Az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés biztonsági tartalmát ismerteti.

Ez a frissítés a Szoftverfrissítés segítségével, illetve az Apple letöltési webhelyéről tölthető le és telepíthető.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Megjegyzés: Az OS X Mavericks 10.9.5 magában foglalja a Safari 7.0.6 biztonsági tartalmát.

Az OS X Mavericks 10.9.5 és a 2014-004-es biztonsági frissítés

  • apache_mod_php

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: A PHP 5.4.24 több biztonsági rése.

    Leírás: A PHP 5.4.24 eszközben több biztonsági rés volt jelen, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtáshoz vezethetett. A frissítés a PHP 5.4.30-as verzióra való frissítéssel hárítja el a problémákat.

    CVE-azonosító

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Érvényesítési hiba történt egy Bluetooth API hívás kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4390 : Ian Beer, Google Project Zero

  • CoreGraphics

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy információ-közzétételhez vezetett.

    Leírás: Határértéket túllépő memóriaolvasási probléma lépett fel a PDF-fájlok kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4378 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • CoreGraphics

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egészszám-túlcsordulási probléma lépett fel a PDF-fájlok kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4377 : Felipe Andres Manzano (Binamuse VRT) az iSIGHT Partners GVP Program keretében

  • Foundation

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: Az NSXMLParser elemzőt használó alkalmazásokat fel lehetett használni az információk közzétételére.

    Leírás: Egy XML entitásfeldolgozási probléma lépett fel az XML NSXMLParser általi kezelésekor. A problémát azzal küszöbölték ki, hogy letiltották a külső entitások betöltését az eredeti elemek esetén.

    CVE-azonosító

    CVE-2014-4374 : George Gal (VSR, http://www.vsecurity.com/)

  • Intel grafikus illesztőprogram

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy a nem megbízható GLSL-shaderek összeállítása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: A shader összeállítójában a felhasználói felület puffertúlcsordulását okozó probléma állt fenn. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4393 : Apple

  • Intel grafikus illesztőprogram

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több érvényesítési hiba volt jelen egyes integrált grafikusillesztőprogram-rutinok esetén. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-4394 : Ian Beer, Google Project Zero

    CVE-2014-4395 : Ian Beer, Google Project Zero

    CVE-2014-4396 : Ian Beer, Google Project Zero

    CVE-2014-4397 : Ian Beer, Google Project Zero

    CVE-2014-4398 : Ian Beer, Google Project Zero

    CVE-2014-4399 : Ian Beer, Google Project Zero

    CVE-2014-4400 : Ian Beer, Google Project Zero

    CVE-2014-4401 : Ian Beer, Google Project Zero

    CVE-2014-4416 : Ian Beer, Google Project Zero

  • IOAcceleratorFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel az IOKit API argumentumok kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4376 : Ian Beer, Google Project Zero

  • IOAcceleratorFamily

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határértéket túllépő olvasási hiba történt egy IOAcceleratorFamily funkció kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4402 : Ian Beer, Google Project Zero

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A helyi felhasználók olvasni tudták a kernelmutatókat, aminek következtében meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.

    Leírás: Határérték-olvasási hiba állt fenn az egyik IOHIDFamily függvény kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4379 : Ian Beer (Google Project Zero)

  • IOKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

    CVE-azonosító

    CVE-2014-4388 : @PanguTeam

  • IOKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit függvények kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4389 : Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: A helyi felhasználók kernelcímekre tudtak következtetni, és meg tudták kerülni az ASLR-t (Address Space Layout Randomization) a kernel esetén.

    Leírás: Egyes esetekben a CPU globális leíró táblázat előre látható címre lett lefoglalva. A problémát úgy oldották meg, hogy mindig véletlenszerű címekre foglalták le a globális leíró táblázatot.

    CVE-azonosító

    CVE-2014-4403 : Ian Beer, Google Project Zero

  • Libnotify

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Határérték-írási hiba állt fenn a Libnotify esetén. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4381 : Ian Beer (Google Project Zero)

  • OpenSSL

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Az OpenSSL 0.9.8y több biztonsági rése; az egyik tetszőleges kódvégrehajtást tett lehetővé.

    Leírás: Az OpenSSL 0.9.8y eszközben több biztonsági rés volt jelen. A frissítés az OpenSSL 0.9.8za verziójára végzett frissítéssel megoldódott.

    CVE-azonosító

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT médiaalap

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az RLE-kódolt filmfájlok kezelésében memóriasérülési hiba állt fenn. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-1391 : Fernando Munoz, az iDefense VCP közreműködőjeként, Tom Gallagher és Paul Bates a HP Zero Day Initiative kezdeményezésének közreműködőiként

  • QT médiaalap

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott MIDI-fájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a MIDI-fájlok kezelésekor. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4350 : s3tm3m, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • QT médiaalap

    A következőkhöz érhető el: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Az „mvhd” atomok kezelésében memóriasérülési hiba állt fenn. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4979 : Andrea Micalizzi, vagyis rgod, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • ruby

    A következőkhöz érhető el: OS X Mavericks 10.9–10.9.4.

    Érintett terület: Egy távoli támadó tetszőleges kódvégrehajtást tudott előidézni.

    Leírás: Halompuffer-túlcsordulás történt a LibYAML által kezelt százalékos kódolású karakterekben egy URI-ban. Hatákonyabb határérték-ellenőrzéssel küszöbölték ki a problémát. Ez a frissítés a LibYAML 0.1.6-os verzióra végzett frissítésével oldja meg a problémákat.

    CVE-azonosító

    CVE-2014-2525

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: