Сведения о проблемах системы безопасности, устраняемых обновлением OS X Mavericks 10.9.5 и обновлением системы безопасности 2014-004

В этом документе описаны проблемы системы безопасности, устраняемые обновлением OS X Mavericks 10.9.5 и обновлением системы безопасности 2014-004.

Это обновление можно загрузить для последующей установки с помощью функции Обновление ПО или с веб-сайта службы поддержки Apple.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Примечание. В ОС OS X Mavericks 10.9.5 также устранены проблемы системы безопасности, связанные с браузером Safari 7.0.6.

OS X Mavericks 10.9.5 и обновление системы безопасности 2014-004

  • apache_mod_php

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Обнаружен ряд уязвимостей в PHP 5.4.24.

    Описание. В PHP 5.4.24 существовал ряд уязвимостей, наиболее серьезные из которых могли привести к выполнению произвольного кода. Данное обновление устраняет эти проблемы путем обновления PHP до версии 5.4.30.

    Идентификаторы CVE

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке вызова интерфейса API Bluetooth возникала проблема проверки. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4390: Ian Beer из подразделения Google Project Zero

  • CoreGraphics

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или раскрытию информации.

    Описание. При обработке файлов PDF возникала проблема чтения за границами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • CoreGraphics

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке файлов PDF возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano из компании Binamuse VRT в рамках программы iSIGHT Partners GVP

  • Foundation

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Приложение, в работе которого применяется NSXMLParser, может быть использовано злоумышленником с целью раскрытия информации.

    Описание. При обработке XML с помощью NSXMLParser возникала проблема инъекции внешних сущностей XML. Проблема устранена блокировкой загрузки внешних сущностей в исходные источники.

    CVE-ID

    CVE-2014-4374: George Gal из компании VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Компиляция недоверенных шейдеров GLSL может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. В компиляторе шейдеров возникала проблема переполнения буфера пользовательского пространства. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4393: Apple

  • Intel Graphics Driver

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При выполнении некоторых процедур драйвера интегрированного графического процессора возникали проблемы проверки. Проблемы устранены путем улучшенной проверки границ памяти.

    Идентификаторы CVE

    CVE-2014-4394: Ian Beer из подразделения Google Project Zero

    CVE-2014-4395: Ian Beer из подразделения Google Project Zero

    CVE-2014-4396: Ian Beer из подразделения Google Project Zero

    CVE-2014-4397: Ian Beer из подразделения Google Project Zero

    CVE-2014-4398: Ian Beer из подразделения Google Project Zero

    CVE-2014-4399: Ian Beer из подразделения Google Project Zero

    CVE-2014-4400: Ian Beer из подразделения Google Project Zero

    CVE-2014-4401: Ian Beer из подразделения Google Project Zero

    CVE-2014-4416: Ian Beer из подразделения Google Project Zero

  • IOAcceleratorFamily

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке аргументов интерфейса API IOKit возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки аргументов интерфейса API IOKit.

    CVE-ID

    CVE-2014-4376: Ian Beer из подразделения Google Project Zero

  • IOAcceleratorFamily

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке функции IOAcceleratorFamily возникала проблема чтения за границами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4402: Ian Beer из подразделения Google Project Zero

  • IOHIDFamily

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Локальный пользователь может считывать указатели ядра и таким образом обходить технологию рандомизации схемы размещения в адресном пространстве ядра.

    Описание. При обработке функции IOHIDFamily возникала проблема чтения за границами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4379: Ian Beer из подразделения Google Project Zero

  • IOKit

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке некоторых полей метаданных объектов IODataQueue возникала проблема проверки. Проблема устранена путем улучшенной проверки метаданных.

    CVE-ID

    CVE-2014-4388: пользователь @PanguTeam

  • IOKit

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

    Описание. При обработке функций IOKit возникала проблема целочисленного переполнения. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2014-4389: Ian Beer из подразделения Google Project Zero

  • Kernel

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Локальный пользователь может выводить адреса объектов ядра и обходить технологию рандомизации схемы размещения в адресном пространстве ядра.

    Описание. В некоторых случаях глобальной таблице дескрипторов процессора назначался предсказуемый адрес. Проблема устранена путем назначения глобальной таблице дескрипторов полностью случайных адресов.

    CVE-ID

    CVE-2014-4403: Ian Beer из подразделения Google Project Zero

  • Libnotify

    Целевые продукты: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Вредоносное приложение может выполнять произвольный код с правами пользователя root.

    Описание. В Libnotify возникала проблема записи за границами выделенной памяти. Проблема устранена с помощью улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4381: Ian Beer из подразделения Google Project Zero

  • OpenSSL

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Обнаружен ряд уязвимостей в библиотеке OpenSSL 0.9.8y, в том числе уязвимость, способная привести к выполнению произвольного кода.

    Описание. В OpenSSL 0.9.8y существовал ряд уязвимостей. Проблема устранена путем обновления библиотеки OpenSSL до версии 0.9.8za.

    Идентификаторы CVE

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке видеофайлов, закодированных с помощью алгоритма RLE, возникала проблема повреждения данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-1391: Фернандо Муньос (Fernando Munoz) в сотрудничестве с iDefense в рамках программы VCP, Том Галлагер (Tom Gallagher) и Пол Бейтс (Paul Bates), сотрудничающие с компанией HP в рамках программы Zero Day Initiative

  • QT Media Foundation

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Воспроизведение вредоносного файла MIDI может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке файлов MIDI возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4350: пользователь s3tm3m, сотрудничающий с компанией HP по программе Zero Day Initiative

  • QT Media Foundation

    Целевые продукты: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9–10.9.4.

    Воздействие. Воспроизведение вредоносного видеофайла может привести к неожиданному завершению работы приложения или выполнению произвольного кода.

    Описание. При обработке атомов mvhd возникала проблема повреждения данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2014-4979: Андрэа Микализзи (Andrea Micalizzi, пользователь rgod), сотрудничающий с компанией HP по программе Zero Day Initiative

  • ruby

    Целевые продукты: OS X Mavericks 10.9–10.9.4.

    Воздействие. Удаленный злоумышленник может выполнить произвольный код.

    Описание. При обработке в LibYAML символов URI в процентной кодировке возникала проблема переполнения буфера динамической памяти. Эта проблема устранена благодаря улучшенной проверке границ памяти. Эти проблемы устранены посредством обновления LibYAML до версии 0.1.6.

    Идентификатор CVE

    CVE-2014-2525

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: