关于安全性更新 2014-002

本文介绍了安全性更新 2014-002 的安全性内容。

此更新可以通过“软件更新”或从“Apple 支持”网站进行下载和安装。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

  • CFNetwork HTTPProtocol

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影响:拥有特权网络地位的攻击者可能会获得网站凭证

    说明:即使连接在 Set-Cookie HTTP 标题行填写完整之前已关闭,还是有可能处理该标题。攻击者可能在发送安全设置之前强制将连接关闭,以从 cookie 剥夺安全设置,然后获取不受保护的 cookie 的值。此问题已通过忽略不完整的 HTTP 标题行得到解决。

    CVE-ID

    CVE-2014-1296:位于巴黎 Inria 的 Prosecco 的 Antoine Delignat-Lavaud

  • CoreServicesUIAgent

    适用于:OS X Mavericks 10.9.2

    影响:访问恶意制作的网站或 URL 可能会导致应用软件意外终止或任意代码执行

    说明:处理 URL 时存在格式字符串问题。此问题已通过对 URL 进行额外验证得到解决。此问题并不影响 OS X Mavericks 之前的系统。

    CVE-ID

    CVE-2014-1315:runic.pl 的 Lukasz Pilorz、Erik Kooistra

  • FontParser

    适用于:OS X Mountain Lion v10.8.5

    影响:打开恶意制作的 PDF 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 PDF 文件中的字体时存在缓冲区下溢问题。此问题已通过额外的边界检查得到解决。此问题不会影响 OS X Mavericks 系统。

    CVE-ID

    CVE-2013-5170:CERT/CC 的 Will Dormann

  • Heimdal Kerberos

    适用于:OS X Mavericks 10.9.2

    影响:远程攻击者或可导致服务遭到拒绝

    说明:在处理 ASN.1 数据时存在访问中止问题此问题已通过对 ASN.1 数据进行额外验证得到解决。

    CVE-ID

    CVE-2014-1316:Codenomicon 的 Joonas Kuorilehto

  • ImageIO

    适用于:OS X Mavericks 10.9.2

    影响:查看恶意制作的 JPEG 图像可能会导致应用软件意外终止或任意代码执行

    说明:ImageIO 在处理 JPEG 图像时存在缓冲区溢出问题。此问题已通过改进边界检查得到解决。此问题并不影响 OS X Mavericks 之前的系统。

    CVE-ID

    CVE-2014-1319:Modulo Consulting 的 Cristian Draghici、NCC Group 的 Karl Smith

  • Intel 显卡驱动程序

    适用于:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影响:恶意应用软件可能控制系统

    说明:在处理用户空间中的指针时存在验证问题。此问题已通过对指针进行额外验证得到解决。

    CVE-ID

    CVE-2014-1318:与 HP 的 Zero Day Initiative 合作的 Google Project Zero 的 Ian Beer

  • IOKit Kernel

    适用于:OS X Mavericks 10.9.2

    影响:本地用户也许能够读取内核指针,这些指针可用来绕过内核地址空间布局随机化

    说明:存储于 IOKit 对象中的一组内核指针也许能够从用户空间进行检索。此问题已通过从对象移除指针得到解决。

    CVE-ID

    CVE-2014-1320:与 HP 的 Zero Day Initiative 合作的 Google Project Zero 的 Ian Beer

  • 内核

    适用于:OS X Mavericks 10.9.2

    影响:本地用户可以读取内核指针,该指针可用来绕过内核地址空间布局随机化

    说明:存储于 XNU 对象的内核指针可以从用户空间进行检索。此问题已通过从对象移除指针得到解决。

    CVE-ID

    CVE-2014-1322:Google Project Zero 的 Ian Beer

  • 电源管理

    适用于:OS X Mavericks 10.9.2

    影响:屏幕可能无法锁定

    说明:如果机盖合上后立即按某个键或触碰触控板,系统可能会在进入睡眠状态时尝试唤醒,这可能导致屏幕被解锁。此问题已通过在进入睡眠状态时忽视按键得到解决。此问题并不影响 OS X Mavericks 之前的系统。

    CVE-ID

    CVE-2014-1321:Stratis Health Bloomington MN 的 Paul Kleeberg、Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart) 的 Julian Sincu、R&A 的 Gerben Wierda、Daniel Luz

  • Ruby

    适用于:OS X Mavericks 10.9.2

    影响:运行处理不受信任的 YAML 标签的 Ruby 脚本 可能导致应用软件意外终止或任意代码执行

    说明:LibYAML 在处理 YAML 标签时存在整数溢出问题。此问题已通过对 YAML 标签进行额外验证得到解决。此问题并不影响 OS X Mavericks 之前的系统。

    CVE-ID

    CVE-2013-6393

  • Ruby

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影响:运行使用不受信任的输入创建 Float 对象的 Ruby 脚本可能会导致应用软件意外终止或任意代码执行

    说明:将字符串转换为浮点值时,Ruby 中存在堆缓冲区溢出问题。此问题已通过对浮点值进行额外验证得到解决。

    CVE-ID

    CVE-2013-4164

  • 安全性 - 安全传输

    适用于:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影响:拥有特权网络地位的攻击者可截获数据或更改 SSL 保护区段中所执行的操作

    说明:在“三重握手”攻击中,攻击者可能建立拥有相同密钥和握手的两个连接、将攻击者的数据插入一个连接中,并重新协商,从而几个连接可相互转发。为了防止基于这种情形的攻击,安全传输已进行更改,从而在默认情况下,重新协商必须显示与原始连接中所显示的相同的服务器证书。此问题并不影响 Mac OS X 10.7 系统及更低版本。

    CVE-ID

    CVE-2014-1295:位于巴黎 Inria 的 Prosecco 的 Antoine Delignat-Lavaud、Karthikeyan Bhargavan 和 Alfredo Pironti

  • WindowServer

    适用于:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影响:恶意制作的应用软件可能执行沙箱以外的任意代码

    说明:WindowServer 会话可能由沙箱化应用软件创建。此问题已通过禁止沙箱化的应用软件创建 WindowServer 会话得到解决。

    CVE-ID

    CVE-2014-1314:与 HP 的 Zero Day Initiative 合作的 KeenTeam

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: