Om sikkerhetsoppdatering 2014-005

Dette dokumentet beskriver sikkerhetsinnholdet i sikkerhetsoppdateringen 2014-005.

Denne oppdateringen kan lastes ned og installeres via Programvareoppdatering eller fra Apple Nedlastinger-nettstedet.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.

Sikkerhetsoppdatering 2014-005

• Secure Transport

  Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

  Virkning: En angriper kan prøve å dekryptere data beskyttet av SSL

  Beskrivelse: Det finnes kjente angrep på konfidensialiteten til SSL 3.0 når en ciphersuite bruker en blokk-cipher i CBC-modus. En angriper kan fremtvinge bruk av SSL 3.0, selv når serveren ville støttet en bedre TLS-versjon, ved å blokkere TLS 1.0 og høyere tilkoblingsforsøk. Problemet ble løst ved å deaktivere CBC-ciphersuiter der TLS-tilkoblingsforsøk mislykkes.

  CVE-ID

  CVE-2014-3566 : Bodo Moeller, Thai Duong og Krzysztof Kotowicz fra Google Security Team

Merknad: Sikkerhetsoppdatering 2014-005 inkluderer sikkerhetsinnholdet for OS X bash-oppdatering 1.0