เกี่ยวกับการอัปเดตความปลอดภัย 2014-005

เอกสารนี้จะอธิบายเกี่ยวกับการอัปเดตความปลอดภัย 2014-005

สามารถดาวน์โหลดและติดตั้งการอัปเดตนี้โดยใช้การอัปเดตซอฟต์แวร์ หรือจากเว็บไซต์การสนับสนุนของ Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีการใช้ PGP Key เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงเกี่ยวกับข้อมูลเพิ่มเติมเรื่องช่องโหว่ต่างๆ

เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตความปลอดภัยอื่นๆ โปรดดู การอัปเดตความปลอดภัยของ Apple

การอัปเดตความปลอดภัย 2014-005

  • การถ่ายโอนที่ปลอดภัย

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    ผลกระทบ: ภัยคุกคามอาจสามารถถอดรหัสข้อมูลที่ป้องกันด้วย SSL ได้

    คำอธิบาย: มีภัยคุกคามที่ทราบในเรื่องความมั่นใจของ SSL 3.0 เมื่อ Cipher Suite ใช้ Block Cipher ในโหมด CBC ภัยคุกคามอาจบังคับใช้ SSL 3.0 ด้วยการบล็อก TLS 1.0 และความพยายามในการเชื่อมต่อที่สูงกว่า แม้ว่าเซิร์ฟเวอร์จะรองรับเวอร์ชั่น TLS ที่ดีกว่าก็ตาม ปัญหานี้แก้ไขได้ด้วยการปิดใช้งาน Cipher Suite ใน CBC เมื่อความพยายามในการเชื่อมต่อ TLS ล้มเหลว

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong และ Krzysztof Kotowicz จากทีมรักษาความปลอดภัยของ Google

หมายเหตุ: การอัปเดตความปลอดภัย 2014-005 มีเนื้อหาความปลอดภัยของการอัปเดต OS X bash เวอร์ชั่น 1.0

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: