mach-üzenetek kezelésében. A problémát a Mach-üzenetek további hitelesítésével küszöbölték ki.
CVE-azonosító
CVE-2014-1255 : Meder Kydyraliev (Google Security Team)
-
ATS
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az alkalmazások sandboxa megkerülhető volt.
Leírás: Puffertúlcsordulást okozó probléma állt fenn az ATS felé továbbított Mach-üzenetek kezelésében. A problémát további határérték-ellenőrzéssel küszöbölték ki.
CVE-azonosító
CVE-2014-1256 : Meder Kydyraliev (Google Security Team)
-
Megbízható tanúsítványok házirendje
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Frissültek a gyökértanúsítványok.
Leírás: A rendszer gyökértanúsítványainak készlete frissítésre került. Az elismert rendszergyökerek teljes listája a Kulcskarika-elérés alkalmazásban tekinthető meg.
-
CFNetwork cookie-k
A következőhöz érhető el: OS X Mountain Lion 10.8.5
Érintett terület: Előfordult, hogy a munkameneti sütik megmaradtak a Safari visszaállítása után is.
Leírás: A Safari visszaállításával nem törlődött minden munkameneti süti a Safari bezárásáig. A problémát a munkameneti sütik kezelésének javítása révén küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.
CVE-azonosító
CVE-2014-1257 : Rob Ansaldo (Amherst College), Graham Bennett
-
CoreAnimation
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Egy ártó szándékkal létrehozott webhely meglátogatása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a képek CoreAnimation általi kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1258 : Karl Smith (NCC Group)
-
CoreText
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintett terület: A CoreText technológiát használó alkalmazások sebezhetők lehetnek a váratlan alkalmazásleállásokkal, illetve tetszőleges programkód végrehajtásával szemben.
Leírás: Aláírási probléma lépett fel a Unicode betűtípusok CoreText általi kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1261 : Lucas Apa és Carlos Mario Penagos (IOActive Labs)
-
curl
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintett terület: Egy magas hálózati jogosultságú támadó meg tudott szerezni felhasználói hitelesítési adatokat vagy egyéb bizalmas információkat.
Leírás: Ha a rendszer curl segítségével kapcsolódott egy IP-címet tartalmazó HTTPS URL-címhez, az IP-cím hitelesítése nem történt meg a tanúsítvánnyal. A probléma nem érinti az OS X Mavericks 10.9-es verziójánál korábbi rendszereket.
CVE-azonosító
CVE-2014-1263 : Roland Moriz (Moriz GmbH)
-
Adatbiztonság
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintett terület: Egy magas hálózati jogosultságú támadó adatokat tudott rögzíteni vagy módosítani SSL/TLS által védett munkamenetekben.
Leírás: Biztonságos átvitellel nem volt igazolható a kapcsolat hitelessége. A hiányzó igazolási lépések visszaállításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1266
-
Dátum és idő
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Leírás: Egy jogosulatlan felhasználó módosítani tudta a rendszerórát.
Leírás: A frissítés módosítja annak a parancsnak a viselkedését,
systemsetup
amely a rendszeróra módosításához rendszergazdai jogosultságokat követel meg.CVE-azonosító
CVE-2014-1265
-
Fájlkönyvjelző
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az ártó szándékkal létrehozott nevű fájlok megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a fájlnevek kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1259
-
Finder
A következőkhöz érhető el: OS X Mavericks 10.9 és 10.9.1
Érintet terület: Egy fájl ACL elemének Finderen keresztüli elérésekor más felhasználók jogosulatlanul hozzá tudtak férni a fájlokhoz.
Leírás: Egy fájl ACL elemének Finderen keresztüli elérésekor sérülhettek a fájl ACL elemei. A problémát az ACL elemek kezelésének javításával küszöbölték ki.
CVE-azonosító
CVE-2014-1264
-
ImageIO
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy egy ártó szándékkal létrehozott JPEG-fájl megtekintése a memória tartalmának közzétételéhez vezetett.
Leírás: A JPEG-jelölők libjpeg általi kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn, ami a memória tartalmának közzétételét okozhatta. A problémát hatékonyabb JPEG-kezelés révén küszöbölték ki.
