Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.
Deze update kan worden gedownload en geïnstalleerd via Software-update of vanaf de Apple Support-website.
OS X Mavericks 10.9.2 en Beveiligingsupdate 2014-001
-
Apache
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: meerdere kwetsbaarheden in Apache
Beschrijving: er waren meerdere kwetsbaarheden in Apache waarvan de ernstigste kunnen leiden tot cross-site scripting. Deze problemen zijn verholpen door Apache bij te werken naar versie 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
Het programma Sandbox
Beschikbaar voor: OS X Mountain Lion v10.8.5
Impact: het programma Sandbox wordt mogelijk genegeerd
Beschrijving: de interface LaunchServices voor het starten van een programma stond toe dat programma’s in de sandbox de lijst met argumenten, gegeven aan het nieuwe proces, specificeerde. Een aangepast programma in de sandbox kan dit misbruiken om de sandbox te negeren. Dit probleem is verholpen door te voorkomen dat programma’s in de sandbox argumenten kunnen opgeven. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.
CVE-ID
CVE-2013-5179: Friedrich Graeter van The Soulmen GbR
-
ATS
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Type 1-letterypen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1254: Felix Groebert van het Google Security Team
-
ATS
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: het programma Sandbox wordt mogelijk genegeerd
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1262: Meder Kydyraliev van het Google Security Team
-
ATS
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: het programma Sandbox wordt mogelijk genegeerd
Beschrijving: er was een willekeurig free-probleem bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door een extra validatie van Mach-berichten.
CVE-ID
CVE-2014-1255: Meder Kydyraliev van het Google Security Team
-
ATS
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het programma Sandbox wordt mogelijk genegeerd
Beschrijving: er was een bufferoverloop bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2014-1256: Meder Kydyraliev van het Google Security Team
-
Certificaatvertrouwensbeleid
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: rootcertificaten zijn bijgewerkt
Beschrijving: de set rootcertificaten van het systeem is bijgewerkt. De complete lijst met erkende basiscertificaten kan worden bekeken via de toepassing Sleutelhangertoegang.
-
CFNetwork-cookies
Beschikbaar voor: OS X Mountain Lion v10.8.5
Impact: sessiecookies blijven zelfs na het opnieuw instellen van Safari behouden
Beschrijving: het opnieuw instellen van Safari verwijderde niet altijd de sessiecookies totdat Safari werd gestopt. Dit probleem is verholpen door een verbeterde verwerking van sessiecookies. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.
CVE-ID
CVE-2014-1257: Rob Ansaldo van Amherst College, Graham Bennett
-
CoreAnimation
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van afbeeldingen door CoreAnimation. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1258: Karl Smith van NCC Group
-
CoreText
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: programma’s die CoreText gebruiken zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een handtekeningprobleem bij de verwerking van Unicode-lettertypen door CoreText. Dit probleem wordt verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2014-1261: Lucas Apa en Carlos Mario Penagos van IOActive Labs
-
curl
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen
Beschrijving: bij het gebruik van curl om verbinding te maken met een HTTPS-URL met een IP-adres, is het IP-adres niet gevalideerd met het certificaat. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks v10.9.
CVE-ID
CVE-2014-1263: Roland Moriz van Moriz GmbH
-
Gegevensbeveiliging
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gegevens bemachtigen of wijzigen in SSL/TLS-beschermde sessies
Beschrijving: Secure Transport heeft de echtheid van de verbinding niet gevalideerd. Dit probleem is verholpen door ontbrekende stappen bij de validatie te herstellen.
CVE-ID
CVE-2014-1266
-
Datum en tijd
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: een gebruiker zonder bevoegdheden kan de klok van het systeem veranderen
Beschrijving: deze update wijzigt de werking van het commando
systemsetup
zodat beheerdersbevoegdheden zijn vereist om de klok van het systeem te veranderen.CVE-ID
CVE-2014-1265
-
File Bookmark
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het weergeven van een bestand met een kwaadwillig vervaardigde naam, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van bestandsnamen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1259
-
Finder
Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1
Impact: toegang tot de ACL van een bestand via de Finder kan ertoe leiden dat andere gebruikers onbevoegde toegang krijgen tot bestanden
Beschrijving: toegang tot de ACL van een bestand via de Finder kan de ACL’s van het bestand beschadigen. Dit probleem is verholpen door een verbeterde verwerking van ACL’s.
CVE-ID
CVE-2014-1264
-
ImageIO
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot de vrijgave van geheugeninhoud
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van JPEG-markeringen in libjpeg, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een verbeterde verwerking van JPEG.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van extra bounds checking. Dit probleem is niet van invloed op systemen met OS X Mavericks v10.9 of hoger.
CVE-ID
CVE-2013-5139: @dent1zt
-
LaunchServices
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Impact: een bestand kan de verkeerde extensie tonen
Beschrijving: er was een probleem bij de verwerking van bepaalde Unicode-tekens waardoor bestandsnamen onjuiste extensies toonden. Het probleem is verholpen door de filtering van onveilige Unicode-tekens voor de weergave van bestandsnamen. Dit probleem is niet van invloed op systemen met OS X Mavericks v10.9 of hoger.
CVE-ID
CVE-2013-5178: Jesse Ruderman van Mozilla Corporation, Stephane Sudre van Intego
-
NVIDIA-besturingsbestanden
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de videokaart
Beschrijving: er was een probleem waarbij naar het eigen geheugen van de videokaart kon worden geschreven. Dit probleem is verholpen door niet meer toe te staan dat de host naar het geheugen schrijft.
CVE-ID
CVE-2013-5986: Marcin Kościelnicki van het X.Org Foundation Nouveau project
CVE-2013-5987: Marcin Kościelnicki van het X.Org Foundation Nouveau project
-
PHP
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: meerdere kwetsbaarheden in PHP
Beschrijving: er waren meerdere kwetsbaarheden in PHP waarvan de ernstigste mogelijk hebben geleid tot het uitvoeren van willekeurige code. Deze problemen zijn verholpen door PHP bij te werken naar versie 5.4.24 in OS X Mavericks v10.9, en 5.3.28 in OS X Lion en Mountain Lion.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
QuickLook
Beschikbaar voor: OS X Mountain Lion v10.8.5
Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand heeft mogelijk geleid tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.
CVE-ID
CVE-2014-1260: Felix Groebert van het Google Security Team
-
QuickLook
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Word-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een double free-probleem bij de verwerking van Microsoft Word-documenten door QuickLook. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2014-1252: Felix Groebert van het Google Security Team
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van ‘ftab’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1246: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van ‘dref’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1247: Tom Gallagher & Paul Bates in samenwerking van het Zero Day Initiative van HP
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van ‘ldat’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1248: Jason Kratzer in samenwerking met iDefense VCP
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het bekijken van een kwaadwillig vervaardigde PSD-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van PSD-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1249: dragonltx van Tencent Security Team
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met ‘byte swapping’ buiten het bereik bij de verwerking van ‘ttfo’-elementen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1250: Jason Kratzer in samenwerking met iDefense VCP
-
QuickTime
Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1
Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een handtekeningprobleem bij de verwerking van ‘stsz’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-1245: Tom Gallagher & Paul Bates in samenwerking met het Zero Day Initiative van HP
-
Secure Transport
Beschikbaar voor: OS X Mountain Lion v10.8.5
Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd
Beschrijving: er waren gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikte. Om deze problemen op te lossen voor programma's die Secure Transport gebruiken, is de matiging voor fragmenten van 1 byte standaard ingeschakeld voor deze configuratie.
CVE-ID
CVE-2011-3389: Juliano Rizzo en Thai Duong