เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.5 และการอัพเดทความปลอดภัย 2014-004

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.5 และการอัพเดทความปลอดภัย 2014-004

สามารถดาวน์โหลดและติดตั้งการอัปเดตนี้โดยใช้ การอัปเดตซอฟต์แวร์ หรือจาก เว็บไซต์การสนับสนุนของ Apple

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัปเดตความปลอดภัย โปรดดู การอัปเดตความปลอดภัยของ Apple

หมายเหตุ: OS X Mavericks 10.9.5จะมี เนื้อหาความปลอดภัยของ Safari 7.0.6 รวมอยู่

OS X Mavericks v10.9.5 และการอัพเดทความปลอดภัย 2014-004

  • apache_mod_php

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: มีช่องโหว่หลายแห่งใน PHP 5.4.24

    คำอธิบาย: มีช่องโหว่หลายแห่งใน PHP 5.4.24 ซึ่งช่องโหว่ที่ร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสโดยอำเภอใจ การอัพเดทนี้แก้ปัญหาได้ด้วยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • บลูทูธ

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการคำสั่งเรียก Bluetooth API ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4390 : Ian Beer แห่ง Google Project Zero

  • CoreGraphics

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการเปิดเผยข้อมูล

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano แห่ง Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP

  • CoreGraphics

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มมากเกินในการจัดการไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano แห่ง Binamuse VRT ที่ทำงานร่วมกับโปรแกรม iSIGHT Partners GVP

  • รากฐาน

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นที่ใช้ NSXMLParser อาจถูกนำมาใช้ในทางที่ผิดเพื่อเปิดเผยข้อมูล

    คำอธิบาย: มีปัญหาตัวตนภายนอก XML ในการจัดการ XML ของ NSXMLParser ปัญหานี้แก้ไขได้ด้วยการไม่โหลดตัวตนภายนอกข้ามต้นฉบับ

    CVE-ID

    CVE-2014-4374 : George Gal แห่ง VSR (http://www.vsecurity.com/)

  • ไดรเวอร์กราฟิก Intel

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การแปลชุดคำสั่งซอฟต์แวร์ GLSL ที่ไม่น่าไว้วางใจอาจทำให้อปพลิเคชันหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นของโปรแกรม user-space ในตัวแปลชุดคำสั่งซอฟต์แวร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4393 : Apple

  • ไดรเวอร์กราฟิก Intel

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันจำนวนมากในการทำงานปกติของไดรเวอร์กราฟิกรวม ปัญหานี้ได้รับการแก้ไขด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4394 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4395 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4396 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4397 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4398 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4399 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4400 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4401 : Ian Beer แห่ง Google Project Zero

    CVE-2014-4416 : Ian Beer แห่ง Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ อาร์กิวเมนต์ IOKit API ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบยืนยันอาร์กิวเมนต์ IOKit API ที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4376 : Ian Beer แห่ง Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการฟังก์ชัน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4402 : Ian Beer แห่ง Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้ใช้ภายในสามารถอ่านตัวชี้เคอร์เนล ซึ่งสามารถใช้เพื่อบายพาสการสุ่มตำแหน่งหน่วยความจำ (ASLR) เคอร์เนล

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการฟังก์ชั่น IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4379 : Ian Beer แห่ง Google Project Zero

  • IOKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบยืนยันในการจัดการช่องข้อมูลเมต้าบางช่องของออบเจกต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบยืนยันข้อมูลเมต้าที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4389 : Ian Beer แห่ง Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้ใช้ภายในสามารถอนุมานที่อยู่เคอร์แนลและบายพาสการสุ่มตำแหน่งหน่วยความจำ (ASLR) เคอร์แนลได้

    คำอธิบาย: ในบางกรณี CPU Global Descriptor Table จะถูกกำหนด ณ ที่อยู่ที่คาดเดาได้ ปัญหานี้แก้ไขได้ด้วยการกำหนด Global Descriptor Table ไปยังที่อยู่แบบสุ่มเสมอ

    CVE-ID

    CVE-2014-4403 : Ian Beer แห่ง Google Project Zero

  • Libnotify

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์ระดับราก

    คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตใน Libnotify ปัญหานี้แก้ไขได้ด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4381 : Ian Beer แห่ง Google Project Zero

  • OpenSSL

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: มีช่องโหว่หลายแห่งใน OpenSSL 0.9.8y รวมถึงช่องโหว่ที่อาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายแห่งใน OpenSSL 0.9.8y การอัพเดทนี้แก้ไขได้ด้วยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8za

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการไฟล์ภาพยนตร์ที่เข้ารหัส RLE ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1391 : Fernando Munoz ที่ทำงานร่วมกับ iDefense VCP, Tom Gallagher และ Paul Bates ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ MIDI ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์มากเกินไปในการจัดการไฟล์ MIDI ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4350 : s3tm3m ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ภาพภาพยนตร์ที่ออกมาแบบมาเพื่อประสงค์ร้าย อาจทำให้แอปพลิเคชั่นหยุดโดยไม่คาดคิดหรือการนำรหัสมาใช้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการอะตอม 'mvhd' ปัญหานี้ได้รับการแก้ไขแล้วด้วยการตรวจสอบขอบเขตที่ปรับปรุงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4979 : Andrea Micalizzi aka rgod ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • Ruby

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในการจัดการตัวอักษรที่เข้ารหัสเปอร์เซ็นต์ของ LibYAML ใน URI ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น การอัพเดทนี้แก้ไขปัญหาได้ด้วยการอัพเดท LibYAML ให้เป็นเวอร์ชั่น 0.1.6

    CVE-ID

    CVE-2014-2525

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: