A frissítés a Szoftverfrissítés segítségével, illetve az Apple letöltési webhelyéről tölthető le és telepíthető.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Megjegyzés: Az OS X Mavericks 10.9.4 a Safari 7.0.5 biztonsági tartalmát foglalja magában.
Az OS X Mavericks 10.9.4 és a 2014-003-as biztonsági frissítés
Megbízható tanúsítványok házirendje
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A megbízható tanúsítványok házirendjének frissítése
Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT202858.
copyfile
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott ZIP-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
Leírás: Határértéket túllépő bájtcserelési probléma lépett fel a ZIP-archívumokban lévő AppleDouble-fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1370: Chaitanya (SegFault), az iDefense VCP közreműködőjeként
curl
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A távoli támadók hozzá tudtak férni egy másik felhasználó munkamenetéhez.
Leírás: A cURL újra felhasználta az NTLM-kapcsolatokat, ha több hitelesítési módszer volt aktiválva, ami miatt a támadók hozzá tudtak férni a felhasználók munkamenetéhez.
CVE-azonosító
CVE-2014-0015
Dock
A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A sandboxban lévő alkalmazások meg tudták kerülni a sandbox-korlátozásokat.
Leírás: Nem érvényesített tömbindexszel kapcsolatos hiba állt fenn az alkalmazásoktól érkező üzenetek Dock általi kezelésekor. Egy ártó szándékkal létrehozott üzenet érvénytelen függvénymutató visszakeresésére adott lehetőséget, ami váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.
CVE-azonosító
CVE-2014-1371: Anonim kutató a HP Zero Day Initiative kezdeményezésének közreműködőjeként
Grafikus illesztőprogram
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A helyi felhasználók olvasni tudták a kernelmemóriát, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization).
Leírás: Határérték-olvasási hiba állt fenn a rendszerhívások kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1372: Ian Beer (Google Project Zero)
iBooks-értékesítés
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerhez hozzáféréssel rendelkező támadók meg tudták szerezni az Apple ID hitelesítő adatait.
Leírás: Hiba lépett fel az iBooks-naplófájlok kezelésekor. Az iBooks-folyamat naplózni tudta az Apple ID hitelesítő adatait az iBooks-naplóban, és a rendszer többi felhasználója olvasni tudta őket. A problémát azáltal küszöbölték ki, hogy letiltották a hitelesítő adatok naplózását.
CVE-azonosító
CVE-2014-1317: Steve Dunham
Intel grafikus illesztőprogram
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hitelesítési hiba lépett fel egy OpenGL API-hívás kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1373: Ian Beer (Google Project Zero)
Intel grafikus illesztőprogram
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A helyi felhasználók be tudak olvasni egy kernelmutatót, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.
Leírás: Be lehetett olvasni egy IOKit objektumban tárolt kernelmutatót a felhasználói térből. A problémát azáltal küszöbölték ki, hogy eltávolították a mutatót az objektumból.
CVE-azonosító
CVE-2014-1375
Intel Compute
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hitelesítési hiba lépett fel egy OpenCL API-hívás kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1376: Ian Beer (Google Project Zero)
IOAcceleratorFamily
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Tömbindexszel kapcsolatos hiba lépett fel az IOAcceleratorFamily kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1377: Ian Beer (Google Project Zero)
IOGraphicsFamily
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A helyi felhasználók be tudak olvasni egy kernelmutatót, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.
Leírás: Be lehetett olvasni egy IOKit objektumban tárolt kernelmutatót a felhasználói térből. A hibát azáltal küszöbölték ki, hogy mutató helyett egy egyedi azonosítót alkalmaztak.
CVE-azonosító
CVE-2014-1378
IOReporting
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A helyi felhasználók váratlan rendszer-újraindítást tudtak előidézni.
Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOKit API-argumentumok kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.
CVE-azonosító
CVE-2014-1355: cunzhang (Adlab of Venustech)
launchd
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egészszám-alulcsordulást okozó probléma volt jelen a launchd keretrendszerben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1359: Ian Beer (Google Project Zero)
launchd
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma lépett fel az ICP-üzenetek launchd általi kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1356: Ian Beer (Google Project Zero)
launchd
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a naplóüzenetek launchd általi kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1357: Ian Beer (Google Project Zero)
launchd
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egészszám-túlcsordulást okozó probléma volt jelen a launchd keretrendszerben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1358: Ian Beer (Google Project Zero)
Grafikus illesztőprogramok
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Többszörös null dereferencia állt fenn a kernelek grafikus illesztőprogramjaiban. Egy ártó szándékkal létrehozott 32 bites futtatható fájl meg tudott szerezni magasabb szintű jogosultságokat.
CVE-azonosító
CVE-2014-1379: Ian Beer (Google Project Zero)
Biztonság – Kulcskarika
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A támadók gépelni tudtak a képernyőzár alatti ablakokba.
Leírás: Ritkán előfordult, hogy a képernyőzár nem tiltotta le a billentyűleütéseket. A hiba lehetővé tette a támadók számára, hogy gépeljenek a képernyőzár alatti ablakokba. A problémát a billentyűleütések hatékonyabb figyelésével küszöbölték ki.
CVE-azonosító
CVE-2014-1380: Ben Langfeld (Mojo Lingo LLC)
Biztonság – Biztonságos átvitel
A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.3.
Érintett terület: Kétbájtnyi memória felfedhető volt a távoli támadók által.
Leírás: A DTLS-üzenetek kezelésekor nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a TLS-kapcsolatok során. A hibát azáltal küszöbölték ki, hogy csak a DTLS-üzeneteket tették elfogadhatóvá a DTLS-kapcsolatokban.
CVE-azonosító
CVE-2014-1361: Thijs Alkemade (The Adium Project)
Thunderbolt
A következőkhöz érhető el: OS X Mavericks 10.9–10.9.3.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Határértéket túllépő memóriaolvasási probléma lépett fel az IOThunderBoltController API-hívások kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2014-1381: Catherine (más néven winocm)
Bejegyzés frissítve 2020. február 3-án.