CVE-azonosító
CVE-2013-6629 : Michal Zalewski
-
IOSerialFamily
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.
Leírás: Az IOSerialFamily illesztőprogramban a határértéket túllépő tömbhozzáférés volt megtalálható. A problémát további határérték-ellenőrzéssel küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.
CVE-azonosító
CVE-2013-5139 : @dent1zt
-
LaunchServices
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Érintett terület: Egy fájl hibás kiterjesztéssel jelenhetett meg.
Leírás: Bizonyos unicode karakterek kezelése hibás volt, és emiatt a fájlnevek helytelen kiterjesztéssel jelenhettek meg. Ezt a hibát a megjelenített fájlnevekben található nem biztonságos unicode karakterek szűrésével küszöbölték ki. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.
CVE-azonosító
CVE-2013-5178 : Jesse Ruderman (Mozilla Corporation), Stephane Sudre (Intego)
-
NVIDIA-illesztőprogramok
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a grafikus kártyában.
Leírás: Egy probléma miatt lehetőség nyílt a grafikus kártyán lévő megbízható memóriára történő írásra. A problémát azzal küszöbölték ki, hogy megtiltották a gazdagép számára, hogy a memóriára írjon.
CVE-azonosító
CVE-2013-5986 : Marcin Kościelnicki, X.Org Foundation Nouveau projekt
CVE-2013-5987 : Marcin Kościelnicki, X.Org Foundation Nouveau projekt
-
PHP
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: A PHP több biztonsági rése.
Leírás: Több biztonsági rés volt a PHP-ben, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé. A problémákat azzal küszöbölték ki, hogy frissítették a PHP-t az 5.4.24-es verzióra az OS X Mavericks 10.9 rendszeren, illetve az 5.3.28-as verzióra az OS X Lion és Mountain Lion rendszeren.
CVE-azonosító
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
QuickLook
A következőhöz érhető el: OS X Mountain Lion 10.8.5
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Memóriasérülési hiba állt fenn a Microsoft Office-fájlok QuickLook általi kezelésében. Az ártó szándékkal létrehozott Microsoft Office-fájlok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet. A probléma nem érinti az OS X Mavericks 10.9-es és újabb verzióját futtató rendszereket.
CVE-azonosító
CVE-2014-1260 : Felix Groebert (Google Security Team)
-
QuickLook
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az ártó szándékkal létrehozott Microsoft Word-dokumentumok letöltése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.
Leírás: Egy kétszeres felszabadítást előidéző hiba állt fenn a Microsoft Word-dokumentumok QuickLook általi kezelésében. A memóriakezelés javításával küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1252 : Felix Groebert (Google Security Team)
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma állt fenn az „ftab” atomok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1246 : Anonim kutató a HP Zero Day Initiative kezdeményezésének közreműködőjeként
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Memóriasérülési hiba állt fenn a „dref” atomok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1247 : Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőiként
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Puffertúlcsordulást okozó probléma állt fenn az „ldat” atomok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1248 : Jason Kratzer az iDefense VCP-vel együttműködésben
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Az ártó szándékkal létrehozott PSD-képek megtekintése váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezethet.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a PSD-képek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1249 : dragonltx (Tencent Security Team)
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Egy határértéket túllépő bájtcserelési probléma állt fenn a „ttfo” elemek kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1250 : Jason Kratzer az iDefense VCP-vel együttműködésben
-
QuickTime
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 és 10.9.1
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Aláírási hiba állt fenn az „stsz” atomok kezelésében. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.
CVE-azonosító
CVE-2014-1245 : Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőiként
-
Biztonságos átvitel
A következőhöz érhető el: OS X Mountain Lion 10.8.5
Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.
Leírás: Támadások érték az SSL 3.0 és a TLS 1.0 titkosítását, amikor egy rejtjelcsomag blokkrejtjelet használt CBC-módban. A Biztonságos átvitelt használó alkalmazásokkal kapcsolatos problémák kiküszöbölése érdekében alapértelmezésként engedélyezték az 1 bájtos töredékcsökkentést ebben a konfigurációban.
CVE-azonosító
CVE-2011-3389 : Juliano Rizzo és Thai Duong