Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
Hämta och installera med Programuppdatering eller från Apples supportwebbplats.
OS X Mavericks 10.9.2 och säkerhetsuppdatering 2014-001
-
Apache
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Flera sårbarheter i Apache
Beskrivning: Flera sårbarheter förekom i Apache, av vilka den allvarligaste kan leda till cross-site-skriptning. Dessa problem åtgärdades genom uppdatering till Apache-version 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
Sandlådan
Tillgänglig för: OS X Mountain Lion 10.8.5
Effekt: Sandlådan kan kringgås
Beskrivning: LaunchServices-gränssnittet för start av program tillät att program i begränsat läge (sandlådan) angav argumentlistan som skickades till den nya processen. Med ett modifierat program i sandlådeläge var det möjligt att kringgå sandlådebegränsningen. Problemet har avhjälpts genom att program i sandlådeläge inte tillåts ange argument. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.
CVE-ID
CVE-2013-5179: Friedrich Graeter från The Soulmen GbR
-
ATS
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Visning eller hämtning av ett dokument som innehåller ett typsnitt med skadligt innehåll kan leda till att opålitlig kod körs
Beskrivning: Ett problem med skador på minnet förekom i hanteringen av Type 1-typsnitt. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1254: Felix Groebert i Google Security Team
-
ATS
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: Sandlådan kan kringgås
Beskrivning: Ett problem med skador på minnet förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1262: Meder Kydyraliev i Google Security Team
-
ATS
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: Sandlådan kan kringgås
Beskrivning: Ett godtyckligt fritt problem förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet har åtgärdats genom ytterligare validering av Mach-meddelanden.
CVE-ID
CVE-2014-1255: Meder Kydyraliev i Google Security Team
-
ATS
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Sandlådan kan kringgås
Beskrivning: Ett problem med buffertspill förekom i hanteringen av Mach-meddelanden som skickades till ATS. Problemet åtgärdades med utökad gränskontroll.
CVE-ID
CVE-2014-1256: Meder Kydyraliev i Google Security Team
-
Certifierad förtroendepolicy
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Rotcertifikat har uppdaterats
Beskrivning: Uppsättningen med systemrotcertifikat har uppdaterats. Den fullständiga listan med godkända systemrötter kan visas via programmet Nyckelhanterare.
-
CFNetwork-cookies
Tillgänglig för: OS X Mountain Lion 10.8.5
Effekt: Sessionscookies kan finnas kvar även efter nollställning av Safari
Beskrivning: I Safari kunde sessionscookies behållas även efter en nollställning, tills Safari stängdes. Problemet har åtgärdats genom förbättrad hantering av sessionscookies. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.
CVE-ID
CVE-2014-1257: Rob Ansaldo på Amherst College, Graham Bennett
-
CoreAnimation
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Om du besöker en sida med skadligt innehåll kan det hända att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett heap-buffertspill förekom vid CoreAnimations hantering av bilder. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1258: Karl Smith på NCC Group
-
CoreText
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: Program som använder CoreText kan vara sårbara för oväntad programavslutning och körning av opålitlig kod
Beskrivning: Ett signeringsproblem förekom i CoreText i hanteringen av Unicode-typsnitt. Det här problemet avhjälps genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1261: Lucas Apa och Carlos Mario Penagos på IOActive Labs
-
curl
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: En angripare med en privilegierad nätverksposition kan påverka användarinformation eller annan känslig information
Beskrivning: Vid användning av curl för anslutning till en HTTPS-URL innehållande en IP-adress validerades inte IP-adressen mot certifikatet. Detta problem påverkar inte system före OS X Mavericks 10.9.
CVE-ID
CVE-2014-1263: Roland Moriz på Moriz GmbH
-
Datasäkerhet
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: En angripare med privilegierad nätverksposition kan fånga upp eller ändra data i sessioner som skyddas av SSL/TLS
Beskrivning: Secure Transport kunde inte validera anslutningens äkthet. Det här problemet åtgärdades genom återskapande av saknade valideringssteg.
CVE-ID
CVE-2014-1266
-
Datum och tid
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: En obehörig användare kan ändra systemklockan
Beskrivning: Den här uppdateringen ändrar beteendet för
systemsetup
kommandot så att administratörsbehörighet krävs för att ändra systemklockan.CVE-ID
CVE-2014-1265
-
Filbokmärke
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Visning av en fil med ett skadlig utformat namn kan leda till att program avslutas oväntat eller att opålitlig kod körs.
