Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. For å finne ut mer om Apple Produktsikkerhet går du til Apple Produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.
For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.
Merk: OS X Mavericks v10.9.5 inkluderer sikkerhetsinnholdet i Safari 7.0.6.
OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004
apache_mod_php
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: Flere sårbarheter i PHP 5.4.24
Beskrivelse: Det var flere sårbarheter i PHP 5.4.24, og den alvorligste kan ha forårsaket utføring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere PHP til versjon 5.4.30.
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av et Bluetooth API-kall. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4390: Ian Beer i Google Project Zero
CoreGraphics
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller avdekking av informasjon
Beskrivelse: Det var mulig å lese hukommelse utenfor grensene i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet
CoreGraphics
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4377: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet
Foundation
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: Et program som bruker NSXMLParser, kan misbrukes til å avdekke informasjon
Beskrivelse: Det var et XML External Entity-problem i NSXMLParsers håndtering av XML. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.
CVE-ID
CVE-2014-4374: George Gal i VSR (http://www.vsecurity.com/)
Intel Graphics-driver
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Kompilering av uklarerte skyggeleggere kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i brukerområdet til skyggeleggerkompilatoren. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics-driver
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere kontrollproblemer i enkelte integrerte grafikkdriverrutiner. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4394: Ian Beer i Google Project Zero
CVE-2014-4395: Ian Beer i Google Project Zero
CVE-2014-4396: Ian Beer i Google Project Zero
CVE-2014-4397: Ian Beer i Google Project Zero
CVE-2014-4398: Ian Beer i Google Project Zero
CVE-2014-4399: Ian Beer i Google Project Zero
CVE-2014-4400: Ian Beer i Google Project Zero
CVE-2014-4401: Ian Beer i Google Project Zero
CVE-2014-4416: Ian Beer i Google Project Zero
IOAcceleratorFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.
CVE-ID
CVE-2014-4376: Ian Beer i Google Project Zero
IOAcceleratorFamily
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOAcceleratorFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4402: Ian Beer i Google Project Zero
IOHIDFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet
Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4379: Ian Beer i Google Project Zero
IOKit
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4389: Ian Beer i Google Project Zero
Kjerne
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: En lokal bruker kan utlede kjerneadresser og omgå randomisering av kjerneadresseområdet
Beskrivelse: I enkelte tilfeller ble CPU-ens Global Descriptor Table tildelt en forutsigbar adresse. Problemet ble løst ved alltid å tildele Global Descriptor Table vilkårlige adresser.
CVE-ID
CVE-2014-4403: Ian Beer i Google Project Zero
Libnotify
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter
Beskrivelse: Det var et problem med skriving utenfor grensene i Libnotify. Problemet ble løst gjennom forbedret grensekontroll
CVE-ID
CVE-2014-4381: Ian Beer i Google Project Zero
OpenSSL
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Flere sårbarheter i OpenSSL 0.9.8y, inkludert en som kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere sårbarheter i OpenSSL 0.9.8y. Problemet ble løst ved å oppdatere OpenSSL til versjon 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av RLE-kodede filmfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-1391: Fernando Munoz som arbeider i iDefense VCP, Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative
QT Media Foundation
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig MIDI-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var bufferoverflyt i håndteringen av MIDI-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4350: s3tm3m som arbeider med HPs Zero Day Initiative
QT Media Foundation
Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4
Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av «mvhd»-atomer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aka rgod som arbeider med HPs Zero Day Initiative
ruby
Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Det var en heap-bufferoverflyt i LibYAMLs håndtering av prosentkodede tegn i en URI. Problemet ble løst gjennom forbedret grensekontroll. Denne oppdateringen løser problemene ved å oppdatere LibYAML til versjon 0.1.6.
CVE-ID
CVE-2014-2525