W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
To uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia programów lub z witryny Wsparcie Apple.
Uaktualnienie systemu OS X Mavericks do wersji 10.9.2 i Uaktualnienie zabezpieczeń 2014-001
-
Apache
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: istnieje wiele luk w zabezpieczeniach serwera Apache.
Opis: oprogramowanie Apache zawiera wiele luk w zabezpieczeniach, z których najpoważniejsze mogą spowodować atak XSS (cross-site scripting). W celu rozwiązania tych problemów należy uaktualnić serwer Apache do wersji 2.2.26.
Identyfikator CVE
CVE-2013-1862
CVE-2013-1896
-
Piaskownica aplikacji
Dostępne dla: OS X Mountain Lion 10.8.5
Zagrożenie: piaskownica aplikacji może być pomijana.
Opis: interfejs usług uruchamiania służący do uruchamiania aplikacji zezwalał aplikacjom z ograniczeniami piaskownicy na określanie listy argumentów przekazywanych do nowego procesu. Aplikacja z ograniczeniami piaskownicy, której bezpieczeństwo zostało naruszone, może to wykorzystać w celu pominięcia piaskownicy. Ten problem rozwiązano przez zablokowanie możliwości określania argumentów aplikacjom z ograniczeniem piaskownicy. Ten problem nie występuje na komputerach z systemami OS X Mavericks 10.9 i nowszymi.
Identyfikator CVE
CVE-2013-5179: Friedrich Graeter z firmy The Soulmen GbR
-
ATS
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 i 10.9.1
Zagrożenie: wyświetlenie lub pobranie dokumentu zawierającego złośliwie spreparowaną czcionkę osadzoną może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi czcionek Type 1 występuje błąd powodujący uszkodzenie pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1254: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
-
ATS
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: piaskownica aplikacji może być pomijana.
Opis: wystąpiło uszkodzenie pamięci w ramach obsługi komunikatów Mach przekazywanych do programu ATS. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1262: Meder Kydyraliev z zespołu do spraw bezpieczeństwa w firmie Google
-
ATS
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: piaskownica aplikacji może być pomijana.
Opis: problem dotyczący dowolnego zwolnienia w ramach obsługi komunikatów Mach przekazywanych do programu ATS. Ten problem rozwiązano przez zastosowanie dodatkowej procedury sprawdzania poprawności komunikatów Mach.
Identyfikator CVE
CVE-2014-1255: Meder Kydyraliev z zespołu do spraw bezpieczeństwa w firmie Google
-
ATS
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: piaskownica aplikacji może być pomijana.
Opis: wystąpiło przepełnienie buforu w ramach obsługi komunikatów Mach przekazywanych do programu ATS. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1256: Meder Kydyraliev z zespołu do spraw bezpieczeństwa w firmie Google
-
Zasady dotyczące zaufania dla certyfikatów
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Wpływ: uaktualniono certyfikaty główne.
Opis: uaktualniono zestaw systemowych certyfikatów głównych. Kompletna lista rozpoznawanych przez system certyfikatów głównych jest dostępna w aplikacji Dostęp do pęku kluczy.
-
Pliki cookie programu CFNetwork
Dostępne dla: OS X Mountain Lion 10.8.5
Zagrożenie: pliki cookie sesji mogą zostać zachowane nawet po wyzerowaniu przeglądarki Safari.
Opis: wyzerowanie przeglądarki Safari nie zawsze powodowało usunięcie plików cookie sesji, dopóki przeglądarka Safari nie została zamknięta. Ten problem rozwiązano przez poprawienie obsługi plików cookie sesji. Ten problem nie występuje na komputerach z systemami OS X Mavericks 10.9 i nowszymi.
Identyfikator CVE
CVE-2014-1257: Rob Ansaldo z Amherst College, Graham Bennett
-
CoreAnimation
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w procedurach obsługi obrazów programu CoreAnimation istnieje błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1258: Karl Smith z NCC Group
-
CoreText
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: aplikacje stosujące program CoreText mogą być narażone na nieoczekiwane zakończenie działania lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi czcionek Unicode przez program CoreText występuje błąd interpretacji znaku liczby. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1261: Lucas Apa i Carlos Mario Penagos z IOActive Labs
-
curl
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: napastnik mający uprzywilejowany dostęp do sieci może przechwycić dane uwierzytelniania użytkownika lub inne poufne informacje.
Opis: w przypadku łączenia się za pomocą programu curl z adresem URL typu HTTPS zawierającym adres IP nie można sprawdzić poprawności adresu IP względem certyfikatu. Ten problem nie występuje na komputerach z systemami starszymi niż OS X Mavericks 10.9.
Identyfikator CVE
CVE-2014-1263: Roland Moriz z Moriz GmbH
-
Bezpieczeństwo danych
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: osoba atakująca mająca wysoki poziom przywilejów sieciowych może przechwytywać lub modyfikować dane w sesjach zabezpieczonych za pomocą protokołu SSL/TLS.
Opis: mechanizm Secure Transport nie może sprawdzić autentyczności połączenia. Ten problem rozwiązano przez odtworzenie brakujących etapów sprawdzania poprawności.
Identyfikator CVE
CVE-2014-1266
-
Data i czas
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: nieuprawniony użytkownik może zmienić ustawienia zegara systemowego.