Beskrivning: Ett buffertspill förekom i hantering av filnamn. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1259
-
Finder
Tillgänglig för: OS X Mavericks 10.9 och 10.9.1
Effekt: Åtkomst till en fils ACL via Finder kan leda till att andra användare får obehörig åtkomst till filer
Beskrivning: Åtkomst till en fils ACL via Finder kan förstöra ACL:erna på filen. Problemet åtgärdades genom förbättrad hantering av ACL:er.
CVE-ID
CVE-2014-1264
-
ImageIO
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Visning av en skadlig JPEG-fil kan leda till spridning av minnesinnehåll
Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i libjpegs hantering av JPEG-markörer, vilket ledde till spridningen av minnesinnehåll. Det här problemet åtgärdades genom bättre JPEG-hantering.
CVE-ID
CVE-2013-6629: Michal Zalewski
-
IOSerialFamily
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Effekt: Körning av ett skadligt program kan leda till körning av opålitlig kod i operativsystemkärnan
Beskrivning: Matrisåtkomst utanför gränserna förekom i IOSerialFamily-drivrutinen. Problemet åtgärdades genom utökad gränskontroll. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.
CVE-ID
CVE-2013-5139: @dent1zt
-
LaunchServices
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5
Effekt: Fel tillägg kunde visas vid filer
Beskrivning: Ett problem kunde inträffa vid hantering av vissa unicode-tecken. Det kunde leda till att fel filnamnstillägg visades vid filnamnen. Vi har åtgärdat problemet genom att filtrera bort visning av osäkra unicode-tecken i filnamn. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.
CVE-ID
CVE-2013-5178: Jesse Ruderman från Mozilla Corporation, Stephane Sudre från Intego
-
NVIDIA-drivrutiner
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Körning av ett skadligt program kan orsaka att körning av opålitlig kod i grafikkortet
Beskrivning: Ett problem förekom som tillät att skrivningar till visst tillförlitligt minne på grafikkortet. Det här problemet åtgärdades genom borttagning av möjligheten för värden att skriva till det minnet.
CVE-ID
CVE-2013-5986: Marcin Kościelnicki från projektet X.Org Foundation Nouveau
CVE-2013-5987: Marcin Kościelnicki från projektet X.Org Foundation Nouveau
-
PHP
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Flera sårbarheter i PHP
Beskrivning: Flera sårbarheter förekom i PHP, av vilka den allvarligaste kan leda till exekvering av opålitlig kod. De här problemen åtgärdades genom uppdatering av PHP till version 5.4.24 på OS X Mavericks 10.9 och 5.3.28 på OS X Lion och Mountain Lion.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
Överblick
Tillgänglig för: OS X Mountain Lion 10.8.5
Effekt: Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett minnesfel förekom i QuickLooks hantering av Microsoft Office-filer. Hämtning av en uppsåtligt skadlig Microsoft Office-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs. Detta problem påverkar inte system med OS X Mavericks 10.9 eller senare.
CVE-ID
CVE-2014-1260: Felix Groebert i Google Security Team
-
Överblick
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Öppnande av ett Microsoft Word-dokument med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett dubbelt fritt fel förekom i QuickLooks hantering av Microsoft Word-dokument. Det här problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-1252: Felix Groebert i Google Security Team
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett buffertspill förekom i hanteringen av 'ftab'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1246: En anonym forskare i samarbete med HP:s Zero Day Initiative
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av 'dref'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1247: Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett buffertspill förekom i hanteringen av 'ldat'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1248: Jason Kratzer som arbetar med iDefense VCP
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Visning av en PSD-bild med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett buffertspill förekom i hantering av PSD-bilder. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1249: dragonltx i Tencent Security Team
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett out of bounds-byteväxlingsproblem förekom i hanteringen av 'ttfo'-element. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1250: Jason Kratzer som arbetar med iDefense VCP
-
QuickTime
Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 och 10.9.1
Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Ett signeringsproblem förekom i hanteringen av 'stsz'-atomer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-1245: Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative
-
Secure Transport
Tillgänglig för: OS X Mountain Lion 10.8.5
Effekt: En angripare kan avkryptera data som skyddas av SSL
Beskrivning: Kända attacker mot sekretessen i SSL 3.0 och TLS 1.0 när en chiffersvit använder blockchiffer i CBC-läge. Som en lösning på dessa problem för program som använder Secure Transport aktiverades 1-bytesfragmentskyddet som standard för denna konfiguration.
CVE-ID
CVE-2011-3389: Juliano Rizzo och Thai Duong