Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
-
CFNetwork HTTPProtocol
Tilgjengelig for: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v 10.9.2
Virkning: En angriper i en privilegert nettverksplassering kan få nettstedsakkreditiver
Beskrivelse: Set-Cookie HTTP-overskrifter ville bli behandlet selv om forbindelsen ble avsluttet før overskriftslinjen ble fullført. En angriper kunne strippe sikkerhetsinnstillinger fra informasjonskapselen ved å tvinge forbindelsen til å avslutte før sikkerhetsinnstillingene ble sendt, og så få verdien til den ubeskyttede kapselen. Dette problemet ble løst ved å ignorere ufullstendige HTTP-overskriftslinjer.
CVE-ID
CVE-2014-1296: Antoine Delignat-Lavaud i Prosecco ved Inria Paris
-
CoreServicesUIAgent
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: Besøk på et skadelig nettsted eller en skadelig URL-adresse kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det var et problem med en formatstreng i håndteringen av URL-adresser. Dette problemet ble løst gjennom ekstra validering av URL-adresser. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.
CVE-ID
CVE-2014-1315: Lukasz Pilorz på runic.pl, Erik Kooistra
-
FontParser
Tilgjengelig for: OS X Mountain Lion v10.8.5
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres
Beskrivelse: Det var bufferunderflyt i håndteringen av fonter i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll. Problemet påvirker ikke OS X Mavericks-systemer.
CVE-ID
CVE-2013-5170: Will Dormann i CERT/CC
-
Heimdal Kerberos
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: En ekstern angriper kan forårsake nekting av tjeneste
Beskrivelse: Det fantes et tilgjengelig avbrudd i håndteringen av ASN.1-data. Dette problemet ble løst gjennom ekstra validering av ASN.1-data.
CVE-ID
CVE-2014-1316: Joonas Kuorilehto i Codenomicon
-
ImageIO
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: Visning av et skadelig JPEG-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med bufferoverflyt i ImageIOs håndtering av JPEG-bilder. Dette problemet ble løst ved forbedret grensekontroll. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.
CVE-ID
CVE-2014-1319: Cristian Draghici i Modulo Consulting, Karl Smith i NCC Group
-
Intel Graphics-driver
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2
Virkning: Et skadelig program kan ta kontroll over systemet
Beskrivelse: Det var et valideringsproblem i håndteringen av en peker fra userspace. Dette problemet ble løst gjennom ekstra validering av pekere.
CVE-ID
CVE-2014-1318: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative
-
IOKit Kernel
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: Et sett med kjernepekere som var lagret i et IOKit-objekt, kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekerne fra objektet.
CVE-ID
CVE-2014-1320: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative
-
Kjerne
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: En lokal bruker kan lese en kjernepeker, som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: En kjernepeker lagret i et XNU-objekt kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekeren fra objektet.
CVE-ID
CVE-2014-1322: Ian Beer ved Google Project Zero
-
Strømstyring
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: Skjermen låser seg kanskje ikke
Beskrivelse: Hvis du trykker på en tast eller berører styreflaten rett etter at dekslet lukkes, kan systemet ha forsøkt å våkne mens det gikk i dvale, slik at skjermen kan ha blitt låst opp. Dette problemet ble løst ved å ignorere tasttrykk når systemet går i dvale. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.
CVE-ID
CVE-2014-1321: Paul Kleeberg i Stratis Health Bloomington MN, Julian Sincu ved Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda i R&A, Daniel Luz
-
Ruby
Tilgjengelig for: OS X Mavericks 10.9.2
Virkning: Utføring av et Ruby-skript som håndterer ikke-klarerte YAML-koder, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med heltallsoverflyt i LibYAMLs håndtering av YAML-koder. Dette problemet ble løst gjennom ekstra validering av YAML-koder. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.
CVE-ID
CVE-2013-6393
-
Ruby
Tilgjengelig for: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v 10.9.2
Virkning: Utføring av et Ruby-skript som bruker ikke-klarerte inndata til å opprette et Float-objekt, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et heap-basert bufferoverflytsproblem i Ruby ved konvertering av en streng til en flytetallverdi. Dette problemet ble løst gjennom ekstra validering av flytetallverdier.
CVE-ID
CVE-2013-4164
-
Sikkerhet - Secure Transport
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2
Virkning: En angriper med privilegert nettverksplassering kan fange opp data eller endre operasjoner som utføres i sesjoner som er beskyttet av SSL
Beskrivelse: Ved "treveis håndtrykk"-angrep var det mulig for en angriper å opprette to forbindelser med samme krypteringsnøkler og håndtrykk, sette inn angriperens data i én forbindelse og forhandle på nytt, slik at forbindelsene kunne videresendes til hverandre. For å unngå angrep på grunnlag av dette scenariet ble Secure Transport endret, slik at en ny forhandling som standard må vise samme tjenersertifikat som ved den opprinnelige tilkoblingen. Problemet påvirker ikke Mac OS X 10.7 og eldre systemer.
CVE-ID
CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan og Alfredo Pironti i Prosecco ved Inria Paris
-
WindowServer
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2
Virkning: Skadelige programmer kan utføre vilkårlig kode utenfor sandkassen
Beskrivelse: WindowServer-økter kunne opprettes av programmer i sandkassen. Problemet ble løst ved ikke å tillate at programmer i sandkassen oppretter WindowServer-økter.
CVE-ID
CVE-2014-1314: KeenTeam som arbeider med HPs Zero Day Initiative
Merk: Sikkerhetsoppdatering 2014-002 for OS X Mavericks-systemer inkluderer sikkerhetsinnhold i Safari 7.0.3.