Over de beveiligingsinhoud van OS X Mavericks v10.9.2 en Beveiligingsupdate 2014-001

In dit document wordt de beveiligingsinhoud van OS X Mavericks v10.9.2 en Beveiligingsupdate 2014-001 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg ‘Hoe gebruikt u de Apple Product Security PGP-sleutel’ voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg ‘Apple-beveiligingsupdates’ voor meer informatie over andere beveiligingsupdates.

Deze update kan worden gedownload en geïnstalleerd via Software-update of vanaf de Apple Support-website.

OS X Mavericks 10.9.2 en Beveiligingsupdate 2014-001

  • Apache

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: er waren meerdere kwetsbaarheden in Apache waarvan de ernstigste kunnen leiden tot cross-site scripting. Deze problemen zijn verholpen door Apache bij te werken naar versie 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • Het programma Sandbox

    Beschikbaar voor: OS X Mountain Lion v10.8.5

    Impact: het programma Sandbox wordt mogelijk genegeerd

    Beschrijving: de interface LaunchServices voor het starten van een programma stond toe dat programma’s in de sandbox de lijst met argumenten, gegeven aan het nieuwe proces, specificeerde. Een aangepast programma in de sandbox kan dit misbruiken om de sandbox te negeren. Dit probleem is verholpen door te voorkomen dat programma’s in de sandbox argumenten kunnen opgeven. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter van The Soulmen GbR

  • ATS

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het bekijken of downloaden van een document met een kwaadwillig vervaardigd ingebed lettertype kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Type 1-letterypen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1254: Felix Groebert van het Google Security Team

  • ATS

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: het programma Sandbox wordt mogelijk genegeerd

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1262: Meder Kydyraliev van het Google Security Team

  • ATS

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: het programma Sandbox wordt mogelijk genegeerd

    Beschrijving: er was een willekeurig free-probleem bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door een extra validatie van Mach-berichten.

    CVE-ID

    CVE-2014-1255: Meder Kydyraliev van het Google Security Team

  • ATS

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het programma Sandbox wordt mogelijk genegeerd

    Beschrijving: er was een bufferoverloop bij de verwerking van Mach-berichten die naar ATS zijn doorgestuurd. Dit probleem is verholpen door middel van extra bounds checking.

    CVE-ID

    CVE-2014-1256: Meder Kydyraliev van het Google Security Team

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: rootcertificaten zijn bijgewerkt

    Beschrijving: de set rootcertificaten van het systeem is bijgewerkt. De complete lijst met erkende basiscertificaten kan worden bekeken via de toepassing Sleutelhangertoegang.

  • CFNetwork-cookies

    Beschikbaar voor: OS X Mountain Lion v10.8.5

    Impact: sessiecookies blijven zelfs na het opnieuw instellen van Safari behouden

    Beschrijving: het opnieuw instellen van Safari verwijderde niet altijd de sessiecookies totdat Safari werd gestopt. Dit probleem is verholpen door een verbeterde verwerking van sessiecookies. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.

    CVE-ID

    CVE-2014-1257: Rob Ansaldo van Amherst College, Graham Bennett

  • CoreAnimation

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van afbeeldingen door CoreAnimation. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1258: Karl Smith van NCC Group

  • CoreText

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: programma’s die CoreText gebruiken zijn mogelijk kwetsbaar voor het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een handtekeningprobleem bij de verwerking van Unicode-lettertypen door CoreText. Dit probleem wordt verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2014-1261: Lucas Apa en Carlos Mario Penagos van IOActive Labs

  • curl

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gebruikersgegevens of andere vertrouwelijke informatie onderscheppen

    Beschrijving: bij het gebruik van curl om verbinding te maken met een HTTPS-URL met een IP-adres, is het IP-adres niet gevalideerd met het certificaat. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks v10.9.

    CVE-ID

    CVE-2014-1263: Roland Moriz van Moriz GmbH

  • Gegevensbeveiliging

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan gegevens bemachtigen of wijzigen in SSL/TLS-beschermde sessies

    Beschrijving: Secure Transport heeft de echtheid van de verbinding niet gevalideerd. Dit probleem is verholpen door ontbrekende stappen bij de validatie te herstellen.

