Informacje o zawartości związanej z zabezpieczeniami w systemie OS X Mavericks 10.9.5 i uaktualnieniu zabezpieczeń 2014-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie OS X Mavericks 10.9.5 i uaktualnieniu zabezpieczeń 2014-004.

To uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia oprogramowania lub z witryny Wsparcie Apple.

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń dla bezpieczeństwa przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń Apple.

Uwaga: system OS X Mavericks 10.9.5 zawiera zabezpieczenia z uaktualnienia przeglądarki Safari do wersji 7.0.6.

OS X Mavericks 10.9.5 i uaktualnienie zabezpieczeń 2014-004

  • apache_mod_php

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: liczne luki w zabezpieczeniach języka PHP 5.4.24.

    Opis: język PHP 5.4.24 zawierał wiele luk w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie dowolnego kodu. To uaktualnienie naprawia ten błąd przez uaktualnienie języka PHP do wersji 5.4.30

    Identyfikator CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi wywołania interfejsu API Bluetooth występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4390: Ian Beer z Google Project Zero

  • CoreGraphics

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • CoreGraphics

    Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT przy współpracy członków programu iSIGHT Partners GVP Program

  • Foundation

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: aplikacja korzystająca z parsera NSXMLParser może zostać niewłaściwie wykorzystana do ujawnienia informacji.

    Opis: w procedurach obsługi danych XML przez oprogramowanie NSXMLParser występował błąd dotyczący jednostki zewnętrznej XML. Ten błąd naprawiono przez niewczytywanie jednostek zewnętrznych z różnych źródeł.

    Identyfikator CVE

    CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: skompilowanie niezaufanych modułów cieniujących GLSL może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w kompilatorze modułów cieniujących występował błąd powodujący przepełnienie bufora w przestrzeni użytkownika. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w niektórych procedurach sterownika zintegrowanej karty graficznej występowały liczne błędy sprawdzania poprawności. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4394: Ian Beer z Google Project Zero

    CVE-2014-4395: Ian Beer z Google Project Zero

    CVE-2014-4396: Ian Beer z Google Project Zero

    CVE-2014-4397: Ian Beer z Google Project Zero

    CVE-2014-4398: Ian Beer z Google Project Zero

    CVE-2014-4399: Ian Beer z Google Project Zero

    CVE-2014-4400: Ian Beer z Google Project Zero

    CVE-2014-4401: Ian Beer z Google Project Zero

    CVE-2014-4416: Ian Beer z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4376: Ian Beer z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi funkcji IOAcceleratorFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4402: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: użytkownik lokalny może odczytać wskaźniki jądra, co może posłużyć do obejścia randomizacji układu przestrzeni adresowej jądra.

    Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • Kernel

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • IOAcceleratorFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi funkcji IOKit występowało przepełnienie całkowitoliczbowe. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Kernel

    Dostępne dla: systemu OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: użytkownik lokalny może wywnioskować adresy jądra i obejść randomizację układu przestrzeni adresowej jądra.

    Opis: w niektórych przypadkach globalnej tablicy deskryptorów procesora przydzielany był możliwy do wydedukowania adres. Ten problem rozwiązano poprzez alokację globalnej tablicy deskryptorów pod losowymi adresami.

    Identyfikator CVE

    CVE-2014-4403: Ian Beer z Google Project Zero

  • Libnotify

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

    Opis: w komponencie Libnotify występował błąd zapisu poza dozwolonym zakresem. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • OpenSSL

    Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: liczne luki w zabezpieczeniach oprogramowania OpenSSL 0.9.8y, w tym luka umożliwiająca wykonanie dowolnego kodu.

    Opis: oprogramowanie OpenSSL 0.9.8y zawierało liczne luki w zabezpieczeniach. Ten problem rozwiązano przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8za.

    Identyfikator CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików MIDI występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1391: Fernando Munoz w ramach programu iDefense VCP, Tom Gallagher i Paul Bates w ramach programu Zero Day Initiative firmy HP

  • QT Media Foundation

    Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku MIDI może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików MIDI występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4350: s3tm3m w ramach programu Zero Day Initiative firmy HP

  • QT Media Foundation

    Dostępne dla: systemów OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku filmu może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi atomów „mvhd” występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4979: Andrea Micalizzi (rgod) w ramach programu Zero Day Initiative firmy HP

  • ruby

    Dostępne dla: systemu OS X Mavericks 10.9 do 10.9.4

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi znaków z kodowaniem procentowym w identyfikatorze URI przez oprogramowanie LibYAML występował błąd powodujący przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń. To uaktualnienie rozwiązuje ten problem przez uaktualnienie programu LibYAML do wersji 0.1.6.

    Identyfikator CVE

    CVE-2014-2525

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: