Om sikkerhetsinnholdet i OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra nettstedet for Apple-kundestøtte.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Hvis du ønsker mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet, kan du se Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Merk: OS X Mavericks 10.9.4 inkluderer sikkerhetsinnholdet i Safari 7.0.5.

OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på http://support.apple.com/kb/HT6005?viewlocale=no_NO.

  • copyfile

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Åpning av en skadelig zip-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med byteveksling utenfor grensene i håndteringen av AppleDouble-filer i zip-arkiver. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1370: Chaitanya (SegFault) som er ansatt i iDefense VCP

  • curl

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En ekstern angriper kan få tilgang til en annen brukers økt

    Beskrivelse: cURL gjenbrukte NTLM-forbindelser når mer enn én godkjenningsmetode ble aktivert, noe som gjorde det mulig for en angriper å få tilgang til en annen brukers økt.

    CVE-ID

    CVE-2014-0015

  • Dock

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Et program i sandkassen kan være i stand til å omgå sandkasserestriksjoner

    Beskrivelse: Det var et problem med en uvalidert oppstillingsindeks i Docks håndtering av meldinger fra programmer. En skadelig melding kunne forårsake at en ugyldig funksjonspeker ble derefert, noe som kunne føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2014-1371: En anonym forsker som arbeider med HPs Zero Day Initiative

  • Grafikkdriver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese kjernehukommelse, noe som kan brukes til å omgå randomisering av layout for kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av et systemkall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1372: Ian Beer i Google Project Zero

  • iBooks Commerce

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En angriper med tilgang til et system kan være i stand til å gjenopprette Apple-ID-akkreditiver

    Beskrivelse: Det var et problem med håndteringen av iBooks-logger. iBooks-prosessen kunne logge Apple-ID-akkreditiver i iBooks-loggen, der andre brukere av systemet kunne lese dem. Problemet ble løst ved å forby logging av akkreditiver.

    CVE-ID

    CVE-2014-1317: Steve Dunham

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med validering i håndteringen av et OpenGL API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1373: Ian Beer i Google Project Zero

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese en kjernepeker, noe som kan brukes til å omgå randomisering av layout for kjerneadresseområdet

    Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å fjerne pekeren fra objektet.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med validering i håndteringen av et OpenCL API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1376: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med oppstillingsindeksering i IOAcceleratorFamily. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1377: Ian Beer i Google Project Zero

  • IOGraphicsFamily

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese en kjernepeker, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å bruke en unik ID i stedet for en peker.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kunne forårsake en uventet omstart av systemet

    Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom ekstra validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-1355: cunzhang ved Adlab i Venustech

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsunderflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1359: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av IPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1356: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av loggmeldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1357: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1358: Ian Beer i Google Project Zero

  • Grafikkdrivere

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med null-dereferanse i kjernegrafikkdrivere. En skadelig 32-bits utførbar fil kunne ha vært i stand til å innhente rettigheter på høyere nivå.

    CVE-ID

    CVE-2014-1379: Ian Beer i Google Project Zero

  • Sikkerhet - Nøkkelring

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En angriper kan være i stand til å skrive i vinduer under skjermlåsen

    Beskrivelse: I sjeldne tilfeller stanset ikke skjermlåsen tastetrykk. Det kunne medføre at en angriper kunne skrive i vinduer under skjermlåsen. Problemet ble løst gjennom bedre håndtering av tastetrykkovervåking.

    CVE-ID

    CVE-2014-1380: Ben Langfeld i Mojo Lingo LLC

  • Sikkerhet - Secure Transport

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 til 10.9.3

    Virkning: To byte hukommelse kunne bli avdekket av en ekstern angriper

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert hukommelse i håndteringen av DTLS-meldinger på en TLS-forbindelse. Problemet ble løst ved å godta DTLS-meldinger bare på DTLS-forbindelser.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade i The Adium Project

  • Thunderbolt

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med tilgang utenfor hukommelsesområdet i håndteringen av IOThunderBoltController API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1381: Catherine aka winocm

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: