Over beveiligingsupdate 2014-002

In dit document wordt de beveiligingsinhoud van beveiligingsupdate 2014-002 beschreven.

Deze update kan worden gedownload en geïnstalleerd via de voorkeuren van Software-update of vanaf de Apple Support-website.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsreleases voor meer informatie over andere beveiligingsupdates.

  • CFNetwork HTTPProtocol

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 en OS X Mavericks 10.9.2

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan in het bezit komen van referenties voor een website

    Beschrijving: HTTP-headers 'Set-Cookie' worden dan verwerkt zelfs als de verbinding wordt verbroken voordat de headerregel is voltooid. Een aanvaller kan beveiligingsinstellingen strippen uit de cookie door de verbinding geforceerd te verbreken voordat de beveiligingsinstellingen zijn verzonden en daarna de waarde van de onbeveiligde cookie verkrijgen. Dit probleem is opgelost door onvolledige HTTP-headerregels te negeren.

    CVE-ID

    CVE-2014-1296: Antoine Delignat-Lavaud van Prosecco van Inria Paris

  • CoreServicesUIAgent

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een opmaaktekenreeks bij de verwerking van URL's. Dit probleem is verholpen door extra validatie van URL's. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks.

    CVE-ID

    CVE-2014-1315: Lukasz Pilorz van runic.pl, Erik Kooistra

  • FontParser

    Beschikbaar voor: OS X Mountain Lion v10.8.5

    Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferonderloop bij de verwerking van lettertypen in pdf-bestanden. Dit probleem is verholpen door aanvullende bereikcontrole. Dit probleem is niet van invloed op systemen met OS X Mavericks.

    CVE-ID

    CVE-2013-5170: Will Dormann van CERT/CC

  • Heimdal Kerberos

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: een externe aanvaller kan een denial of service veroorzaken

    Beschrijving: er was sprake van een 'reachable abort' bij de verwerking van ASN.1-gegevens. Dit probleem is opgelost door aanvullende validatie van ASN.1-gegevens.

    CVE-ID

    CVE-2014-1316: Joonas Kuorilehto van Codenomicon

  • ImageIO

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: het bekijken van een kwaadwillig vervaardigde JPEG-afbeelding kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was sprake van een bufferoverloop bij de verwerking van JPEG-afbeeldingen door ImageIO. Dit probleem is verholpen door verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks.

    CVE-ID

    CVE-2014-1319: Cristian Draghici van Modulo Consulting, Karl Smith van NCC Group

  • Intel Graphics Driver

    Beschikbaar voor: OS X Mountain Lion v10.8.5 en OS X Mavericks 10.9.2

    Impact: een schadelijk programma kan de controle over het systeem overnemen

    Beschrijving: er was sprake van een validatieprobleem bij de verwerking van een pointer vanuit de gebruikersruimte. Dit probleem is verholpen door aanvullende validatie van pointers.

    CVE-ID

    CVE-2014-1318: Ian Beer van Google Project Zero, in samenwerking met het Zero Day Initiative van HP

  • IOKit Kernel

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: een lokale gebruiker kan kernelpointers lezen, wat kan worden gebruikt bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte{

    Beschrijving: een set kernelpointers die is opgeslagen in een IOKit-object kan worden opgehaald uit de gebruikersruimte. Dit probleem is verholpen door de pointers uit het object te verwijderen.

    CVE-ID

    CVE-2014-1320: Ian Beer van Google Project Zero, in samenwerking met het Zero Day Initiative van HP

  • Kernel

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: een lokale gebruiker kan kernelpointers lezen, wat kan worden gebruikt bij het omzeilen van de randomisatiebescherming voor de indeling van adresruimte

    Beschrijving: een kernelpointer die wordt bewaard in een XNU-object, kan worden opgehaald uit de gebruikersruimte. Dit probleem is verholpen door de pointer uit het object te verwijderen.

    CVE-ID

    CVE-2014-1322: Ian Beer van Google Project Zero

  • Power Management

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: het scherm wordt mogelijk niet vergrendeld

    Beschrijving: als net na het sluiten van de klep op een toets wordt gedrukt of de trackpad wordt aangeraakt, bestaat de kans dat het systeem probeert de sluimerstand te verlaten terwijl deze net wordt ingeschakeld, waardoor het scherm wordt ontgrendeld. Dit probleem is opgelost door toetsindrukken te negeren terwijl de computer in de slaapstand gaat. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks.

    CVE-ID

    CVE-2014-1321: Paul Kleeberg van Stratis Health Bloomington MN, Julian Sincu van de Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda van R&A, Daniel Luz

  • Ruby

    Beschikbaar voor: OS X Mavericks 10.9.2

    Impact: het uitvoeren van een Ruby-script dat niet-vertrouwde YAML-tags verwerkt, kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een overloop van gehele getallen bij de verwerking van YAML-tags door LibYAML. Dit probleem is verholpen door aanvullende validatie van YAML-tags. Dit probleem is niet van invloed op systemen ouder dan OS X Mavericks.

    CVE-ID

    CVE-2013-6393

  • Ruby

    Beschikbaar voor: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 en OS X Mavericks 10.9.2

    Impact: het uitvoeren van een Ruby-script dat niet-vertrouwde invoer gebruikt om een zwevend object te maken, kan leiden tot onverwachte beëindiging van het programma of het uitvoeren van willekeurige code

    Beschrijving: er is een probleem met de overloop van een buffer die op een heap is gebaseerd bij het converteren van een tekenreeks naar een waarde met een zwevende komma. Dit probleem is verholpen door aanvullende validatie van waarden met een zwevende komma.

    CVE-ID

    CVE-2013-4164

  • Security - Secure Transport

    Beschikbaar voor: OS X Mountain Lion v10.8.5 en OS X Mavericks 10.9.2

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan gegevens vastleggen of de bewerkingen wijzigen die worden uitgevoerd in sessies die zijn beveiligd met SSL

    Beschrijving: in een 'triple handshake'-aanval was het mogelijk voor een aanvaller om twee verbindingen op te zetten met dezelfde encryptiesleutels en handshake, de eigen gegevens te gebruiken met de ene verbinding en vervolgens opnieuw te onderhandelen zodat de verbindingen naar elkaar worden doorgestuurd. Om dit soort aanvallen te voorkomen, is Secure Transport zo gewijzigd dat bij een nieuwe onderhandeling standaard hetzelfde servercertificaat moet worden overhandigd als bij de oorspronkelijke verbinding. Dit probleem is niet van toepassing op systemen met Mac OS X 10.7 en ouder.

    CVE-ID

    CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan en Alfredo Pironti van Prosecco van Inria Paris

  • WindowServer

    Beschikbaar voor: OS X Mountain Lion v10.8.5 en OS X Mavericks 10.9.2

    Impact: kwaadwillig vervaardigde programma's kunnen willekeurige code buiten de sandbox uitvoeren

    Beschrijving: programma's in een sandbox kunnen WindowServer-sessies opzetten. Dit probleem is opgelost door programma's in een sandbox niet toe te staan WindowServer-sessies op te zetten.

    CVE-ID

    CVE-2014-1314: KeenTeam in samenwerking met het Zero Day Initiative van HP

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: