Om sikkerhetsinnholdet i OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller via Apples nettsted for kundestøtte.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Hvis du vil finne ut mer om Apple-produktsikkerhet, kan du gå til nettstedet Apple-produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.

Hvis du vil finne ut mer om andre sikkerhetsoppdateringer, kan du se Sikkerhetsoppdateringer fra Apple.

Merk: OS X Mavericks 10.9.4 inkluderer sikkerhetsinnholdet i Safari 7.0.5.

OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Du kan se hele listen over sertifikater på https://support.apple.com/no-no/HT6005.

  • copyfile

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Åpning av en skadelig zip-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med byteveksling utenfor grensene i håndteringen av AppleDouble-filer i zip-arkiver. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1370: Chaitanya (SegFault) i samarbeid med iDefense VCP

  • curl

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En ekstern angriper kan få tilgang til en annen brukers økt

    Beskrivelse: cURL gjenbrukte NTLM-forbindelser når mer enn én godkjenningsmetode ble aktivert, noe som gjorde det mulig for en angriper å få tilgang til en annen brukers økt.

    CVE-ID

    CVE-2014-0015

  • Dock

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Et program i sandkassen kan være i stand til å omgå sandkasserestriksjoner

    Beskrivelse: Det var et problem med en uvalidert oppstillingsindeks i Docks håndtering av meldinger fra programmer. En skadelig melding kan føre til at en ugyldig funksjonspeker blir derefert, noe som kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.

    CVE-ID

    CVE-2014-1371: En anonym forsker i samarbeid med HPs Zero Day Initiative

  • Grafikkdriver

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese kjerneminne, noe som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av et systemkall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1372: Ian Beer fra Google Project Zero

  • iBooks Commerce

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En angriper med tilgang til et system kan være i stand til å gjenopprette Apple-ID-legitimasjon

    Beskrivelse: Det var et problem med håndteringen av iBooks-logger. iBooks-prosessen kunne loggføre Apple-ID-legitimasjon i iBooks-loggen, der andre brukere av systemet kunne lese den. Problemet ble løst ved å deaktivere loggføring av legitimasjon.

    CVE-ID

    CVE-2014-1317: Steve Dunham

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem i håndteringen av et OpenGL API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1373: Ian Beer fra Google Project Zero

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese en kjernepeker, noe som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å fjerne pekeren fra objektet.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem i håndteringen av et OpenCL API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1376: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med oppstillingsindeksering i IOAcceleratorFamily. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1377: Ian Beer fra Google Project Zero

  • IOGraphicsFamily

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kan lese en kjernepeker, noe som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å bruke en unik ID i stedet for en peker.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En lokal bruker kunne forårsake en uventet omstart av systemet

    Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom tilleggsvalidering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-1355: cunzhang ved Adlab i Venustech

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en heltallsunderflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1359: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av IPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1356: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av loggmeldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1357: Ian Beer i Google Project Zero

  • launchd

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en heltallsoverflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1358: Ian Beer i Google Project Zero

  • Grafikkdrivere

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med null-dereferanse i kjernegrafikkdrivere. En skadelig 32-biters kjørbar fil kan ha vært i stand til å innhente rettigheter på høyere nivå.

    CVE-ID

    CVE-2014-1379: Ian Beer fra Google Project Zero

  • Sikkerhet – Nøkkelring

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: En angriper kan være i stand til å skrive i vinduer under skjermlåsen

    Beskrivelse: I sjeldne tilfeller stanset ikke skjermlåsen tastetrykk. Det kunne medføre at en angriper kunne skrive i vinduer under skjermlåsen. Problemet ble løst gjennom bedre håndtering av tastetrykkovervåking.

    CVE-ID

    CVE-2014-1380: Ben Langfeld fra Mojo Lingo LLC

  • Sikkerhet – Sikker transport

    Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3

    Virkning: To byte med minne kunne bli avdekket av en ekstern angriper

    Beskrivelse: Det var et problem med tilgang til ikke-initialisert minne i håndteringen av DTLS-meldinger på en TLS-forbindelse. Problemet ble løst ved bare å godta DTLS-meldinger på en DTLS-forbindelse.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade i The Adium Project

  • Thunderbolt

    Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med tilgang utenfor minneområdet i håndteringen av IOThunderBoltController API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1381: Sarah aka winocm

    Oppføring oppdatert 3. februar 2020

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: