Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mavericks do wersji 10.9.5 i uaktualnieniu zabezpieczeń 2014-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Mavericks do wersji 10.9.5 i uaktualnieniu zabezpieczeń 2014-004.

To uaktualnienie można pobrać i zainstalować przy użyciu funkcji Uaktualnienia oprogramowania lub z witryny Wsparcia Apple.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uwaga: system OS X Mavericks 10.9.5 zawiera zabezpieczenia z uaktualnienia przeglądarki Safari do wersji 7.0.6.

Uaktualnienie systemu OS X Mavericks do wersji 10.9.5 i Uaktualnienie zabezpieczeń 2014-004

  • apache_mod_php

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: liczne luki w zabezpieczeniach języka PHP 5.4.24.

    Opis: język PHP 5.4.24 zawierał wiele luk w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie dowolnego kodu. Rozwiązanie tego problemu polega na uaktualnieniu języka PHP do wersji 5.4.30.

    Identyfikator CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi wywołania interfejsu API Bluetooth występował błąd walidacji. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4390: Ian Beer z Google Project Zero

  • CoreGraphics

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub ujawnienie informacji.

    Opis: w procedurach obsługi plików PDF występował błąd odczytu pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4378: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP

  • CoreGraphics

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurach obsługi plików PDF występowało przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4377: Felipe Andres Manzano z Binamuse VRT w ramach programu iSIGHT Partners GVP

  • Foundation

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: aplikacja korzystająca z parsera NSXMLParser może zostać wykorzystana do wydobycia informacji.

    Opis: w procedurach obsługi danych XML przez oprogramowanie NSXMLParser występował błąd dotyczący jednostki zewnętrznej XML. Ten problem rozwiązano przez wyłączenie wczytywania jednostek zewnętrznych z innych źródeł.

    Identyfikator CVE

    CVE-2014-4374: George Gal z VSR (http://www.vsecurity.com/)

  • Sterownik graficzny Intel

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: skompilowanie niezaufanych modułów cieniujących GLSL może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w kompilatorze modułów cieniujących występował błąd powodujący przepełnienie bufora w przestrzeni użytkownika. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4393: firma Apple

  • Sterownik graficzny Intel

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w niektórych procedurach sterownika zintegrowanej karty graficznej występowały liczne błędy walidacji. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4394: Ian Beer z Google Project Zero

    CVE-2014-4395: Ian Beer z Google Project Zero

    CVE-2014-4396: Ian Beer z Google Project Zero

    CVE-2014-4397: Ian Beer z Google Project Zero

    CVE-2014-4398: Ian Beer z Google Project Zero

    CVE-2014-4399: Ian Beer z Google Project Zero

    CVE-2014-4400: Ian Beer z Google Project Zero

    CVE-2014-4401: Ian Beer z Google Project Zero

    CVE-2014-4416: Ian Beer z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi argumentów interfejsu API IOKit występowała dereferencja wskaźnika null. Rozwiązanie tego problemu polega na poprawieniu procedury sprawdzania argumentów interfejsu API IOKit.

    Identyfikator CVE

    CVE-2014-4376: Ian Beer z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi funkcji IOAcceleratorFamily występował błąd odczytu spoza zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4402: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: użytkownik lokalny może odczytać wskaźniki jądra, co może posłużyć do obejścia randomizacji układu przestrzeni adresowej jądra.

    Opis: w procedurze obsługi funkcji IOHIDFamily występował błąd odczytu spoza zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4379: Ian Beer z Google Project Zero

  • IOKit

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurach obsługi określonych pól metadanych obiektów IODataQueue występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności metadanych.

    Identyfikator CVE

    CVE-2014-4388: @PanguTeam

  • IOKit

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi funkcji IOKit występował błąd powodujący przepełnienie całkowitoliczbowe. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4389: Ian Beer z Google Project Zero

  • Jądro

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: użytkownik lokalny może wywnioskować adresy jądra i obejść randomizację układu przestrzeni adresowej jądra.

    Opis: w niektórych przypadkach globalnej tablicy deskryptorów procesora przydzielany był możliwy do wydedukowania adres. Rozwiązanie tego problemu polega na umieszczaniu globalnych tablic deskryptorów pod losowymi adresami.

    Identyfikator CVE

    CVE-2014-4403: Ian Beer z Google Project Zero

  • Libnotify

    Dostępne dla: OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

    Opis: w komponencie Libnotify występował błąd zapisu poza dozwolonym zakresem. Rozwiązanie problemu polega na poprawieniu mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4381: Ian Beer z Google Project Zero

  • OpenSSL

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: liczne luki w zabezpieczeniach oprogramowania OpenSSL 0.9.8y, w tym luka umożliwiająca wykonanie dowolnego kodu.

    Opis: oprogramowanie OpenSSL 0.9.8y zawierało liczne luki w zabezpieczeniach. Rozwiązanie problemu polega na uaktualnieniu oprogramowania OpenSSL do wersji 0.9.8za.

    Identyfikator CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików z filmami zakodowanych w formacie RLE występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-1391: Fernando Munoz w ramach programu iDefense VCP, Tom Gallagher i Paul Bates w ramach programu Zero Day Initiative firmy HP

  • QT Media Foundation

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku MIDI może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików MIDI występował błąd powodujący przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4350: s3tm3m w ramach programu Zero Day Initiative firmy HP

  • QT Media Foundation

    Dostępne dla: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku z filmem może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze obsługi atomów „mvhd” występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4979: Andrea Micalizzi alias rgod w ramach programu Zero Day Initiative firmy HP

  • Ruby

    Dostępne dla: OS X Mavericks w wersji od 10.9 do 10.9.4

    Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi znaków z kodowaniem procentowym w identyfikatorze URI przez oprogramowanie LibYAML występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń. Rozwiązanie tego problemu polega na uaktualnieniu oprogramowania LibYAML do wersji 0.1.6.

    Identyfikator CVE

    CVE-2014-2525

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: