2014-002 Güvenlik Güncellemesi Hakkında

Bu belgede 2014-002 Güvenlik Güncellemesinin güvenlik içeriği açıklanmaktadır.

Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için "Apple Ürün Güvenliği PGP Anahtarını kullanma" başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi almak amacıyla güvenlik açıklarına bakmak için CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında bilgi için "Apple Güvenlik Güncellemeleri" başlıklı makaleye bakın.

  • CFNetwork HTTPProtocol

    İlgili işletim sistemleri: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 ve OS X Mavericks 10.9.2

    Etki: Ağda ayrıcalıklı bir konuma sahip saldırgan web sitesi kimlik bilgilerini elde edebilir

    Açıklama: Bağlantı başlık satırı tamamlanmadan önce kapatılmış olsa bile ayarlanmış Çerez HTTP başlıkları işlenebilir. Bir saldırgan, güvenlik ayarları gönderilmeden önce bağlantıyı kapanmaya zorlayarak çerezdeki güvenlik ayarlarını kaldırabilir ve korumasız çerezdeki değeri ele geçirebilir. Bu sorun tamamlanmamış HTTP başlık satırları yok sayılarak çözüldü.

    CVE kimliği

    CVE-2014-1296 : Antoine Delignat-Lavaud, Prosecco, Inria Paris

  • CoreServicesUIAgent

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesini veya URL'yi ziyaret etmek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: URL'lerin işlenmesinde bir biçimlendirme dizesi sorunu vardı. Bu sorun URL'lere ek doğrulama yapılarak giderildi. Bu sorun OS X Mavericks öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1315: runic.pl'den Lukasz Pilorz, Erik Kooistra

  • FontParser

    İlgili işletim sistemleri: OS X Mountain Lion v10.8.5

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarındaki fontlar işlenirken arabellek yetersizliği oluşuyordu. Bu sorun ek sınır denetimi ile giderildi. OS X Mavericks sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2013-5170: Will Dormann, CERT/CC

  • Heimdal Kerberos

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

    Açıklama: ASN.1 verilerinin işlenmesinde ulaşılabilir bir durdurma sorunu vardı. Bu sorun ASN.1 verilerine ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-1316: Joonas Kuorilehto, Codenomicon

  • ImageIO

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Kötü amaçlarla oluşturulmuş bir JPEG resmini görüntülemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: ImageIO'nun JPEG resimlerini işlemesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi. Bu sorun OS X Mavericks öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1319: Modulo Consulting'ten Cristian Draghici, NCC Group'tan Karl Smith

  • Intel Grafik Sürücüsü

    İlgili işletim sistemleri: OS X Mountain Lion v10.8.5 ve OS X Mavericks 10.9.2

    Etki: Kötü amaçlı bir uygulama sistemin denetimini ele geçirebilir

    Açıklama: Kullanıcı alanından bir işaretçinin işlenmesinde doğrulama sorunu vardı. Bu sorun işaretçilere ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-1318: Google Project Zero'dan HP Zero Day Initiative için çalışan Ian Beer

  • IOKit Çekirdeği

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir

    Açıklama: IOKit nesnesinde depolanan bir dizi çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun işaretçiler nesneden kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-1320 : Google Project Zero'dan HP Zero Day Initiative için çalışan Ian Beer

  • Çekirdek

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir

    Açıklama: XNU nesnesinde tutulan bir çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun nesneden işaretçi kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-1322: Ian Beer, Google Project Zero

  • Güç Yönetimi

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Ekran kilitlenmeyebilir

    Açıklama: Kapak kapatıldıktan hemen sonra bir tuşa basılırsa veya izleme dörtgenine dokunulursa sistem uykuya geçerken uyanmaya çalışabiliyor ve bu da ekranın kilitlenmemesine neden oluyordu. Bu sorun uykuya geçilirken basılan tuşlar yoksayılarak giderildi. Bu sorun OS X Mavericks öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2014-1321: Paul Kleeberg, Stratis Health Bloomington MN; Julian Sincu, Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart); Gerben Wierda, R&A, Daniel Luz

  • Ruby

    İlgili işletim sistemleri: OS X Mavericks 10.9.2

    Etki: Güvenilmeyen YAML etiketlerini işleyen bir Ruby betiği çalıştırmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: LibYAML'nin YAML etiketlerini işlemesinde tamsayı taşması sorunu vardı. Bu sorun YAML etiketlerine ek doğrulama yapılarak giderildi. Bu sorun OS X Mavericks öncesi sistemleri etkilemez.

    CVE kimliği

    CVE-2013-6393

  • Ruby

    İlgili işletim sistemleri: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 ve OS X Mavericks 10.9.2

    Etki: Float nesnesi oluşturmak için güvenilmeyen bir giriş kullanan Ruby betiği çalıştırmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Ruby'de bir dizeyi kayan noktalı değere dönüştürürken yığın tabanlı arabellek taşması sorunu vardı. Bu sorun kayan noktalı değerlere ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2013-4164

  • Güvenlik - Güvenli Aktarım

    İlgili işletim sistemleri: OS X Mountain Lion v10.8.5 ve OS X Mavericks 10.9.2

    Etki: Ağda ayrıcalıklı konuma sahip bir saldırgan SSL ile korunan oturumlarda verileri yakalayabilir veya yapılan işlemleri değiştirebilir

    Açıklama: "Üç yönlü el sıkışma" saldırısında bir saldırganın aynı şifreleme anahtarlarına ve el sıkışmaya sahip iki bağlantı oluşturması, kendi verilerini bir bağlantıya eklemesi ve yeniden anlaşma yaparak bağlantıları birbirine yönlendirebilmesi olanağı vardı. Bu senaryoda açıklanan saldırıları önlemek için Güvenli Aktarım şu şekilde değiştirildi: Saptanmış olarak, yeniden anlaşmanın orijinal bağlantıda sunulan sunucu sertifikasını sunması gerekir. Mac OS X 10.7 ve öncesi sistemler bu sorundan etkilenmez.

    CVE kimliği

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan ve Alfredo Pironti, Prosecco, Inria Paris

  • WindowServer

    İlgili işletim sistemleri: OS X Mountain Lion v10.8.5 ve OS X Mavericks 10.9.2

    Etki: Kötü amaçlarla oluşturulmuş uygulamalar korumalı alanın dışında rastgele kod oluşturabilir

    Açıklama: Korumalı alandaki uygulama tarafından WindowServer oturumları oluşturulabiliyordu. Bu sorun korumalı alandaki uygulamaların WindowServer oturumları oluşturmasına izin verilmeyerek giderildi.

    CVE kimliği

    CVE-2014-1314: HP Zero Day Initiative için çalışan Keen Team

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: