Om säkerhetsinnehållet i OS X Mavericks 10.9.2 och säkerhetsuppdatering 2014-001

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.2 och säkerhetsuppdatering 2014-001.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Hämta och installera med Programuppdatering eller från Apples supportwebbplats.

OS X Mavericks 10.9.2 och säkerhetsuppdatering 2014-001

  • Apache

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Flera sårbarheter i Apache

    Beskrivning: Flera sårbarheter förekom i Apache, av vilka den allvarligaste kan leda till cross-site-skriptning. Dessa problem åtgärdades genom uppdatering till Apache-version 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • Sandlådan

    Tillgänglig för: OS X Mountain Lion 10.8.5

    Effekt: Sandlådan kan kringgås

    Beskrivning: LaunchServices-gränssnittet för start av program tillät att program i begränsat läge (sandlådan) angav argumentlistan som skickades till den nya processen. Med ett modifierat program i sandlådeläge var det möjligt att kringgå sandlådebegränsningen. Problemet har avhjälpts genom att program i sandlådeläge inte tillåts ange argument. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.

    CVE-ID

    CVE-2013-5179: Friedrich Graeter från The Soulmen GbR

  • ATS

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs

    Beskrivning: Ett problem med skador på minnet förekom i hanteringen av Type 1-typsnitt. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1254: Felix Groebert i Google Security Team

  • ATS

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: Sandlådan kan kringgås

    Beskrivning: Ett problem med skador på minnet förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1262: Meder Kydyraliev i Google Security Team

  • ATS

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: Sandlådan kan kringgås

    Beskrivning: Ett godtyckligt fritt problem förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet har åtgärdats genom ytterligare validering av Mach-meddelanden.

    CVE-ID

    CVE-2014-1255: Meder Kydyraliev i Google Security Team

  • ATS

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Sandlådan kan kringgås

    Beskrivning: Ett problem med buffertspill förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet åtgärdades med utökad gränskontroll.

    CVE-ID

    CVE-2014-1256: Meder Kydyraliev i Google Security Team

  • Certifierad förtroendepolicy

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Rotcertifikat har uppdaterats

    Beskrivning: Uppsättningen med systemrotcertifikat har uppdaterats. Den fullständiga listan med godkända systemrötter kan visas via programmet Nyckelhanterare.

  • CFNetwork-cookies

    Tillgänglig för: OS X Mountain Lion 10.8.5

    Effekt: Sessionscookies kan finnas kvar även efter nollställning av Safari

    Beskrivning: I Safari kunde sessionscookies behållas även efter en nollställning, tills Safari stängdes. Problemet har åtgärdats genom förbättrad hantering av sessionscookies. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.

    CVE-ID

    CVE-2014-1257: Rob Ansaldo på Amherst College, Graham Bennett

  • CoreAnimation

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Om du besöker en sida med skadligt innehåll kan det hända att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heap-buffertspill förekom vid CoreAnimations hantering av bilder. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1258: Karl Smith på NCC Group

  • CoreText

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: Program som använder CoreText kan vara sårbara för oväntad programavslutning och körning av opålitlig kod

    Beskrivning: Ett signeringsproblem förekom i CoreText i hanteringen av Unicode-typsnitt. Det här problemet avhjälps genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1261: Lucas Apa och Carlos Mario Penagos på IOActive Labs

  • curl

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information

    Beskrivning: Vid användning av curl för anslutning till en HTTPS-URL innehållande en IP-adress validerades inte IP-adressen mot certifikatet. Detta problem påverkar inte system före OS X Mavericks 10.9.

    CVE-ID

    CVE-2014-1263: Roland Moriz på Moriz GmbH

  • Datasäkerhet

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: En angripare med privilegierad nätverksposition kan fånga upp eller ändra data i sessioner som skyddas av SSL/TLS

    Beskrivning: Secure Transport kunde inte validera anslutningens äkthet. Det här problemet åtgärdades genom återskapande av saknade valideringssteg.

    CVE-ID

    CVE-2014-1266

  • Datum och tid

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: En obehörig användare kan ändra systemklockan

    Beskrivning: Den här uppdateringen ändrar beteendet för

    systemsetup
    kommandot så att administratörsbehörighet krävs för att ändra systemklockan.

    CVE-ID

    CVE-2014-1265

  • Filbokmärke

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Visning av en fil med ett skadlig utformat namn kan leda till att program avslutas oväntat eller att opålitlig kod körs.

