Om sikkerhetsinnholdet i OS X Mavericks v10.9.2 og sikkerhetsoppdatering 2014-001

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.2 og sikkerhetsoppdatering 2014-001.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.

OS X Mavericks 10.9.2 og sikkerhetsoppdatering 2014-001

  • Apache

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Flere sårbarheter i Apache

    Beskrivelse: Det var mange sårbarheter i Apache, og den alvorligste kan føre til skripting mellom nettsteder. Disse problemene ble løst ved å oppdatere Apache til versjon 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • App Sandbox

    Tilgjengelig for: OS X Mountain Lion v10.8.5

    Virkning: App Sandbox kan omgås

    Beskrivelse: LaunchServices-grensesnittet for å starte et program tillot at programmer i Sandbox kunne spesifisere argumentlisten som ble overført til den nye prosessen. Et kompromittert program i Sandbox kunne utnytte dette til å omgå Sandbox. Problemet ble løst ved å hindre at programmer i Sandbox spesifiserer argumenter. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter hos The Soulmen GbR

  • ATS

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Visning eller nedlasting av et dokument som inneholder en skadelig, innebygd font, kan føre til at vilkårlig kode kjøres

    Beskrivelse: Det forelå et problem med ødelagt hukommelse i håndteringen av Type 1-fonter. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1254: Felix Groebert fra Google Security Team

  • ATS

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: App Sandbox kan omgås

    Beskrivelse: Det forelå et problem med ødelagt hukommelse i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1262: Meder Kydyraliev i Google Security Team

  • ATS

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: App Sandbox kan omgås

    Beskrivelse: Det forelå et problem med vilkårlig ledig hukommelse i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst med ekstra validering av Mach-meldinger.

    CVE-ID

    CVE-2014-1255: Meder Kydyraliev i Google Security Team

  • ATS

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: App Sandbox kan omgås

    Beskrivelse: Det forelå et problem med bufferoverflyt i håndteringen av Mach-meldinger som ble sendt til ATS. Dette problemet ble løst ved ekstra grensekontroll.

    CVE-ID

    CVE-2014-1256: Meder Kydyraliev i Google Security Team

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Rotsertifikater har blitt oppdatert

    Beskrivelse: Settet av systemrotsertifikater har blitt oppdatert. Den komplette listen over gjenkjente systemrøtter kan vises via Nøkkelringtilgang-programmet.

  • CFNetwork-informasjonskapsler

    Tilgjengelig for: OS X Mountain Lion v10.8.5

    Virkning: Øktinformasjonskapsler kan bestå også etter at Safari har blitt nullstilt

    Beskrivelse: Nullstilling av Safari slettet ikke øktinformasjonskapsler før Safari ble lukket. Problemet ble løst ved forbedret håndtering av øktinformasjonskapsler. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.

    CVE-ID

    CVE-2014-1257: Rob Ansaldo ved Amherst College, Graham Bennett

  • CoreAnimation

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Besøk på et skadelig nettsted kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med heap-bufferoverflyt i CoreAnimations håndtering av bilder. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1258: Karl Smith i NCC Group

  • CoreText

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: Programmer som bruker CoteText, kan være utsatt for at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var et signedness-problem i CoreText i håndteringen av Unicode-fonter. Dette problemet løses ved forbedret grensekontroll.

    CVE-ID

    CVE-2014-1261: Lucas Apa og Carlos Mario Penagos ved IOActive Labs

  • curl

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: En angriper i en privilegert nettverksposisjon kan fange opp påloggingsopplysninger eller annen sensitiv informasjon

    Beskrivelse: Ved bruk av curl til å koble til en HTTPS URL med en IP-adresse, ble ikke IP-adressen validert mot sertifikatet. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks v10.9.

    CVE-ID

    CVE-2014-1263: Roland Moriz i Moriz GmbH

  • Datasikkerhet

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: En angriper med en nettverksposisjon med privilegier kan fange eller endre data i sesjoner beskyttet av SSL/TLS

    Beskrivelse: Secure Transport fikk ikke validert forbindelsens ekthet. Problemet ble løst ved å gjenopprette manglende valideringstrinn.

    CVE-ID

    CVE-2014-1266

  • Dato og klokkeslett

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: En uprivilegert bruker kan endre systemklokken

    Beskrivelse: Denne oppdateringen endrer virkemåten til

    systemsetup
    kommandoen som krever administratorrettigheter for å endre systemklokken.