Opis: to uaktualnienie powoduje zmianę zachowania polecenia
systemsetup
, aby do zmiany ustawień zegara systemowego były wymagane usprawnienia administratora.Identyfikator CVE
CVE-2014-1265
-
Zakładka pliku
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: otwarcie pliku ze złośliwie spreparowaną nazwą może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi nazw plików występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1259
-
Program Finder
Dostępne dla: OS X Mavericks 10.9 i 10.9.1
Zagrożenie: uzyskiwanie dostępu do listy ACL pliku za pomocą programu Finder może umożliwić innym użytkownikom uzyskiwanie nieautoryzowanego dostępu do plików
Opis: uzyskiwanie dostępu do listy ACL pliku za pomocą programu Finder może spowodować uszkodzenie list ACL pliku. Ten problem rozwiązano przez poprawienie procedur obsługi list ACL.
Identyfikator CVE
CVE-2014-1264
-
ImageIO
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może spowodować ujawnienie zawartości pamięci.
Opis: w procedurach obsługi znaczników JPEG przez bibliotekę libjpeg występuje problem z dostępem do niezainicjowanej pamięci, co powoduje ujawnienie zawartości pamięci. Rozwiązanie tego problemu polega na poprawieniu obsługi plików JPEG.
Identyfikator CVE
CVE-2013-6629: Michał Zalewski
-
IOSerialFamily
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Zagrożenie: działanie złośliwej aplikacji może spowodować wykonanie dowolnego kodu w jądrze.
Opis: w sterowniku IOSerialFamily wystąpił dostęp do tablicy spoza dozwolonego zakresu. Ten problem rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania ograniczeń. Ten problem nie występuje na komputerach z systemami OS X Mavericks 10.9 i nowszymi.
Identyfikator CVE
CVE-2013-5139: @dent1zt
-
Usługi uruchamiania
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Zagrożenie: widoczne rozszerzenie pliku może być nieprawidłowe
Opis: w procedurze obsługi niektórych znaków Unicode istnieje błąd, który może zezwalać na wyświetlanie nieprawidłowych rozszerzeń nazw plików. Rozwiązanie tego problemu polega na filtrowaniu niebezpiecznych znaków Unicode w wyświetlanych nazwach plików. Ten problem nie występuje na komputerach z systemami OS X Mavericks 10.9 i nowszymi.
Identyfikator CVE
CVE-2013-5178: Jesse Ruderman z firmy Mozilla Corporation, Stephane Sudre z firmy Intego
-
Sterowniki firmy NVIDIA
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: uruchomienie złośliwej aplikacji może spowodować wykonanie dowolnego kodu na karcie graficznej.
Opis: istnieje błąd umożliwiający zapis w pamięci zaufanej na karcie graficznej. Ten problem rozwiązano przez uniemożliwienie hostowi zapisu w tej pamięci.
Identyfikator CVE
CVE-2013-5986: Marcin Kościelnicki z projektu X.Org Foundation Nouveau
CVE-2013-5987: Marcin Kościelnicki z projektu X.Org Foundation Nouveau
-
PHP
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.
Opis: język PHP zawiera wiele luk w zabezpieczeniach, z których najpoważniejsza może spowodować wykonanie dowolnego kodu. Rozwiązanie tych problemów polega na uaktualnieniu języka PHP do wersji 5.4.24 w systemie OS X Mavericks 10.9 i do wersji 5.3.28 w systemach OS X Lion oraz Mountain Lion.
Identyfikator CVE
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Szybki przegląd
Dostępne dla: OS X Mountain Lion 10.8.5
Zagrożenie: pobranie złośliwie spreparowanego pliku pakietu Microsoft Office może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików pakietu Microsoft Office przez program Szybki przegląd występuje błąd powodujący uszkodzenie zawartości pamięci. Pobranie złośliwie spreparowanego pliku pakietu Microsoft Office może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu. Ten problem nie występuje na komputerach z systemami OS X Mavericks 10.9 i nowszymi.
Identyfikator CVE
CVE-2014-1260: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
-
Szybki przegląd
Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 i 10.9.1
Zagrożenie: pobranie złośliwie spreparowanego dokumentu programu Microsoft Word może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu
Opis: w procedurach obsługi dokumentów programu Microsoft Word przez program Szybki przegląd występuje błąd dwukrotnego zwolnienia pamięci. Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.
Identyfikator CVE
CVE-2014-1252: Felix Groebert z zespołu do spraw bezpieczeństwa w firmie Google
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów „ftab” występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1246: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy HP.
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi atomów „dref” występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1247: Tom Gallagher i Paul Bates pracujący w ramach programu Zero Day Initiative firmy HP
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów „Idat” występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1248: Jason Kratzer we współpracy z organizacją iDefense VCP
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: wyświetlenie złośliwie spreparowanego obrazu PSD może spowodować nieoczekiwane zakończenie działania programu lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi obrazów PSD występuje błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1249 : dragonltx z zespołu do spraw bezpieczeństwa firmy Tencent
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi elementów „ttfo” występuje błąd wymiany bajtów spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1250: Jason Kratzer we współpracy z organizacją iDefense VCP
-
QuickTime
Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 oraz OS X Mavericks 10.9 i 10.9.1
Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi atomów „stsz” występuje błąd interpretacji znaku liczby. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1245: Tom Gallagher i Paul Bates pracujący w ramach programu Zero Day Initiative firmy HP
-
Secure Transport
Dostępne dla: OS X Mountain Lion 10.8.5
Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.
Opis: znane były ataki na poufność komunikacji za pośrednictwem protokołów SSL 3.0 i TLS 1.0 polegające na używaniu szyfru blokującego w trybie CBC przez oprogramowanie szyfrujące. Rozwiązanie tego problemu dotyczącego aplikacji korzystających z mechanizmu Secure Transport polega na domyślnym włączeniu dla tej konfiguracji minimalizowania zagrożenia za pomocą fragmentów 1-bajtowych.
Identyfikator CVE
CVE-2011-3389: Juliano Rizzo i Thai Duong