Această actualizare poate fi descărcată și instalată folosind Actualizarea software sau de pe site-ul de Asistență Apple.
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate înainte de a face o investigație completă și de a pune la dispoziție corecțiile sau versiunile necesare. Pentru a afla mai multe despre securitatea produselor Apple, accesează site-ul web Securitatea produselor Apple.
Pentru informații despre cheia PGP pentru securitatea produselor Apple, consultă Utilizarea cheii PGP pentru securitatea produselor Apple.
Atunci când este posibil, se utilizează ID-uri CVE pentru a face referire la vulnerabilități pentru mai multe informații.
Pentru a afla mai multe despre alte actualizări de securitate, consultă Actualizările de securitate Apple.
Reține: OS X Mavericks 10.9.4 include conținutul de securitate din Safari 7.0.5.
OS X Mavericks v10.9.4 și actualizarea de securitate 2014-003
Politica de încredere în certificate
Disponibilitate pentru: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 până la versiunea 10.9.3
Impact: actualizare a politicii de încredere în certificate
Descriere: Politica de încredere în certificate a fost actualizată. Lista completă de certificate poate fi vizualizată la adresa http://support.apple.com/ro-ro/HT6005.
copyfile
Disponibilitate pentru: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 până la versiunea 10.9.3
Impact: deschiderea unui fișier zip creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu
Descriere: a existat o problemă de schimbare de byți în afara limitelor la tratarea fișierelor AppleDouble din arhivele zip. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1370 : Chaitanya (SegFault), lucrând cu iDefense VCP
curl
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un atacator de la distanță poate dobândi acces la sesiunea altui utilizator
Descriere: adresa cURL a reutilizat conexiuni NTLM atunci când au fost activate mai multe metode de autentificare, fapt care a permis unui atacator să obțină acces la sesiunea altui utilizator.
CVE-ID
CVE-2014-0015
Dock
Disponibilitate pentru: OS X Lion 10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 până la versiunea 10.9.3
Impact: este posibil ca o aplicație din sandbox să poată ocoli restricțiile sandboxului
Descriere: a existat o problemă legată de un indice de matrice nevalidat, în modul în care Dock tratează mesajele de la aplicații. Un mesaj creat cu rea intenție poate provoca anularea referinței pentru un pointer de funcție nevalid, fapt care ar putea duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu.
CVE-ID
CVE-2014-1371: un cercetător anonim în colaborare cu Zero Day Initiative (HP)
Driverul video
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: un utilizator local poate citi memoria de kernel, fapt care poate fi utilizat pentru a ocoli randomizarea schemei spațiului de adrese din kernel.
Descriere: a existat o problemă de citire în afara limitelor la tratarea unui apel de sistem. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1372: Ian Beer de la Google Project Zero
iBooks Commerce
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un atacator cu acces la un sistem poate recupera acreditările ID-ului Apple
Descriere: a existat o problemă la tratarea jurnalelor iBooks. Procesul iBooks poate înregistra acreditările ID-ului Apple în jurnalul iBooks, în locuri în care alți utilizatori ai sistemului îl pot citi. Această problemă a fost rezolvată prin interzicerea jurnalizării acreditărilor.
CVE-ID
CVE-2014-1317: Steve Dunham
Driver video Intel
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă legată de validare în tratarea unui apel API OpenGL. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1373: Ian Beer de la Google Project Zero
Driver video Intel
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un utilizator local poate citi un pointer de kernel, care poate fi utilizat pentru a ocoli randomizarea schemei spațiului de adrese din kernel
Descriere: un pointer de kernel stocate într-un obiect IOKit poate fi regăsit din spațiul de utilizator. Această problemă a fost rezolvată prin eliminarea pointerului din obiect.
CVE-ID
CVE-2014-1375
Intel Compute
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă legată de validare în tratarea unui apel API OpenCL. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1376: Ian Beer de la Google Project Zero
IOAcceleratorFamily
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă legată de indexare pentru o matrice în IOAcceleratorFamily. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1377: Ian Beer de la Google Project Zero
IOGraphicsFamily
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un utilizator local poate citi un pointer de kernel, care poate fi utilizat pentru a ocoli randomizarea schemei spațiului de adrese din kernel
Descriere: un pointer de kernel stocate într-un obiect IOKit poate fi regăsit din spațiul de utilizator. Această problemă a fost rezolvată prin utilizarea unui ID unic în locul unui pointer.
CVE-ID
CVE-2014-1378
IOReporting
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un utilizator local ar putea cauza reportnirea neașteptată a sistemului
Descriere: a existat o referință la un indicator nul în tratarea argumentelor interfeței API IOKit. Această problemă a fost rezolvată prin validarea îmbunătățită a argumentelor interfeței API IOKit.
CVE-ID
CVE-2014-1355: cunzhang de la Adlab of Venustech
launchd
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: în launchd a existat o depășire negativă de întreg. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1359: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o depășire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor IPC. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1356: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o depășire a zonei tampon a structurii de date la tratarea de către launchd a mesajelor de jurnal. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1357: Ian Beer de la Google Project Zero
launchd
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: în launchd a existat o depășire de întreg. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1358: Ian Beer de la Google Project Zero
Drivere video
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: au existat mai multe probleme legate de anularea referințelor null în driverele grafice de kernel. Este posibil ca un executabil pe 32 de biți creat cu rea intenție să fi putut obține privilegii elevate.
CVE-ID
CVE-2014-1379: Ian Beer de la Google Project Zero
Securitate – Portchei
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: un atacator poate introduce text în ferestre prin ecranul de blocare
Descriere: în situații rare, ecranul de blocare nu a interceptat apăsările de taste. Acest lucru poate să-i fi permis unui atacator să introducă text în ferestre prin ecranul de blocare. Această problemă a fost rezolvată prin îmbunătățirea gestionării observatorului de apăsări de taste.
CVE-ID
CVE-2014-1380: Ben Langfeld de la Mojo Lingo LLC
Securitate - Secure Transport
Disponibilitate pentru: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 până la 10.9.3
Impact: doi byți de memorie pot fi dezvăluiți unui atacator aflat la distanță
Descriere: a existat o problemă legată de accesul la memoria neinițializată în tratarea mesajelor DTLS într-o conexiune TLS. Această problemă a fost rezolvată prin acceptarea mesajelor DTLS numai într-o conexiune DTLS.
CVE-ID
CVE-2014-1361: Thijs Alkemade de la The Adium Project
Thunderbolt
Disponibilitate pentru: OS X Mavericks 10.9 până la 10.9.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de acces la memorie în afara limitelor la tratarea apelurilor API IOThunderBoltController. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-ID
CVE-2014-1381: Sarah aka winocm
Intrare actualizată pe 3 februarie 2020