    CVE-ID

    CVE-2014-1265

  • Filbokmerke

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Visning av en fil med skadelig navn kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av filnavn. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1259

  • Finder

    Tilgjengelig for: OS X Mavericks 10.9 og 10.9.1

    Virkning: Åpning av en fils ACL via Finder kan føre til at andre brukere får uautorisert tilgang til filer

    Beskrivelse: Åpning av en fils ACL via Finder kan ødelegge ACLene som er knyttet til filen. Problemet ble løst ved forbedret håndtering av ACLer.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Visning av en skadelig JPEG-fil kan føre til avsløring av hukommelsesinnhold

    Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i libjpegs håndtering av JPEG-markører, som førte til avsløring av hukommelsesinnhold. Dette problemet ble løst ved forbedret JPEG-håndtering.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i kjernen

    Beskrivelse: Det var en tilgang utenfor matriseområdet i IOSerialFamily-driveren. Dette problemet ble løst ved ekstra grensekontroll. Dette problemet gjelder ikke systemer som kjører OS X Mavericks v10.9 eller nyere.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Virkning: En fil kunne vise feil filendelse

    Beskrivelse: Det var et problem med håndteringen av enkelte Unicode-tegn som kunne tillate at filnavn viste feil filendelser. Problemet ble løst ved å filtrere usikre Unicode-tegn slik at de ikke ble vist i filnavn. Dette problemet gjelder ikke systemer som kjører OS X Mavericks v10.9 eller nyere.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman hos Mozilla Corporation, Stephane Sudre hos Intego

  • NVIDIA-drivere

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Kjøring av et skadelig program kan føre til at vilkårlig kode kjøres i grafikkortet

    Beskrivelse: Det var et problem som tillot skriving til klarert hukommelse på grafikkortet. Dette problemet ble løst ved å fjerne vertens mulighet til å skrive til denne hukommelsen.

    CVE-ID

    CVE-2013-5986: Marcin Kościelnicki i X.Org Foundation Nouveau-prosjektet

    CVE-2013-5987: Marcin Kościelnicki i X.Org Foundation Nouveau-prosjektet

  • PHP

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Flere svakheter i PHP

    Beskrivelse: Det var mange sårbarheter i PHP, og den alvorligste kan ha forårsaket kjøring av vilkårlig kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.4.24 for OS X Mavericks v10.9 og 5.3.28 for OS X Lion og Mountain Lion.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Tilgjengelig for: OS X Mountain Lion v10.8.5

    Virkning: Nedlasting av skadelige Microsoft Office-filer kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av en skadelige Microsoft Office-filer kan ha ført til at et program avsluttes uventet eller at vilkårlig kode utføres. Dette problemet gjelder ikke systemer som kjører OS X Mavericks 10.9 eller nyere.

    CVE-ID

    CVE-2014-1260: Felix Groebert fra Google Security Team

  • QuickLook

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Nedlasting av et skadelig Microsoft Word-dokument kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med dobbel frigivelse i QuickLooks håndtering av Microsoft Word-dokumenter. Problemet ble løst ved forbedret håndtering av hukommelsen.

    CVE-ID

    CVE-2014-1252: Felix Groebert fra Google Security Team

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av "ftab"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1246: En anonym forsker som arbeider med HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av "dref"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1247: Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av "ldat"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1248: Jason Kratzer som arbeider hos iDefense VCP

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Visning av et skadelig PSD-bilde kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var en bufferoverflyt i håndteringen av PSD-bilder. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1249: dragonltx i Tencent Security Team

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med byteveksling utenfor grensene i håndteringen av "ttfo"-elementer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1250: Jason Kratzer som arbeider hos iDefense VCP

  • QuickTime

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 og 10.9.1

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et signedness-problem i håndteringen av "stsz"-atomer. Dette problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1245: Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative

  • Secure Transport

    Tilgjengelig for: OS X Mountain Lion v10.8.5

    Virkning: En angriper kan dekryptere data som er beskyttet av SSL

    Beskrivelse Det fantes kjente angrep på personlig informasjon beskyttet av SSL 3.0 og TLS 1.0 når en chiffersamling brukte en blokkchiffrering i CBC-modus. For å løse disse problemene for programmer som bruker Secure Transport, ble 1-bytes fragmentforminskelse aktivert som standard for denne konfigurasjonen.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo og Thai Duong

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: