Om säkerhetsinnehållet i OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004

Det här dokumentet beskriver säkerhetsinnehållet i OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004.

Uppdateringen kan hämtas och installeras med Programuppdatering eller från webbplatsen för Apple-supporten.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

Obs! OS X Mavericks 10.9.5 innehåller säkerhetsinnehållet i Safari 7.0.6.

OS X Mavericks 10.9.5 och säkerhetsuppdatering 2014-004

  • apache_mod_php

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: Flera sårbarheter i PHP 5.4.24

    Beskrivning: Flera sårbarheter förekom i PHP 5.4.24, av vilka den allvarligaste kan leda till körning av opålitlig kod. Den här uppdateringen åtgärdar problemen genom att uppdatera PHP till version 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hantering av ett Bluetooth API-anrop. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4390: Ian Beer på Google Project Zero

  • CoreGraphics

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: Öppning av en uppsåtligt skadlig PDF-fil kan leda till att program avslutas oväntat eller avslöjande av information

    Beskrivning: Ett problem med minnesåtkomst utanför gränsen förekom i hanteringen av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4378: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • CoreGraphics

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4377: Felipe Andres Manzano på Binamuse VRT i samarbete med iSIGHT Partners GVP-programmet

  • Grund

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information

    Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.

    CVE-ID

    CVE-2014-4374: George Gal på VSR (http://www.vsecurity.com/)

  • Intel Graphics-drivrutin

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Kompilering av opålitliga GLSL-shaders kan leda till ett oväntat programavslut eller körning av godtycklig kod

    Beskrivning: Buffertspill för användarutrymmet förekom i shader-kompileraren. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4393: Apple

  • Intel Graphics-drivrutin

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Flera problem med verifiering förekom i vissa drivrutiner för integrerad grafik. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4394: Ian Beer på Google Project Zero

    CVE-2014-4395: Ian Beer på Google Project Zero

    CVE-2014-4396: Ian Beer på Google Project Zero

    CVE-2014-4397: Ian Beer på Google Project Zero

    CVE-2014-4398: Ian Beer på Google Project Zero

    CVE-2014-4399: Ian Beer på Google Project Zero

    CVE-2014-4400: Ian Beer på Google Project Zero

    CVE-2014-4401: Ian Beer på Google Project Zero

    CVE-2014-4416: Ian Beer på Google Project Zero

  • IOAcceleratorFamily

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom vid hanteringen av IOKit API-argument. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4376: Ian Beer på Google Project Zero

  • IOAcceleratorFamily

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett out-of-bounds-läsproblem förekom vid hanteringen av en IOAcceleratorFamily-funktion. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4402: Ian Beer på Google Project Zero

  • IOHIDFamily

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: En lokal användare kan läsa kärnpekare som sedan kan användas för att kringgå kärnadressens slumpmässiga utrymmeslayout

    Beskrivning: Ett out-of-bounds-läsproblem förekom i hanteringen av en IOHIDFamily-funktion. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4379: Ian Beer på Google Project Zero

  • IOKit

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • Kärna

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: En lokal användare kan komma fram till kerneladresser och kringgå adressutrymmets slumpmässiga layout

    Beskrivning: I vissa fall allokerades CPU Global Descriptor Table till en förutsägbar adress. Problemet åtgärdades genom att alltid allokera Global Descriptor Table till slumpmässiga adresser.

    CVE-ID

    CVE-2014-4403: Ian Beer på Google Project Zero

  • Libnotify

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier

    Beskrivning: Det fanns ett problem med skrivning utanför gränserna i Libnotify. Problemet åtgärdades genom förbättrad gränskontroll

    CVE-ID

    CVE-2014-4381: Ian Beer på Google Project Zero

  • OpenSSL

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Flera sårbarheter i OpenSSL 0.9.8y, bland annat en som kan leda till körning av opålitlig kod

    Beskrivning: Flera sårbarheter förekom i OpenSSL 0.9.8y. Problemet åtgärdades genom att uppdatera OpenSSL till version 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett problem med skadat minne förekom vid hanteringen av RLE-kodade filmfiler. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-1391: Fernando Munoz i samarbete med iDefense VCP, Tom Gallagher och Paul Bates i samarbete med HP:s Zero Day Initiative

  • QT Media Foundation

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Uppspelning av en uppsåtligt skapad skadlig MIDI-fil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Buffertspill förekom vid hanteringen av MIDI-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4350: s3tm3m i samarbete med HP:s Zero Day Initiative

  • QT Media Foundation

    Tillgänglig för: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 till 10.9.4

    Effekt: Uppspelning av en uppsåtligt skapad skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Ett problem med skadat minne förekom vid hanteringen av ”mvhd”-atomer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4979: Andrea Micalizzi aka rgod i samarbete med HP:s Zero Day Initiative

  • ruby

    Tillgänglig för: OS X Mavericks 10.9 till 10.9.4

    Effekt: En angripare kan orsaka körning av godtycklig kod

    Beskrivning: Ett heap-buffertspill förekom vid LibYAML:s hantering av procentkodade tecken i en URI. Problemet åtgärdades genom förbättrad gränskontroll. Den här uppdateringen åtgärdar problemen genom att uppdatera LibYAML till version 0.1.6

    CVE-ID

    CVE-2014-2525

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: