Om säkerhetsuppdatering 2014-005

I det här dokument beskrivs säkerhetsinnehållet i säkerhetsuppdatering 2014-005.

Den här uppdateringen kan hämtas och installeras med Programuppdatering eller från Apple-supportwebbplatsen.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Säkerhetsuppdatering 2014-005

• Secure Transport

  Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

  Effekt: En angripare kan avkryptera data som skyddas av SSL

  Beskrivning: Det finns kända attacker på konfidentialiteten för SSL 3.0 när ett blockchiffer används i en chiffersvit i CBC-läge. En angripare kunde tvinga fram användning av SSL 3.0, även om servern hade stöd för en bättre TLS-version, genom att blockera anslutningsförsök till TLS 1.0 och högre. Problemet åtgärdades genom inaktivering av CBC-chiffersviter när TLS-anslutningsförsök misslyckas.

  CVE-ID

  CVE-2014-3566: Bodo Moeller, Thai Duong och Krzysztof Kotowicz på Google Security Team

Obs! Säkerhetsuppdatering 2014-005 innehåller säkerhetsinnehållet i bash-uppdatering 1.0 för OS X