Om säkerhetsinnehållet i OS X Mavericks v10.9.5 och säkerhetsuppdateringen 2014-004

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks v10.9.5 och säkerhetsuppdateringen 2014-004.

Den här uppdateringen kan hämtas och installeras med Programuppdatering eller från webbplatsen för Apple-supporten.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Obs! OS X Mavericks v10.9.5 innehåller säkerhetsinnehållet i Safari 7.0.6.

OS X Mavericks v10.9.5 och säkerhetsuppdatering 2014-004

• apache_mod_php

  Tillgänglig för: OS X Mavericks v10.9 till v10.9.4

  Effekt: Flera sårbarheter i PHP 5.4.24

  Beskrivning: Flera sårbarheter fanns i PHP 5.4.24, av vilka den allvarligaste kan ha lett till körning av opålitlig kod. Denna uppdatering åtgärdar problemen genom att uppdatera PHP till versionen 5.4.30

  CVE-ID

  CVE-2013-7345

  CVE-2014-0185

  CVE-2014-0207

  CVE-2014-0237

  CVE-2014-0238

  CVE-2014-1943

  CVE-2014-2270

  CVE-2014-3478

  CVE-2014-3479

  CVE-2014-3480

  CVE-2014-3487

  CVE-2014-3515

  CVE-2014-3981

  CVE-2014-4049

• Bluetooth

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Ett valideringsfel fanns vid hanteringen av ett Bluetooth API-anrop. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4390: Ian Beer på Google Project Zero

• CoreGraphics

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: Att öppna en PDF-fil skapad med skadligt uppsåt kan leda till att programmet avslutas oväntat eller att information avslöjas

  Beskrivning: Det fanns minnesläsning utanför gränserna vid hanteringen av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

• CoreGraphics

  Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Att öppna en PDF-fil skapad med skadligt uppsåt kan leda till att programmet avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Det förekom ett heltalsspill vid hantering av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

• Foundation

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program som använder NSXMLParser kan eventuellt missbrukas för att avslöja information

  Beskrivning: Ett problem med extern XML-entitet förekom vid hantering av XML med NSXMLParser. Problemet åtgärdades genom att externa entiteter inte läses in mellan olika ursprung.

  CVE-ID

  CVE-2014-4374: George Gal på VSR (http://www.vsecurity.com/)

• Intel Graphics Driver

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Kompilering av obetrodda GLSL-shaders kan leda till att programmet avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Det förekom ett buffertspill för användarutrymme i shader-kompilatorn. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4393: Apple

• Intel Graphics Driver

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Flera valideringsfel fanns i vissa integrerade grafikdrivrutiner. Dessa problem åtgärdades genom förbättrad gränskontroll.

  CVE-ID

  CVE-2014-4394: Ian Beer på Google Project Zero

  CVE-2014-4395: Ian Beer på Google Project Zero

  CVE-2014-4396: Ian Beer på Google Project Zero

  CVE-2014-4397: Ian Beer på Google Project Zero

  CVE-2014-4398: Ian Beer på Google Project Zero

  CVE-2014-4399: Ian Beer på Google Project Zero

  CVE-2014-4400: Ian Beer på Google Project Zero

  CVE-2014-4401: Ian Beer på Google Project Zero

  CVE-2014-4416: Ian Beer på Google Project Zero

• IOAcceleratorFamily

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Det fanns problem med en nullpekarreferens vid hanteringen av IOKit API-argument. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

  CVE-ID

  CVE-2014-4376: Ian Beer på Google Project Zero

• IOAcceleratorFamily

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hanteringen av en IOAcceleratorFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4402: Ian Beer på Google Project Zero

• IOHIDFamily

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: En lokal användare kan läsa kernelpekare, vilket kan användas för att kringgå randomisering av kerneladressutrymmets layout

  Beskrivning: Det fanns ett problem med läsning utanför gränserna vid hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4379: Ian Beer på Google Project Zero

• IOKit

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Det förekom ett valideringsproblem vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

  CVE-ID

  CVE-2014-4388: @PanguTeam

• IOKit

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med systembehörigheter

  Beskrivning: Det förekom ett heltalsspill vid hanteringen av IOKit-funktioner. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4389: Ian Beer på Google Project Zero

• Kernel

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: En lokal användare kan gissa kerneladresser och kringgå randomiseringen av kerneladressutrymmets layout

  Beskrivning: I vissa fall tilldelades CPU Global Descriptor-tabellen till en förutsägbar adress. Detta problem åtgärdades genom att alltid tilldela Global Descriptor-tabellen till slumpmässiga adresser.

  CVE-ID

  CVE-2014-4403: Ian Beer på Google Project Zero

• Libnotify

  Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Ett program med skadlig kod kan eventuellt tillåta att opålitlig kod körs med rotbehörigheter

  Beskrivning: Ett problem med skrivning utanför gränserna fanns i Libnotify. Det här problemet åtgärdades genom förbättrad gränskontroll

  CVE-ID

  CVE-2014-4381: Ian Beer på Google Project Zero

• OpenSSL

  Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Flera sårbarheter i OpenSSL 0.9.8y, inklusive en sårbarhet som kan leda till körning av opålitlig kod

  Beskrivning: Det fanns flera sårbarheter i OpenSSL 0.9.8y. Denna uppdatering åtgärdades genom att uppdatera OpenSSL till version 0.9.8za.

  CVE-ID

  CVE-2014-0076

  CVE-2014-0195

  CVE-2014-0221

  CVE-2014-0224

  CVE-2014-3470

• QT Media Foundation

  Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Uppspelning av en skadligt skapad filmfil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Ett problem med minnesfel förekom vid hantering av RLE-kodade filmfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-1391: Fernando Munoz som arbetar med iDefense VCP, Tom Gallagher och Paul Bates som arbetar med HP's Zero Day Initiative

• QT Media Foundation

  Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till 10.9.4

  Effekt: Uppspelning av en skadligt skapad MIDI-fil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Det förekom ett buffertspill vid hantering av MIDI-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4350: s3tm3m som arbetar med HP's Zero Day Initiative

• QuickTime

  Tillgängligt för: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 till v10.9.4

  Effekt: Uppspelning av en skadligt skapad filmfil kan leda till att programmet avslutas oväntat eller att opålitlig kod körs

  Beskrivning: Det förekom ett problem med minnesfel vid hantering av 'mvhd'-atomer. Problemet åtgärdades med förbättrad kontroll av gränserna.

  CVE-ID

  CVE-2014-4979: Andrea Micalizzi aka rgod som arbetar med HP's Zero Day Initiative

• ruby

  Tillgängligt för: OS X Mavericks v10.9 till v10.9.4

  Effekt: En fjärrangripare kan eventuellt orsaka körning av opålitlig kod

  Beskrivning: Det förekom ett heap-buffertspill vid LibYAML:s hantering av procentkodade tecken i en URI. Problemet åtgärdades med förbättrad kontroll av gränserna. Den här uppdateringen åtgärdar problemen genom att uppdatera LibYAML till version 0.1.6

  CVE-ID

  CVE-2014-2525