Om säkerhetsinnehållet i OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004.

Uppdateringen kan hämtas och installeras med Programuppdatering eller från webbplatsen för Apple-supporten.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Obs! OS X Mavericks 10.9.5 innehåller säkerhetsinnehållet i Safari 7.0.6.

OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004

apache_mod_php

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: Flera sårbarheter i PHP 5.4.24

Beskrivning: Flera sårbarheter förekom i PHP 5.4.24, av vilka den allvarligaste kan leda till körning av opålitlig kod. Den här uppdateringen åtgärdar problemen genom att uppdatera PHP till version 5.4.30

CVE-ID

CVE-2013-7345

CVE-2014-0185

CVE-2014-0207

CVE-2014-0237

CVE-2014-0238

CVE-2014-1943

CVE-2014-2270

CVE-2014-3478

CVE-2014-3479

CVE-2014-3480

CVE-2014-3487

CVE-2014-3515

CVE-2014-3981

CVE-2014-4049

Bluetooth

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med validering förekom vid hantering av ett Bluetooth API-anrop. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4390: Ian Beer på Google Project Zero

CoreGraphics

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att program avslutas oväntat eller avslöjande av information

Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i hanteringen av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

CoreGraphics

Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

Grund

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information

Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.

CVE-ID

CVE-2014-4374: George Gal på VSR (http://www.vsecurity.com/)

Intel Graphics-drivrutin

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Kompilering av opålitliga GLSL-shaders kan leda till ett oväntat programavslut eller körning av godtycklig kod

Beskrivning: Buffertspill för användarutrymmet förekom i shader-kompileraren. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4393: Apple

Intel Graphics-drivrutin

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Flera problem med verifiering förekom i vissa drivrutiner för integrerad grafik. Dessa problem åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4394: Ian Beer på Google Project Zero

CVE-2014-4395: Ian Beer på Google Project Zero

CVE-2014-4396: Ian Beer på Google Project Zero

CVE-2014-4397: Ian Beer på Google Project Zero

CVE-2014-4398: Ian Beer på Google Project Zero

CVE-2014-4399: Ian Beer på Google Project Zero

CVE-2014-4400: Ian Beer på Google Project Zero

CVE-2014-4401: Ian Beer på Google Project Zero

CVE-2014-4416: Ian Beer på Google Project Zero

IOAcceleratorFamily

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.

CVE-ID

CVE-2014-4376: Ian Beer på Google Project Zero

IOAcceleratorFamily

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett out-of-bounds-läsproblem förekom vid hanteringen av en IOAcceleratorFamily-funktion. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4402: Ian Beer på Google Project Zero

IOHIDFamily

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: En lokal användare kan läsa kärnpekare som sedan kan användas för att kringgå kärnadressens slumpmässiga utrymmeslayout

Beskrivning: Ett out-of-bounds-läsproblem förekom i hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4379: Ian Beer på Google Project Zero

IOKit

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

CVE-ID

CVE-2014-4388: @PanguTeam

IOKit

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4389: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: En lokal användare kan komma fram till kerneladresser och kringgå adressutrymmets slumpmässiga layout

Beskrivning: I vissa fall allokerades CPU Global Descriptor Table till en förutsägbar adress. Problemet åtgärdades genom att alltid allokera Global Descriptor Table till slumpmässiga adresser.

CVE-ID

CVE-2014-4403: Ian Beer på Google Project Zero

Libnotify

Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier

Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades genom förbättrad gränskontroll

CVE-ID

CVE-2014-4381: Ian Beer på Google Project Zero

OpenSSL

Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Flera sårbarheter i OpenSSL 0.9.8y, bland annat en som kan leda till körning av opålitlig kod

Beskrivning: Flera sårbarheter förekom i OpenSSL 0.9.8y. Problemet åtgärdades genom att uppdatera OpenSSL till version 0.9.8za.

CVE-ID

CVE-2014-0076

CVE-2014-0195

CVE-2014-0221

CVE-2014-0224

CVE-2014-3470

QT Media Foundation

Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett problem med skadat minne förekom vid hanteringen av RLE-kodade filmfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-1391: Fernando Munoz i samarbete med iDefense VCP, Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative

QT Media Foundation

Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Uppspelning av en uppsåtligt skapad skadlig MIDI-fil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Buffertspill förekom vid hanteringen av MIDI-filer. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4350: s3tm3m i samarbete med HP:s Zero Day Initiative

QT Media Foundation

Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett problem med skadat minne förekom vid hanteringen av ”mvhd”-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-ID

CVE-2014-4979: Andrea Micalizzi aka rgod i samarbete med HP:s Zero Day Initiative

ruby

Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

Effekt: En angripare kan orsaka körning av godtycklig kod

Beskrivning: Ett heap-buffertspill förekom vid LibYAML:s hantering av procentkodade tecken i en URI. Problemet åtgärdades genom förbättrad gränskontroll. Den här uppdateringen åtgärdar problemen genom att uppdatera LibYAML till version 0.1.6

CVE-ID

CVE-2014-2525

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: maj 08, 2015