A 2014-005-ös biztonsági frissítés ismertetése

Ez a dokumentum a 2014-005-ös biztonsági frissítés biztonsági változásjegyzékét ismerteti.

A frissítés a Szoftverfrissítés segítségével, illetve az Apple-támogatás letöltési webhelyéről tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

A 2014-005-ös biztonsági frissítés

• Secure Transport

  A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

  Érintett terület: A támadó adott esetben dekódolni tudta az SSL által védett adatokat.

  Leírás: Az SSL 3.0 titkosítását érintő támadások fordultak el, amelyeknél egy titkosítási készlet blokktitkosítást használt CBC-módban. A támadók kényszeríteni tudták az SSL 3.0 használatát akkor is, ha a szerver egy jobb TLS-verziót is támogatott volna. Ezt úgy tudták elérni, hogy blokkolták a TLS 1.0-s és újabb verziójú kapcsolatokat. Úgy hárítottuk el a problémát, hogy letiltottuk a CBC titkosítási készleteket a sikertelen TLS kapcsolódási kísérleteknél.

  CVE-ID

  CVE-2014-3566: Bodo Moeller, Thai Duong és Krzysztof Kotowicz (Google Security Team)

Megjegyzés: A 2014-005-ös biztonsági frissítés tartalmazza az OS X bash Update 1.0 biztonsági tartalmát