    Beskrivning: Ett buffertspill förekom i hantering av filnamn. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1259

  • Finder

    Tillgänglig för: OS X Mavericks 10.9 och 10.9.1

    Effekt: Åtkomst till en fils ACL via Finder kan leda till att andra användare får obehörig åtkomst till filer

    Beskrivning: Åtkomst till en fils ACL via Finder kan förstöra ACL:erna på filen. Problemet åtgärdades genom förbättrad hantering av ACL:er.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Visning av en skadlig JPEG-fil kan leda till spridning av minnesinnehåll

    Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i libjpegs hantering av JPEG-markörer, vilket ledde till spridningen av minnesinnehåll. Det här problemet åtgärdades genom bättre JPEG-hantering.

    CVE-ID

    CVE-2013-6629: Michal Zalewski

  • IOSerialFamily

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Effekt: Körning av ett skadligt program kan leda till körning av opålitlig kod i operativsystemkärnan

    Beskrivning: Matrisåtkomst utanför gränserna förekom i IOSerialFamily-drivrutinen. Problemet åtgärdades genom utökad gränskontroll. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.

    CVE-ID

    CVE-2013-5139: @dent1zt

  • LaunchServices

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5

    Effekt: Fel tillägg kunde visas vid filer

    Beskrivning: Ett problem kunde inträffa vid hantering av vissa unicode-tecken. Det kunde leda till att fel filnamnstillägg visades vid filnamnen. Vi har åtgärdat problemet genom att filtrera bort visning av osäkra unicode-tecken i filnamn. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.

    CVE-ID

    CVE-2013-5178: Jesse Ruderman från Mozilla Corporation, Stephane Sudre från Intego

  • NVIDIA-drivrutiner

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Körning av ett skadligt program kan orsaka att körning av opålitlig kod i grafikkortet

    Beskrivning: Ett problem förekom som tillät att skrivningar till visst tillförlitligt minne på grafikkortet. Det här problemet åtgärdades genom borttagning av möjligheten för värden att skriva till det minnet.

    CVE-ID

    CVE-2013-5986: Marcin Kościelnicki från projektet X.Org Foundation Nouveau

    CVE-2013-5987: Marcin Kościelnicki från projektet X.Org Foundation Nouveau

  • PHP

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Flera sårbarheter i PHP

    Beskrivning: Flera sårbarheter förekom i PHP, av vilka den allvarligaste kan leda till exekvering av opålitlig kod. De här problemen åtgärdades genom uppdatering av PHP till version 5.4.24 på OS X Mavericks 10.9 och 5.3.28 på OS X Lion och Mountain Lion.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • Överblick

    Tillgänglig för: OS X Mountain Lion 10.8.5

    Effekt: Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i QuickLooks hantering av Microsoft Office-filer. Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.

    CVE-ID

    CVE-2014-1260: Felix Groebert i Google Security Team

  • Överblick

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Öppnande av ett Microsoft Word-dokument med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett dubbelt fritt fel förekom i QuickLooks hantering av Microsoft Word-dokument. Det här problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-1252: Felix Groebert i Google Security Team

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett buffertspill förekom i hanteringen av 'ftab'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1246: En anonym forskare i samarbete med HP:s Zero Day Initiative

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett problem med minneskorruption förekom i hanteringen av 'dref'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1247: Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett buffertspill förekom i hanteringen av 'ldat'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1248: Jason Kratzer som arbetar med iDefense VCP

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Visning av en PSD-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett buffertspill förekom i hantering av PSD-bilder. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1249: dragonltx i Tencent Security Team

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett out of bounds-byteväxlingsproblem förekom i hanteringen av 'ttfo'-element. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1250: Jason Kratzer som arbetar med iDefense VCP

  • QuickTime

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett signeringsproblem förekom i hanteringen av 'stsz'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1245: Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative

  • Secure Transport

    Tillgänglig för: OS X Mountain Lion 10.8.5

    Effekt: En angripare kan avkryptera data som skyddas av SSL

    Beskrivning: Kända attacker mot sekretessen i SSL 3.0 och TLS 1.0 när en chiffersvit använder blockchiffer i CBC-läge. Som en lösning på dessa problem för program som använder Secure Transport aktiverades 1-bytesfragmentskyddet som standard för denna konfiguration.

    CVE-ID

    CVE-2011-3389: Juliano Rizzo och Thai Duong

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: