Táto aktualizácia sa dá stiahnuť a nainštalovať pomocou funkcie Aktualizácia softvéru alebo z webovej stránky podpory spoločnosti Apple.
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy úplne nepreskúmajú a nie sú k dispozícii potrebné opravy alebo vydania. Ďalšie informácie o zabezpečení produktov spoločnosti Apple nájdete na webovej stránke týkajúcej sa zabezpečenia produktov spoločnosti Apple.
Ďalšie informácie o kľúči PGP zabezpečenia produktov spoločnosti Apple nájdete v článku Používanie kľúča PGP zabezpečenia produktov spoločnosti Apple.
Ak je to možné, ako odkazy na ďalšie informácie o príslušných rizikách sa používajú identifikátory CVE.
Informácie o ďalších aktualizáciách zabezpečenia nájdete v článku Aktualizácie zabezpečenia Apple.
Poznámka: OS X Mavericks 10.9.4 zahŕňa obsah zabezpečenia v prehliadači Safari 7.0.5.
OS X Mavericks 10.9.4 a aktualizácia zabezpečenia 2014-003
Pravidlá dôveryhodnosti certifikátov
Dostupné pre: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Aktualizácia pravidiel dôveryhodnosti certifikátov
Popis: Pravidlá dôveryhodnosti certifikátov sa aktualizovali. Úplný zoznam certifikátov nájdete na stránke http://support.apple.com/sk-sk/HT6005.
copyfile
Dostupné pre: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Otvorenie súboru .zip so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu
Popis: Pri spracovávaní súborov AppleDouble v archívoch .zip dochádzalo k problému so zámenou bajtov v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1370: Chaitanya (SegFault) v spolupráci s programom iDefense VCP
curl
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Vzdialený útočník môže byť schopný získať prístup k relácii iného používateľa
Popis: Projekt cURL opätovne používal pripojenia NTLM, keď bol povolený viac ako jeden spôsob autentifikácie, čo útočníkovi umožnilo získať prístup k relácii iného používateľa.
CVE-ID
CVE-2014-0015
Dock
Dostupné pre: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Izolovaná aplikácia môže byť schopná obísť obmedzenia izolovaného priestoru
Popis: Pri spracovávaní správ z aplikácií Dockom dochádzalo k problému s neovereným indexom poľa. Správa so škodlivým kódom mohla spôsobiť dereferencovanie neplatného funkčného ukazovateľa, čo mohlo viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu.
CVE-ID
CVE-2014-1371 : Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti HP
Ovládač grafickej karty
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Lokálny používateľ môže čítať pamäť jadra, pomocou čoho možno obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: Pri spracovávaní systémových volaní dochádzalo k problému s čítaním dát v zakázaných oblastiach. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1372: Ian Beer z tímu Google Project Zero
iBooks Commerce
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Útočník s prístupom do systému môže byť schopný získať prihlasovacie údaje účtu Apple ID
Popis: Pri spracovávaní protokolov aplikácie iBooks dochádzalo k problému. Proces aplikácie iBooks mohol zaznamenať prihlasovacie údaje účtu Apple ID do protokolu aplikácie iBooks, kde si ho mohli prečítať iní používatelia systému. Tento problém bol vyriešený zakázaním protokolovania prihlasovacích údajov.
CVE-ID
CVE-2014-1317: Steve Dunham
Grafický ovládač Intel
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní volania rozhrania OpenGL API dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1373: Ian Beer z tímu Google Project Zero
Grafický ovládač Intel
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Lokálny používateľ môže čítať ukazovateľ jadra, pomocou čoho možno obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: Ukazovateľ jadra uložený v objekte IOKit bolo možné načítať z priestoru používateľov. Problém bol vyriešený odstránením ukazovateľa z objektu.
CVE-ID
CVE-2014-1375
Intel Compute
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracúvaní volania rozhrania OpenCL API dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1376: Ian Beer z tímu Google Project Zero
IOAcceleratorFamily
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V komponente IOAcceleratorFamily dochádzalo k problému s indexovaním poľa. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1377: Ian Beer z tímu Google Project Zero
IOGraphicsFamily
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Lokálny používateľ môže čítať ukazovateľ jadra, pomocou čoho možno obísť náhodné usporiadanie rozloženia priestoru adries jadra
Popis: Ukazovateľ jadra uložený v objekte IOKit bolo možné načítať z priestoru používateľov. Tento problém bol vyriešený používaním jedinečného identifikátora namiesto ukazovateľa.
CVE-ID
CVE-2014-1378
IOReporting
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Lokálny používateľ môže spôsobiť neočakávané reštartovanie systému
Popis: Pri spracovávaní argumentov rozhrania API funkcie IOKit dochádzalo k dereferencii nulového ukazovateľa. Tento problém bol vyriešený ďalším overovaním argumentov rozhrania API funkcie IOKit.
CVE-ID
CVE-2014-1355: cunzhang z tímu Adlab spoločnosti Venustech
launchd
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Vo funkcii launchd dochádzalo k podtečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1359: Ian Beer z tímu Google Project Zero
launchd
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Keď funkcia launchd spracovávala správy IPC, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1356: Ian Beer z tímu Google Project Zero
launchd
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Keď funkcia launchd spracovávala správy protokolu, dochádzalo k pretečeniu medzipamäte haldy. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1357: Ian Beer z tímu Google Project Zero
launchd
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Vo funkcii launchd dochádzalo k pretečeniu celočíselných hodnôt. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1358: Ian Beer z tímu Google Project Zero
Grafické ovládače
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: V ovládačoch grafiky v jadre dochádzalo k viacerým problémom s dereferenciou NULL. Spustiteľný 32-bitový súbor so škodlivým kódom mohol byť schopný získať oprávnenia vyššej úrovne.
CVE-ID
CVE-2014-1379: Ian Beer z tímu Google Project Zero
Zabezpečenie – Kľúčenka
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Útočník môže byť schopný písať do okien, keď je aktívny zámok obrazovky
Popis: Vo výnimočných prípadoch zámok obrazovky nedokázal zabrániť stláčaniu klávesov. Vďaka tomu mohol útočník písať do okien, aj keď bol aktívny zámok obrazovky. Tento problém bol vyriešený vylepšením správy snímania stláčania klávesov.
CVE-ID
CVE-2014-1380: Ben Langfeld zo spoločnosti Mojo Lingo LLC
Zabezpečenie – zabezpečený prenos
Dostupné pre: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 až 10.9.3
Dosah: Dva bajty pamäte mohli byť odhalené vzdialenému útočníkovi
Popis: Pri spracovávaní správ DTLS v pripojení TLS dochádzalo k problému s prístupom k neinicializovanej pamäti. Tento problém bol vyriešený akceptovaním správ DTLS len pri používaní pripojenia DTLS.
CVE-ID
CVE-2014-1361: Thijs Alkemade z projektu The Adium Project
Thunderbolt
Dostupné pre: OS X Mavericks 10.9 až 10.9.3
Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Pri spracovávaní volaní rozhrania IOThunderBoltController API dochádzalo k problému s prístupom k zakázanej oblasti pamäte. Tento problém bol vyriešený vylepšením kontroly rozsahu.
CVE-ID
CVE-2014-1381 : Sarah s prezývkou winocm
Dátum aktualizácie záznamu: 3. februára 2020