Om säkerhetsinnehållet i OS X Mavericks 10.9.4 och säkerhetsuppdatering 2014-003

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.4 och säkerhetsuppdatering 2014-003.

Uppdateringen kan hämtas och installeras med Programuppdatering eller från Apples supportwebbplats.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

Obs! OS X Mavericks 10.9.4 innehåller säkerhetsinnehållet i Safari 7.0.5.

OS X Mavericks 10.9.4 och säkerhetsuppdatering 2014-003

  • Certifierad förtroendepolicy

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/kb/HT6005?viewlocale=sv_SE.

  • copyfile

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Öppning av en uppsåtligt skadlig ZIP-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett out of bounds-byteväxlingsproblem förekom i hanteringen av AppleDouble-filer i ZIP-arkiv. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1370: Chaitanya (SegFault) i samarbete med iDefense VCP

  • curl

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En fjärrangripare kan få åtkomst till en annan användares session

    Beskrivning: cURL återanvände NTLM-anslutningar när fler än en autentiseringsmetod var aktiverad, vilket gjorde att en angripare kunde få åtkomst till en annan användares session.

    CVE-ID

    CVE-2014-0015

  • Dock

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett program i sandlådeläge kan kringgå sandlådebegränsningarna

    Beskrivning: Ett problem med ett ovaliderat array-index förekom i hanteringen av meddelanden från program i Dock. Ett skadligt meddelande kunde orsaka att en ogiltig funktionspekare blev avrefererad vilket kunde leda till oväntad programavslutning eller körning av överflödig kod.

    CVE-ID

    CVE-2014-1371: En anonym forskare i samarbete med HP:s Zero Day Initiative

  • Grafikdrivrutin

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: En lokal användare kan läsa kärnminne, som kan användas för att kringgå kärnadressutrymmets slumpmässiga layout

    Beskrivning: Ett out-of-bounds-läsproblem förekom i hanteringen av ett systemanrop. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1372: Ian Beer på Google Project Zero

  • iBooks Commerce

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En angripare med åtkomst till ett system kan återskapa Apple-ID-uppgifter

    Beskrivning: Ett problem förekom i hanteringen av iBooks-loggar. iBooks-processen kunde logga Apple-ID-uppgifter i iBooks-loggen där andra användare i systemet kunde läsa dem. Det här problemet har avhjälpts genom att loggning av uppgifter inte tillåts.

    CVE-ID

    CVE-2014-1317: Steve Dunham

  • Intel Graphics-drivrutin

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hantering av ett OpenGL API-anrop. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1373: Ian Beer på Google Project Zero

  • Intel Graphics-drivrutin

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En lokal användare kan läsa en kärnpekare, som kan användas för att kringgå kärnadressutrymmets slumpmässiga layout

    Beskrivning: En kärnpekare lagrad i ett IOKit-objekt kunde hämtas från userland. Detta löstes genom borttagning av pekaren från objektet.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hantering av ett OpenCL API-anrop. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1376: Ian Beer på Google Project Zero

  • IOAcceleratorFamily

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med array-indexering förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1377: Ian Beer på Google Project Zero

  • IOGraphicsFamily

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En lokal användare kan läsa en kärnpekare, som kan användas för att kringgå kärnadressutrymmets slumpmässiga layout

    Beskrivning: En kärnpekare lagrad i ett IOKit-objekt kunde hämtas från userland. Problemet åtgärdades genom användning av ett unikt ID istället för en pekare.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En lokal användare kunde orsaka oväntad omstart av systemet

    Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom ytterligare validering av IOKit API-argument.

    CVE-ID

    CVE-2014-1355: cunzhang från Adlab på Venustech

  • launchd

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsunderskott förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1359: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom vid hantering av IPC-meddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1356: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heap-buffertspill förekom vid hantering av loggmeddelanden i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1357: Ian Beer på Google Project Zero

  • launchd

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom i launchd. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1358: Ian Beer på Google Project Zero

  • Grafikdrivrutiner

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Flera problem med nollreferens förekom i kärngrafikdrivrutiner. En skadlig 32-bitars körbar fil kan skaffa sig högre privilegier.

    CVE-ID

    CVE-2014-1379: Ian Beer på Google Project Zero

  • Säkerhet – Nyckelring

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: En angripare kan skriva till fönster medan skärmen är låst

    Beskrivning: I sällsynta fall påverkades inte tangenttryckningar av att skärmen var låst. Detta kunde göra att en angripare kunde skriva till fönster medan skärmen var låst. Problemet åtgärdades genom förbättrad hantering av tangenttryckningsigenkänningen.

    CVE-ID

    CVE-2014-1380: Ben Langfeld på Mojo Lingo LLC

  • Säkerhet – Secure Transport

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.3

    Effekt: Två byte av minnet kunde avslöjas för en fjärrangripare

    Beskrivning: Ett oinitierat minnesåtkomstproblem förekom i hanteringen av DTLS-meddelanden i en TLS-anslutning. Problemet åtgärdades genom att endast DTLS-meddelanden accepteras i en DTLS-anslutning.

    CVE-ID

    CVE-2014-1361: Thijs Alkemade på The Adium Project

  • Thunderbolt

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.3

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med minnesläsning utanför gränsen förekom i hanteringen av IOThunderBoltController API-anrop. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1381: Catherine även kallad winocm

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: