Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Product Security.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil ha mer informasjon om sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
- 

- 

CFNetwork HTTPProtocol

Tilgjengelig for: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v 10.9.2

Virkning: En angriper i en privilegert nettverksplassering kan få nettstedsakkreditiver

Beskrivelse: Set-Cookie HTTP-overskrifter ville bli behandlet selv om forbindelsen ble avsluttet før overskriftslinjen ble fullført. En angriper kunne strippe sikkerhetsinnstillinger fra informasjonskapselen ved å tvinge forbindelsen til å avslutte før sikkerhetsinnstillingene ble sendt, og så få verdien til den ubeskyttede kapselen. Dette problemet ble løst ved å ignorere ufullstendige HTTP-overskriftslinjer.

CVE-ID

CVE-2014-1296: Antoine Delignat-Lavaud i Prosecco ved Inria Paris

 

- 

- 

CoreServicesUIAgent

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: Besøk på et skadelig nettsted eller en skadelig URL-adresse kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

Beskrivelse: Det var et problem med en formatstreng i håndteringen av URL-adresser. Dette problemet ble løst gjennom ekstra validering av URL-adresser. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.

CVE-ID

CVE-2014-1315: Lukasz Pilorz på runic.pl, Erik Kooistra

 

- 

- 

FontParser

Tilgjengelig for: OS X Mountain Lion v10.8.5

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

Beskrivelse: Det var bufferunderflyt i håndteringen av fonter i PDF-filer. Dette problemet ble løst ved ekstra grensekontroll. Problemet påvirker ikke OS X Mavericks-systemer.

CVE-ID

CVE-2013-5170: Will Dormann i CERT/CC

 

- 

- 

Heimdal Kerberos

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: En ekstern angriper kan forårsake nekting av tjeneste

Beskrivelse: Det fantes et tilgjengelig avbrudd i håndteringen av ASN.1-data. Dette problemet ble løst gjennom ekstra validering av ASN.1-data.

CVE-ID

CVE-2014-1316: Joonas Kuorilehto i Codenomicon

 

- 

- 

ImageIO

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: Visning av et skadelig JPEG-bilde kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det var et problem med bufferoverflyt i ImageIOs håndtering av JPEG-bilder. Dette problemet ble løst ved forbedret grensekontroll. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.

CVE-ID

CVE-2014-1319: Cristian Draghici i Modulo Consulting, Karl Smith i NCC Group

 

- 

- 

Intel Graphics-driver

Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

Virkning: Et skadelig program kan ta kontroll over systemet

Beskrivelse: Det var et valideringsproblem i håndteringen av en peker fra userspace. Dette problemet ble løst gjennom ekstra validering av pekere.

CVE-ID

CVE-2014-1318: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

 

- 

- 

IOKit Kernel

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

Beskrivelse: Et sett med kjernepekere som var lagret i et IOKit-objekt, kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekerne fra objektet.

CVE-ID

CVE-2014-1320: Ian Beer ved Google Project Zero som arbeider med HPs Zero Day Initiative

 

- 

- 

Kjerne

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: En lokal bruker kan lese en kjernepeker, som kan brukes til å omgå randomisering av kjerneadresseområdet

Beskrivelse: En kjernepeker lagret i et XNU-objekt kunne hentes fra userland. Dette problemet ble løst ved å fjerne pekeren fra objektet.

CVE-ID

CVE-2014-1322: Ian Beer ved Google Project Zero

 

- 

- 

Strømstyring

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: Skjermen låser seg kanskje ikke

Beskrivelse: Hvis du trykker på en tast eller berører styreflaten rett etter at dekslet lukkes, kan systemet ha forsøkt å våkne mens det gikk i dvale, slik at skjermen kan ha blitt låst opp. Dette problemet ble løst ved å ignorere tasttrykk når systemet går i dvale. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.

CVE-ID

CVE-2014-1321: Paul Kleeberg i Stratis Health Bloomington MN, Julian Sincu ved Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda i R&A, Daniel Luz

 

- 

- 

Ruby

Tilgjengelig for: OS X Mavericks 10.9.2

Virkning: Utføring av et Ruby-skript som håndterer ikke-klarerte YAML-koder, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det var et problem med heltallsoverflyt i LibYAMLs håndtering av YAML-koder. Dette problemet ble løst gjennom ekstra validering av YAML-koder. Problemet gjelder ikke for systemer som er eldre enn OS X Mavericks.

CVE-ID

CVE-2013-6393

 

- 

- 

Ruby

Tilgjengelig for: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks v 10.9.2

Virkning: Utføring av et Ruby-skript som bruker ikke-klarerte inndata til å opprette et Float-objekt, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det var et heap-basert bufferoverflytsproblem i Ruby ved konvertering av en streng til en flytetallverdi. Dette problemet ble løst gjennom ekstra validering av flytetallverdier.

CVE-ID

CVE-2013-4164

 

- 

- 

Sikkerhet - Secure Transport

Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

Virkning: En angriper med privilegert nettverksplassering kan fange opp data eller endre operasjoner som utføres i sesjoner som er beskyttet av SSL

Beskrivelse: Ved "treveis håndtrykk"-angrep var det mulig for en angriper å opprette to forbindelser med samme krypteringsnøkler og håndtrykk, sette inn angriperens data i én forbindelse og forhandle på nytt, slik at forbindelsene kunne videresendes til hverandre. For å unngå angrep på grunnlag av dette scenariet ble Secure Transport endret, slik at en ny forhandling som standard må vise samme tjenersertifikat som ved den opprinnelige tilkoblingen. Problemet påvirker ikke Mac OS X 10.7 og eldre systemer.

CVE-ID

CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan og Alfredo Pironti i Prosecco ved Inria Paris

 

- 

- 

WindowServer

Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9.2

Virkning: Skadelige programmer kan utføre vilkårlig kode utenfor sandkassen

Beskrivelse: WindowServer-økter kunne opprettes av programmer i sandkassen. Problemet ble løst ved ikke å tillate at programmer i sandkassen oppretter WindowServer-økter.

CVE-ID

CVE-2014-1314: KeenTeam som arbeider med HPs Zero Day Initiative

 

- 



Merk: Sikkerhetsoppdatering 2014-002 for OS X Mavericks-systemer inkluderer sikkerhetsinnhold i Safari 7.0.3.