Uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia oprogramowania lub z witryny Wsparcia Apple.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Uwaga: system OS X Mavericks 10.9.4 zawiera zabezpieczenia z uaktualnienia przeglądarki Safari do wersji 7.0.5.
OS X Mavericks 10.9.4 i Uaktualnienie zabezpieczeń 2014-003
Zasady zaufania dotyczące certyfikatów
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.
Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można znaleźć na stronie https://support.apple.com/pl-pl/HT6005.
copyfile
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: otwarcie złośliwie spreparowanego pliku ZIP może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze przetwarzania plików AppleDouble w archiwach w formacie ZIP występował problem z zamianą bitów spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1370: Chaitanya (SegFault) pracujący w ramach programu iDefense VCP
curl
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: osoba atakująca zdalnie może być w stanie uzyskać dostęp do sesji innego użytkownika.
Opis: adres cURL ponownie wykorzystywał połączenia NTML, gdy włączono więcej niż jedną metodę uwierzytelniania, przez co osoba atakująca mogła uzyskać dostęp do sesji innego użytkownika.
Identyfikator CVE
CVE-2014-0015
Dock
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: aplikacja działająca w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: w procedurze obsługi wiadomości przez Docka występował problem z niezweryfikowanym indeksem macierzy. Złośliwie spreparowana wiadomość mogła spowodować dereferencję nieprawidłowego wskaźnika funkcji, co mogło prowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.
Identyfikator CVE
CVE-2014-1371: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy HP
Sterownik graficzny
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: lokalny użytkownik może odczytać pamięć jądra, co może zostać wykorzystane do ominięcia randomizacji układu przestrzeni adresowej jądra.
Opis: w procedurze obsługi wywołania systemowego występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1372: Ian Beer z Google Project Zero
iBooks Commerce
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: osoba atakująca z dostępem do systemu może być w stanie pozyskać poświadczenia konta Apple ID.
Opis: w procedurze obsługi dzienników iBooks występował błąd. Proces aplikacji iBooks mógł rejestrować poświadczenia Apple ID w dzienniku iBooks, skąd mogły zostać odczytane przez innych użytkowników systemu. Ten problem rozwiązano przez niezezwalanie na rejestrowanie danych logowania w dzienniku.
Identyfikator CVE
CVE-2014-1317: Steve Dunham
Sterownik graficzny Intel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi wywołań OpenGL API występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1373: Ian Beer z Google Project Zero
Sterownik graficzny Intel
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: lokalny użytkownik może odczytać wskaźnik jądra, co może zostać wykorzystane do ominięcia randomizacji układu przestrzeni adresowej jądra.
Opis: wskaźnik jądra przechowywany w obiekcie IOKit mógł zostać odczytany z przestrzeni użytkownika. Problem rozwiązano przez usunięcie wskaźnika z obiektu.
Identyfikator CVE
CVE-2014-1375
Intel Compute
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi wywołań OpenCL API występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1376: Ian Beer z Google Project Zero
IOAcceleratorFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w obiekcie IOAcceleratorFamily występował błąd indeksowania macierzy. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1377: Ian Beer z Google Project Zero
IOGraphicsFamily
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: lokalny użytkownik może odczytać wskaźnik jądra, co może zostać wykorzystane do ominięcia randomizacji układu przestrzeni adresowej jądra.
Opis: wskaźnik jądra przechowywany w obiekcie IOKit mógł zostać odczytany z przestrzeni użytkownika. Problem usunięto przez używanie unikatowego identyfikatora zamiast wskaźnika.
Identyfikator CVE
CVE-2014-1378
IOReporting
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: lokalny użytkownik mógł spowodować nieoczekiwane ponowne uruchomienie systemu.
Opis: w procedurze obsługi argumentów interfejsu IOKit API występowała dereferencja wskaźnika null. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury sprawdzania argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-1355: cunzhang w ramach programu ADLab firmy Venustech
launchd
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie launchd wystąpił błąd niedomiaru całkowitoliczbowego. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1359: Ian Beer z Google Project Zero
launchd
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi komunikatów IPC przez komponent launchd występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1356: Ian Beer z Google Project Zero
launchd
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi komunikatów dziennika przez komponent launchd występowało przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1357: Ian Beer z Google Project Zero
launchd
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie launchd wystąpił błąd przepełnienia całkowitoliczbowego. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1358: Ian Beer z Google Project Zero
Sterowniki graficzne
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: sterownikach graficznych jądra występowało wiele problemów z dereferencją wskaźnika null. Złośliwie spreparowany 32-bitowy plik wykonywalny mógł być w stanie uzyskać podwyższony poziom uprawnień.
Identyfikator CVE
CVE-2014-1379: Ian Beer z Google Project Zero
Zabezpieczenia — Pęk kluczy
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: osoba atakująca może być w stanie wprowadzać zawartość w oknach objętych blokadą ekranu.
Opis: w rzadkich sytuacjach blokada ekranu nie przechwytywała naciśnięć klawiszy. Mogło to umożliwić osobie atakującej wprowadzanie zawartości w oknach objętych blokadą ekranu. Ten błąd naprawiono przez poprawienie procedur monitorowania naciśnięć klawiszy.
Identyfikator CVE
CVE-2014-1380: Ben Langfeld z firmy Mojo Lingo LLC
Zabezpieczenia — Secure Transport
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: dwa bajty pamięci mogły zostać ujawnione osobie atakującej zdalnie.
Opis: w procedurze przetwarzania komunikatów DTLS w związku z połączeniem TLS występował problem z niezainicjowanym dostępem do pamięci. Ten problem rozwiązano przez akceptowanie komunikatów DTLS tylko przy połączeniach DTLS.
Identyfikator CVE
CVE-2014-1361: Thijs Alkemade z The Adium Project
Thunderbolt
Dostępne dla: systemów OS X Mavericks od 10.9 do 10.9.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi wywołań IOThunderBoltController API występuje błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1381: Sarah (winocm)
Wpis uaktualniono 3 lutego 2020 r.