Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller via Apples nettsted for kundestøtte.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Hvis du vil finne ut mer om Apple-produktsikkerhet, kan du gå til nettstedet Apple-produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen fra Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning til svakhetene, slik at man kan finne mer informasjon.
Hvis du vil finne ut mer om andre sikkerhetsoppdateringer, kan du se Sikkerhetsoppdateringer fra Apple.
Merk: OS X Mavericks 10.9.4 inkluderer sikkerhetsinnholdet i Safari 7.0.5.
OS X Mavericks v10.9.4 og sikkerhetsoppdatering 2014-003
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Du kan se hele listen over sertifikater på https://support.apple.com/no-no/HT6005.
copyfile
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Åpning av en skadelig zip-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med byteveksling utenfor grensene i håndteringen av AppleDouble-filer i zip-arkiver. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1370: Chaitanya (SegFault) i samarbeid med iDefense VCP
curl
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En ekstern angriper kan få tilgang til en annen brukers økt
Beskrivelse: cURL gjenbrukte NTLM-forbindelser når mer enn én godkjenningsmetode ble aktivert, noe som gjorde det mulig for en angriper å få tilgang til en annen brukers økt.
CVE-ID
CVE-2014-0015
Dock
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Et program i sandkassen kan være i stand til å omgå sandkasserestriksjoner
Beskrivelse: Det var et problem med en uvalidert oppstillingsindeks i Docks håndtering av meldinger fra programmer. En skadelig melding kan føre til at en ugyldig funksjonspeker blir derefert, noe som kan føre til uventet avslutning av et program eller utføring av vilkårlig kode.
CVE-ID
CVE-2014-1371: En anonym forsker i samarbeid med HPs Zero Day Initiative
Grafikkdriver
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: En lokal bruker kan lese kjerneminne, noe som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av et systemkall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1372: Ian Beer fra Google Project Zero
iBooks Commerce
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En angriper med tilgang til et system kan være i stand til å gjenopprette Apple-ID-legitimasjon
Beskrivelse: Det var et problem med håndteringen av iBooks-logger. iBooks-prosessen kunne loggføre Apple-ID-legitimasjon i iBooks-loggen, der andre brukere av systemet kunne lese den. Problemet ble løst ved å deaktivere loggføring av legitimasjon.
CVE-ID
CVE-2014-1317: Steve Dunham
Intel Graphics-driver
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av et OpenGL API-kall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1373: Ian Beer fra Google Project Zero
Intel Graphics-driver
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En lokal bruker kan lese en kjernepeker, noe som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å fjerne pekeren fra objektet.
CVE-ID
CVE-2014-1375
Intel Compute
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av et OpenCL API-kall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1376: Ian Beer fra Google Project Zero
IOAcceleratorFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med oppstillingsindeksering i IOAcceleratorFamily. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1377: Ian Beer fra Google Project Zero
IOGraphicsFamily
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En lokal bruker kan lese en kjernepeker, noe som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: En kjernepeker lagret i et IOKit-objekt kunne hentes fra userland. Problemet ble løst ved å bruke en unik ID i stedet for en peker.
CVE-ID
CVE-2014-1378
IOReporting
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En lokal bruker kunne forårsake en uventet omstart av systemet
Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom tilleggsvalidering av IOKit API-argumenter.
CVE-ID
CVE-2014-1355: cunzhang ved Adlab i Venustech
launchd
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en heltallsunderflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1359: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av IPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1356: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med heap-bufferoverflyt i launchds håndtering av loggmeldinger. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1357: Ian Beer i Google Project Zero
launchd
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en heltallsoverflyt i launchd. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1358: Ian Beer i Google Project Zero
Grafikkdrivere
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med null-dereferanse i kjernegrafikkdrivere. En skadelig 32-biters kjørbar fil kan ha vært i stand til å innhente rettigheter på høyere nivå.
CVE-ID
CVE-2014-1379: Ian Beer fra Google Project Zero
Sikkerhet – Nøkkelring
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: En angriper kan være i stand til å skrive i vinduer under skjermlåsen
Beskrivelse: I sjeldne tilfeller stanset ikke skjermlåsen tastetrykk. Det kunne medføre at en angriper kunne skrive i vinduer under skjermlåsen. Problemet ble løst gjennom bedre håndtering av tastetrykkovervåking.
CVE-ID
CVE-2014-1380: Ben Langfeld fra Mojo Lingo LLC
Sikkerhet – Sikker transport
Tilgjengelig for: OS X Mountain Lion v10.8.5 og OS X Mavericks 10.9 til 10.9.3
Virkning: To byte med minne kunne bli avdekket av en ekstern angriper
Beskrivelse: Det var et problem med tilgang til ikke-initialisert minne i håndteringen av DTLS-meldinger på en TLS-forbindelse. Problemet ble løst ved bare å godta DTLS-meldinger på en DTLS-forbindelse.
CVE-ID
CVE-2014-1361: Thijs Alkemade i The Adium Project
Thunderbolt
Tilgjengelig for: OS X Mavericks 10.9 til 10.9.3
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med tilgang utenfor minneområdet i håndteringen av IOThunderBoltController API-kall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1381: Sarah aka winocm
Oppføring oppdatert 3. februar 2020