    CVE-ID

    CVE-2014-1266

  • Datum en tijd

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: een gebruiker zonder bevoegdheden kan de klok van het systeem veranderen

    Beschrijving: deze update wijzigt de werking van het commando

    systemsetup
    zodat beheerdersbevoegdheden zijn vereist om de klok van het systeem te veranderen.

    CVE-ID

    CVE-2014-1265

  • File Bookmark

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het weergeven van een bestand met een kwaadwillig vervaardigde naam, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van bestandsnamen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1259

  • Finder

    Beschikbaar voor: OS X Mavericks 10.9 en 10.9.1

    Impact: toegang tot de ACL van een bestand via de Finder kan ertoe leiden dat andere gebruikers onbevoegde toegang krijgen tot bestanden

    Beschrijving: toegang tot de ACL van een bestand via de Finder kan de ACL’s van het bestand beschadigen. Dit probleem is verholpen door een verbeterde verwerking van ACL’s.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot de vrijgave van geheugeninhoud

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van JPEG-markeringen in libjpeg, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een verbeterde verwerking van JPEG.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een arraytoegang buiten het bereik in het besturingsbestand IOSerialFamily. Dit probleem is verholpen door middel van extra bounds checking. Dit probleem is niet van invloed op systemen met OS X Mavericks v10.9 of hoger.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Impact: een bestand kan de verkeerde extensie tonen

    Beschrijving: er was een probleem bij de verwerking van bepaalde Unicode-tekens waardoor bestandsnamen onjuiste extensies toonden. Het probleem is verholpen door de filtering van onveilige Unicode-tekens voor de weergave van bestandsnamen. Dit probleem is niet van invloed op systemen met OS X Mavericks v10.9 of hoger.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman van Mozilla Corporation, Stephane Sudre van Intego

  • NVIDIA-besturingsbestanden

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de videokaart

    Beschrijving: er was een probleem waarbij naar het eigen geheugen van de videokaart kon worden geschreven. Dit probleem is verholpen door niet meer toe te staan dat de host naar het geheugen schrijft.

    CVE-ID

    CVE-2013-5986: Marcin Kościelnicki van het X.Org Foundation Nouveau project

    CVE-2013-5987: Marcin Kościelnicki van het X.Org Foundation Nouveau project

  • PHP

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: meerdere kwetsbaarheden in PHP

    Beschrijving: er waren meerdere kwetsbaarheden in PHP waarvan de ernstigste mogelijk hebben geleid tot het uitvoeren van willekeurige code. Deze problemen zijn verholpen door PHP bij te werken naar versie 5.4.24 in OS X Mavericks v10.9, en 5.3.28 in OS X Lion en Mountain Lion.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Beschikbaar voor: OS X Mountain Lion v10.8.5

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Microsoft Office-bestanden in QuickLook. Het downloaden van een kwaadwillig vervaardigd Microsoft Office-bestand heeft mogelijk geleid tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is niet van invloed op systemen met OS X Mavericks 10.9 of hoger.

    CVE-ID

    CVE-2014-1260: Felix Groebert van het Google Security Team

  • QuickLook

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het downloaden van een kwaadwillig vervaardigd Microsoft Word-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een double free-probleem bij de verwerking van Microsoft Word-documenten door QuickLook. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2014-1252: Felix Groebert van het Google Security Team

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van ‘ftab’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1246: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van ‘dref’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1247: Tom Gallagher & Paul Bates in samenwerking van het Zero Day Initiative van HP

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van ‘ldat’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1248: Jason Kratzer in samenwerking met iDefense VCP

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het bekijken van een kwaadwillig vervaardigde PSD-afbeelding kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van PSD-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1249: dragonltx van Tencent Security Team

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met ‘byte swapping’ buiten het bereik bij de verwerking van ‘ttfo’-elementen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1250: Jason Kratzer in samenwerking met iDefense VCP

  • QuickTime

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 en 10.9.1

    Impact: het afspelen van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een handtekeningprobleem bij de verwerking van ‘stsz’-atomen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-1245: Tom Gallagher & Paul Bates in samenwerking met het Zero Day Initiative van HP

  • Secure Transport

    Beschikbaar voor: OS X Mountain Lion v10.8.5

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er waren gekende aanvallen op de betrouwbaarheid van SSL 3.0 en TLS 1.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikte. Om deze problemen op te lossen voor programma's die Secure Transport gebruiken, is de matiging voor fragmenten van 1 byte standaard ingeschakeld voor deze configuratie.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo en Thai Duong

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: