OS X Mavericks 10.9.4 ve Güvenlik Güncellemesi 2014-003 güvenlik içeriği hakkında

Bu belgede OS X Mavericks 10.9.4 ve Güvenlik Güncellemesi 2014-003 güvenlik içeriği açıklanmaktadır.

Bu güncelleme Yazılım Güncelleme kullanılarak veya Apple Destek web sitesinden indirilip yüklenebilir.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

Not: OS X Mavericks 10.9.4 Safari 7.0.5 güvenlik içeriğini içerir.

OS X Mavericks 10.9.4 ve Güvenlik Güncellemesi 2014-003

  • Sertifika Güven Politikası

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Sertifika güven politikası güncellendi

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi http://support.apple.com/kb/HT6005?viewlocale=tr_TR makalesinde verilmiştir.

  • copyfile

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlarla oluşturulmuş bir sıkıştırılmış dosyayı açmak, uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Sıkıştırılmış arşivlerdeki AppleDouble dosyalarının işlenmesinde bir sınırlar dışında bayt değişimi sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1370: iDefense VCP ile çalışan Chaitanya (SegFault)

  • curl

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Bir uzak saldırgan başka bir kullanıcının oturumuna erişim sağlayabilir

    Açıklama: Birden fazla kimlik doğrulama yöntemi etkinleştirildiğinde cURL, NTLM bağlantılarını yeniden kullanıyordu ve bu da bir saldırganın başka bir kullanıcının oturumuna erişmesine olanak sağlıyordu.

    CVE kimliği

    CVE-2014-0015

  • Dock

    İlgili işletim sistemleri: OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Korumalı alandaki bir uygulama korumalı alan sınırlamalarını engelleyebilir

    Açıklama: Dock'un uygulamalardan gelen mesajları işlemesinde bir doğrulanmamış dize dizini sorunu vardı. Kötü amaçla oluşturulmuş bir mesaj geçersiz bir işlev işaretçisi başvurusuna yol açabiliyor ve bu da uygulamanın beklenmedik bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabiliyordu.

    CVE kimliği

    CVE-2014-1371: HP Zero Day Initiative için çalışan anonim bir araştırmacı

  • Grafik Sürücü

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Yerel bir kullanıcı bir çekirdek belleği okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir

    Açıklama: Bir sistem çağrısının işlenmesinde sınırlar dışında okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1372: Google Project Zero'dan Ian Beer

  • iBooks Satın Alma

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etkisi: Sisteme erişimi olan bir saldırgan Apple Kimliği bilgilerini geri alabilir

    Açıklama: iBooks günlüklerinin işlenmesinde bir sorun vardı. iBooks işlemi Apple Kimliği bilgilerini iBooks günlüğüne kaydedebiliyor, bu da sistemin diğer kullanıcılarının bu bilgileri okumasına olanak sağlayabiliyordu. Bu sorun kimlik bilgilerinin günlüğe kaydedilmesine izin verilmeyerek giderildi.

    CVE kimliği

    CVE-2014-1317: Steve Dunham

  • Intel Grafik Sürücüsü

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bir OpenGL API çağrısının işlenmesinde bir doğrulama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1373: Google Project Zero'dan Ian Beer

  • Intel Grafik Sürücüsü

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir

    Açıklama: Bir IOKit nesnesinde depolanan bir çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun nesneden işaretçi kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-1375

  • Intel İşlemci

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bir OpenCL API çağrısının işlenmesinde doğrulama sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1376: Google Project Zero'dan Ian Beer

  • IOAcceleratorFamily

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily bileşeninde dize dizini sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1377: Google Project Zero'dan Ian Beer

  • IOGraphicsFamily

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Yerel bir kullanıcı bir çekirdek işaretçisini okuyabilir; bu da çekirdek adres alanı rastgele düzen belirlemesini atlamak için kullanılabilir

    Açıklama: Bir IOKit nesnesinde depolanan bir çekirdek işaretçisi kullanıcı alanından alınabiliyordu. Bu sorun işaretçi yerine bir benzersiz kimlik kullanılarak giderildi.

    CVE kimliği

    CVE-2014-1378

  • IOReporting

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Yerel kullanıcı sistemin beklenmedik bir biçimde yeniden başlatılmasına neden olabiliyordu

    Açıklama: IOKit API bağımsız değişkenlerinde bir null işaretçi başvurusu vardı. Bu sorun IOKit API bağımsız değişkenleri için ek doğrulama yapılmasıyla giderildi.

    CVE kimliği

    CVE-2014-1355: Adlab of Venustech'ten cunzhang

  • launchd

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: launchd'de bir tamsayı alt taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1359: Google Project Zero'dan Ian Beer

  • launchd

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: launchd'nin IPC mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1356: Google Project Zero'dan Ian Beer

  • launchd

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: launchd'nin günlük mesajlarını işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1357: Google Project Zero'dan Ian Beer

  • launchd

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: launchd'de bir tamsayı taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1358: Google Project Zero'dan Ian Beer

  • Grafik Sürücüler

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek grafik sürücülerde birden çok null başvuru sorunu vardı. Kötü amaçlarla oluşturulmuş bir 32 bit çalıştırılabilir dosyası yükseltilmiş ayrıcalıkları alabiliyordu.

    CVE kimliği

    CVE-2014-1379: Google Project Zero'dan Ian Beer

  • Güvenlik - Anahtar Zinciri

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Bir saldırgan ekran kilidi etkinken pencerelere yazabilir

    Açıklama: Bazı ender durumlarda ekran kilidi tuş vuruşlarını engellemiyordu. Bu durum bir saldırganın ekran kilidi etkinken pencerelere yazmasına olanak sağlayabiliyordu. Bu sorun tuş vuruşu izleme yönetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-1380: Mojo Lingo LLC'den Ben Langfeld

  • Güvenlik - Güvenli Aktarım

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9 - 10.9.3

    Etki: Bir uzak saldırgana belleğin iki baytlık kısmı açılabiliyordu

    Açıklama: Bir TLS bağlantısında DTLS mesajlarının işlenmesinde başlatılmamış bellek erişimi sorunu vardı. Bu sorun DTLS bağlantılarında yalnızca DTLS mesajları kabul edilerek giderildi.

    CVE kimliği

    CVE-2014-1361: Adium Projesi'nden Thijs Alkemade

  • Thunderbolt

    İlgili işletim sistemleri: OS X Mavericks 10.9 - 10.9.3

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOThunderBoltController API çağrılarının işlenmesinde sınırların dışında bellek erişimi sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-1381: winocm olarak da bilinen Catherine

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: