关于 OS X Mavericks v10.9.4 和安全性更新 2014-003 的安全性内容

本文介绍了 OS X Mavericks v10.9.4 和安全性更新 2014-003 的安全性内容。

此更新可以通过“软件更新”或从 Apple 支持网站进行下载和安装。

为了保护我们的客户,在进行全面调查并推出任何必要的修补程序或发行版之前,Apple 不会披露、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,CVE ID 会用来对照安全漏洞以获取更多信息。

要了解其他安全性更新,请参阅“Apple 安全性更新”。

注:OS X Mavericks 10.9.4 包含 Safari 浏览器 7.0.5 的安全性内容

OS X Mavericks v10.9.4 和安全性更新 2014-003

  • 证书信任策略

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:证书信任策略更新

    描述:证书信任策略已更新。可访问以下网页来查看完整的证书列表:https://support.apple.com/zh-cn/HT202858

  • copyfile

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:打开恶意制作的 zip 文件可能会导致应用程序意外终止或任意代码执行

    描述:处理 zip 归档中的 AppleDouble 文件时存在越界字节交换问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1370 : Chaitanya (SegFault) working with iDefense VCP

  • curl

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:远程攻击者或许能够获得另一个用户会话的访问权限

    描述:在启用一种以上认证方法后,cURL 再次使用了 NTLM 连接,这让攻击者获得了另一个用户会话的访问权限。

    CVE-ID

    CVE-2014-0015

  • 程序坞

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:受到沙盒保护的应用程序或许能够绕过沙盒限制

    描述:在程序坞处理来自应用程序的信息时存在未经验证的阵列索引问题。恶意制作的信息可能会导致取消引用无效的函数指针,从而可能导致应用程序意外终止或任意代码执行。

    CVE-ID

    CVE-2014-1371 : an anonymous researcher working with HP's Zero Day Initiative

  • 图形卡驱动程序

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:本地用户能够读取内核内存,该内存可用来绕过内核地址空间布局随机化

    描述:处理系统调用时存在越界读取问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1372 : Ian Beer of Google Project Zero

  • iBooks Commerce

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:具有系统访问权限的攻击者或许能够恢复 Apple ID 凭证

    描述:处理 iBooks 日志时存在问题。iBooks 进程可能会将 Apple ID 凭证记录到系统其他用户可以读取的 iBooks 日志中。已通过禁止记录凭证解决这个问题。

    CVE-ID

    CVE-2014-1317 : Steve Dunham

  • Intel 图形卡驱动程序

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:处理 OpenGL API 调用时存在验证问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1373 : Ian Beer of Google Project Zero

  • Intel 图形卡驱动程序

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:本地用户能够读取内核指针,该指针可用来绕过内核地址空间布局随机化

    描述:储存于 IOKit 对象的内核指针或许可从用户空间检索到。已通过从相应对象中移除指针解决这个问题。

    CVE-ID

    CVE-2014-1375

  • Intel 计算

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:处理 OpenCL API 调用时存在验证问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1376 : Ian Beer of Google Project Zero

  • IOAcceleratorFamily

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:IOAcceleratorFamily 中存在阵列索引编制问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1377 : Ian Beer of Google Project Zero

  • IOGraphicsFamily

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:本地用户能够读取内核指针,该指针可用来绕过内核地址空间布局随机化

    描述:储存于 IOKit 对象的内核指针或许可从用户空间检索到。已通过使用唯一 ID 来代替指针解决这个问题。

    CVE-ID

    CVE-2014-1378

  • IOReporting

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:本地用户可能会导致系统意外重新启动

    描述:处理 IOKit API 参数时存在空指针取消引用。已通过再次验证 IOKit API 参数解决这个问题。

    CVE-ID

    CVE-2014-1355 : cunzhang from Adlab of Venustech

  • launchd

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:launchd 中存在整数下溢。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1359 : Ian Beer of Google Project Zero

  • launchd

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:在 launchd 处理 IPC 信息时存在堆缓冲区溢出。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1356 : Ian Beer of Google Project Zero

  • launchd

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:在 launchd 处理日志信息时存在堆缓冲区溢出。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1357 : Ian Beer of Google Project Zero

  • launchd

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:launchd 中存在整数溢出。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1358 : Ian Beer of Google Project Zero

  • 图形卡驱动程序

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:内核图形卡驱动程序中存在多个空取消引用问题。恶意制作的 32 位可执行文件或许已经能够获取提升的权限。

    CVE-ID

    CVE-2014-1379 : Ian Beer of Google Project Zero

  • 安全性 - 钥匙串

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:攻击者或许能够在屏幕锁定的情况下向窗口中键入内容

    描述:在极少数情况下,屏幕锁定不会拦截按键信息。这可能会让攻击者在屏幕锁定的情况下向窗口中键入内容。已通过改进按键观察器管理解决这个问题。

    CVE-ID

    CVE-2014-1380 : Ben Langfeld of Mojo Lingo LLC

  • 安全性 - 安全传输

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks 10.9 到 10.9.3

    影响:双字节内存可能会泄露给远程攻击者

    描述:在处理 TLS 连接中的 DTLS 信息时,存在未初始化的内存访问问题。已通过仅接受 DTLS 连接中的 DTLS 信息解决这个问题。

    CVE-ID

    CVE-2014-1361 : Thijs Alkemade of The Adium Project

  • 雷雳

    适用于:OS X Mavericks 10.9 到 10.9.3

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:处理 IOThunderBoltController API 调用时存在越界内存访问问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2014-1381 : Sarah aka winocm

    条目更新于 2020 年 2 月 3 日

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: