Informacje o uaktualnieniu zabezpieczeń 2014-005

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2014-005.

Uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia oprogramowania lub z witryny Wsparcia Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uaktualnienie zabezpieczeń 2014-005

• Secure Transport

  Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

  Zagrożenie: osoba atakująca może odszyfrować dane chronione za pomocą protokołu SSL.

  Opis: istnieją znane ataki łamiące poufność szyfrowania SSL 3.0, gdy pakiet szyfrowania korzysta z szyfrowania blokowego w trybie CBC. Osoba atakująca może wymusić użycie protokołu SSL 3.0, nawet jeśli serwer mógłby obsłużyć lepszą wersję protokołu TLS, blokując próby połączenia z użyciem protokołu TLS 1.0 lub wyższego. Te problem został rozwiązany poprzez wyłączenie pakietów szyfrowania CBC w przypadku niepowodzenia próby połączenia TLS.

  CVE-ID

  CVE-2014-3566 : Bodo Moeller, Thai Duong i Krzysztof Kotowicz z Google Security Team

Uwaga: uaktualnienie zabezpieczeń 2014-005 obeejmuje zawartość aktualizacji 1.0 powłoki OS X