Informacje o zawartości związanej z zabezpieczeniami w systemie OS X Mavericks 10.9.5 i uaktualnieniu zabezpieczeń 2014-004
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie OS X Mavericks 10.9.5 i uaktualnieniu zabezpieczeń 2014-004.
To uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia oprogramowania lub z witryny Wsparcie Apple.
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.
Uwaga: system OS X Mavericks 10.9.5 zawiera zabezpieczenia z uaktualnienia przeglądarki Safari do wersji 7.0.6.
OS X Mavericks 10.9.5 i uaktualnienie zabezpieczeń 2014-004
apache_mod_php
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: liczne luki w zabezpieczeniach języka PHP 5.4.24.
Opis: język PHP 5.4.24 zawierał wiele luk w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie dowolnego kodu. To uaktualnienie naprawia ten błąd przez uaktualnienie języka PHP do wersji 5.4.30
Identyfikator CVE
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi wywołania interfejsu API Bluetooth występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4390: Ian Beer z Google Project Zero
CoreGraphics
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.
Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
CoreGraphics
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program
Foundation
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: aplikacja korzystająca z parsera NSXMLParser może zostać niewłaściwie wykorzystana do ujawnienia informacji.
Opis: w procedurach obsługi danych XML przez oprogramowanie NSXMLParser występował błąd dotyczący jednostki zewnętrznej XML. Ten błąd naprawiono przez niewczytywanie jednostek zewnętrznych z różnych źródeł.
Identyfikator CVE
CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: skompilowanie niezaufanych modułów cieniujących GLSL może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w kompilatorze modułów cieniujących występował błąd powodujący przepełnienie bufora w przestrzeni użytkownika. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4393: Apple
Intel Graphics Driver
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w niektórych procedurach sterownika zintegrowanej karty graficznej występowały liczne błędy sprawdzania poprawności. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4394: Ian Beer z Google Project Zero
CVE-2014-4395: Ian Beer z Google Project Zero
CVE-2014-4396: Ian Beer z Google Project Zero
CVE-2014-4397: Ian Beer z Google Project Zero
CVE-2014-4398: Ian Beer z Google Project Zero
CVE-2014-4399: Ian Beer z Google Project Zero
CVE-2014-4400: Ian Beer z Google Project Zero
CVE-2014-4401: Ian Beer z Google Project Zero
CVE-2014-4416: Ian Beer z Google Project Zero
IOAcceleratorFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.
Identyfikator CVE
CVE-2014-4376: Ian Beer z Google Project Zero
IOAcceleratorFamily
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi funkcji IOAcceleratorFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4402: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: użytkownik lokalny może odczytać wskaźniki jądra, co może posłużyć do obejścia randomizacji układu przestrzeni adresowej jądra.
Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4379: Ian Beer z Google Project Zero
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2014-4388: @PanguTeam
IOAcceleratorFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4389: Ian Beer z Google Project Zero
Kernel
Dostępne dla: systemu OS X Mavericks w wersji od 10.9 do 10.9.4
Zagrożenie: użytkownik lokalny może wywnioskować adresy jądra i obejść randomizację układu przestrzeni adresowej jądra.
Opis: w niektórych przypadkach globalnej tablicy deskryptorów procesora przydzielany był możliwy do wydedukowania adres. Ten problem rozwiązano poprzez alokację globalnej tablicy deskryptorów pod losowymi adresami.
Identyfikator CVE
CVE-2014-4403: Ian Beer z Google Project Zero
Libnotify
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: w komponencie Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4381: Ian Beer z Google Project Zero
OpenSSL
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: liczne luki w zabezpieczeniach oprogramowania OpenSSL 0.9.8y, w tym luka umożliwiająca wykonanie dowolnego kodu.
Opis: oprogramowanie OpenSSL 0.9.8y zawierało liczne luki w zabezpieczeniach. Ten problem rozwiązano przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8za.
Identyfikator CVE
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: odtworzenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików MIDI występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-1391: Fernando Munoz w ramach programu iDefense VCP, Tom Gallagher i Paul Bates w ramach programu Zero Day Initiative firmy HP
QT Media Foundation
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: odtworzenie złośliwie spreparowanego pliku MIDI może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików MIDI występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4350: s3tm3m w ramach programu Zero Day Initiative firmy HP
QT Media Foundation
Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4
Zagrożenie: odtworzenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze obsługi atomów „mvhd” występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4979: Andrea Micalizzi (rgod) w ramach programu Zero Day Initiative firmy HP
ruby
Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi znaków z kodowaniem procentowym w identyfikatorze URI przez oprogramowanie LibYAML występował błąd powodujący przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń. To uaktualnienie rozwiązuje ten problem przez uaktualnienie programu LibYAML do wersji 0.1.6.
Identyfikator CVE
CVE-2014-2525
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.