Om sikkerhetsinnholdet i OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Support-nettstedet.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. For å finne ut mer om Apple Produktsikkerhet går du til Apple Produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.

For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.

Merk: OS X Mavericks v10.9.5 inkluderer sikkerhetsinnholdet i Safari 7.0.6.

OS X Mavericks v10.9.5 og sikkerhetsoppdatering 2014-004

  • apache_mod_php

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: Flere sårbarheter i PHP 5.4.24

    Beskrivelse: Det var flere sårbarheter i PHP 5.4.24, og den alvorligste kan ha forårsaket utføring av vilkårlig kode. Denne oppdateringen løser problemene ved å oppdatere PHP til versjon 5.4.30.

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et valideringsproblem i håndteringen av et Bluetooth API-kall. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4390: Ian Beer i Google Project Zero

  • CoreGraphics

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller avdekking av informasjon

    Beskrivelse: Det var mulig å lese hukommelse utenfor grensene i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • CoreGraphics

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano i Binamuse VRT som arbeider med iSIGHT Partners GVP-programmet

  • Foundation

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: Et program som bruker NSXMLParser, kan misbrukes til å avdekke informasjon

    Beskrivelse: Det var et XML External Entity-problem i NSXMLParsers håndtering av XML. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.

    CVE-ID

    CVE-2014-4374: George Gal i VSR (http://www.vsecurity.com/)

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Kompilering av uklarerte skyggeleggere kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i brukerområdet til skyggeleggerkompilatoren. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere kontrollproblemer i enkelte integrerte grafikkdriverrutiner. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4394: Ian Beer i Google Project Zero

    CVE-2014-4395: Ian Beer i Google Project Zero

    CVE-2014-4396: Ian Beer i Google Project Zero

    CVE-2014-4397: Ian Beer i Google Project Zero

    CVE-2014-4398: Ian Beer i Google Project Zero

    CVE-2014-4399: Ian Beer i Google Project Zero

    CVE-2014-4400: Ian Beer i Google Project Zero

    CVE-2014-4401: Ian Beer i Google Project Zero

    CVE-2014-4416: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en nullpeker-dereferanse i håndteringen av IOKit API-argumenter. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2014-4376: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOAcceleratorFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4402: Ian Beer i Google Project Zero

  • IOHIDFamily

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: En lokal bruker kan lese kjernepekere, som kan brukes til å omgå randomisering av kjerneadresseområdet

    Beskrivelse: Det var et problem med lesing utenfor grensene i håndteringen av en IOHIDFamily-funksjon. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer i Google Project Zero

  • IOKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med valideringen ved håndtering av visse metadatafelter i IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4389: Ian Beer i Google Project Zero

  • Kjerne

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: En lokal bruker kan utlede kjerneadresser og omgå randomisering av kjerneadresseområdet

    Beskrivelse: I enkelte tilfeller ble CPU-ens Global Descriptor Table tildelt en forutsigbar adresse. Problemet ble løst ved alltid å tildele Global Descriptor Table vilkårlige adresser.

    CVE-ID

    CVE-2014-4403: Ian Beer i Google Project Zero

  • Libnotify

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i Libnotify. Problemet ble løst gjennom forbedret grensekontroll

    CVE-ID

    CVE-2014-4381: Ian Beer i Google Project Zero

  • OpenSSL

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Flere sårbarheter i OpenSSL 0.9.8y, inkludert en som kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i OpenSSL 0.9.8y. Problemet ble løst ved å oppdatere OpenSSL til versjon 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av RLE-kodede filmfiler. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-1391: Fernando Munoz som arbeider i iDefense VCP, Tom Gallagher og Paul Bates som arbeider med HPs Zero Day Initiative

  • QT Media Foundation

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Avspilling av en skadelig MIDI-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var bufferoverflyt i håndteringen av MIDI-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4350: s3tm3m som arbeider med HPs Zero Day Initiative

  • QT Media Foundation

    Tilgjengelig for: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

    Virkning: Avspilling av en skadelig filmfil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av «mvhd»-atomer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi aka rgod som arbeider med HPs Zero Day Initiative

  • ruby

    Tilgjengelig for: OS X Mavericks v10.9 til v10.9.4

    Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

    Beskrivelse: Det var en heap-bufferoverflyt i LibYAMLs håndtering av prosentkodede tegn i en URI. Problemet ble løst gjennom forbedret grensekontroll. Denne oppdateringen løser problemene ved å oppdatere LibYAML til versjon 0.1.6.

    CVE-ID

    CVE-2014-2525

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: