关于 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性内容

本文介绍了 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性内容。

此更新可以通过“软件更新”或从 Apple 支持网站进行下载和安装。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

注:OS X Mavericks v10.9.5 包括 Safari 7.0.6 的安全性内容

OS X Mavericks v10.9.5 和安全性更新 2014-004

  • apache_mod_php

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:PHP 5.4.24 中存在多个漏洞

    说明:PHP 5.4.24 中存在多个漏洞,其中最严重的漏洞可能导致任意代码执行。此更新通过将 PHP 更新至 5.4.30 版解决了该问题

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • 蓝牙

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:处理蓝牙 API 调用时存在验证问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4390:Google Project Zero 的 Ian Beer

  • CoreGraphics

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:打开恶意制作的 PDF 文件可能会导致应用软件意外终止或信息泄露

    说明:处理 PDF 文件时存在越界内存读取问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4378:与 iSIGHT Partners GVP Program 合作的 Binamuse VRT 的 Felipe Andres Manzano

  • CoreGraphics

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:打开恶意制作的 PDF 文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 PDF 文件时存在整数溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4377:与 iSIGHT Partners GVP Program 合作的 Binamuse VRT 的 Felipe Andres Manzano

  • Foundation

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:使用 NSXMLParser 的应用软件可能会被误用于泄露信息

    说明:NSXMLParser 在处理 XML 时存在 XML 外部实体问题。此问题已通过不加载跨原点外部实体得到解决。

    CVE-ID

    CVE-2014-4374:VSR (http://www.vsecurity.com/) 的 George Gal

  • Intel 显卡驱动程序

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:编写不受信任的 GLSL 着色器可能会导致应用软件意外终止或任意代码执行

    说明:着色器编译器中存在用户空间缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4393:Apple

  • Intel 显卡驱动程序

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:某些集成显卡驱动器例程中存在多个验证问题。这些问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4394:Google Project Zero 的 Ian Beer

    CVE-2014-4395:Google Project Zero 的 Ian Beer

    CVE-2014-4396:Google Project Zero 的 Ian Beer

    CVE-2014-4397:Google Project Zero 的 Ian Beer

    CVE-2014-4398:Google Project Zero 的 Ian Beer

    CVE-2014-4399:Google Project Zero 的 Ian Beer

    CVE-2014-4400:Google Project Zero 的 Ian Beer

    CVE-2014-4401:Google Project Zero 的 Ian Beer

    CVE-2014-4416:Google Project Zero 的 Ian Beer

  • IOAcceleratorFamily

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:处理 IOKit API 参数时存在空指针取消引用。此问题已通过改进 IOKit API 参数的验证得到解决。

    CVE-ID

    CVE-2014-4376:Google Project Zero 的 Ian Beer

  • IOAcceleratorFamily

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:处理 IOAcceleratorFamily 函数时存在越界读取问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4402:Google Project Zero 的 Ian Beer

  • IOHIDFamily

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:本地用户也许能够读取内核指针,这些指针可用来绕过内核地址空间布局随机化

    说明:处理 IOHIDFamily 函数时存在越界读取问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4379:Google Project Zero 的 Ian Beer

  • IOKit

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:处理 IODataQueue 对象的某些元数据字段时存在验证问题。此问题已通过改进对元数据的验证得到解决。

    CVE-ID

    CVE-2014-4388:@PanguTeam

  • IOKit

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:处理 IOKit 函数时存在整数溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4389:Google Project Zero 的 Ian Beer

  • 内核

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:本地用户可以推断出内核地址并绕过内核地址空间布局随机化

    说明:在某些情况下,CPU 全局描述符表格在可预测的地址进行分配。此问题已通过总是在随机地址分配全局描述符表格得到解决。

    CVE-ID

    CVE-2014-4403:Google Project Zero 的 Ian Beer

  • Libnotify

    适用于:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:恶意应用软件或许能够以根权限执行任意代码

    说明:Libnotify 中存在越界写入问题。此问题已通过改进边界检查得到解决

    CVE-ID

    CVE-2014-4381:Google Project Zero 的 Ian Beer

  • OpenSSL

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:OpenSSL 0.9.8y 中存在多个漏洞,其中一个漏洞可能会导致任意代码执行

    说明:OpenSSL 0.9.8y 中存在多个漏洞。此更新通过将 OpenSSL 更新至 0.9.8za 版解决了该问题。

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:播放恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行

    说明:处理 RLE 编码影片文件时存在内存损坏问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-1391:与 iDefense VCP 合作的 Fernando Munoz、与 HP 的 Zero Day Initiative 合作的 Tom Gallagher 和 Paul Bates

  • QT Media Foundation

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:播放恶意制作的 MIDI 文件可能会导致应用软件意外终止或任意代码执行

    描述:处理 MIDI 文件时存在缓冲区溢出。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2014-4350:与 HP 的 Zero Day Initiative 合作的 s3tm3m

  • QT Media Foundation

    适用于:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影响:播放恶意制作的影片文件可能会导致应用软件意外终止或任意代码执行

    说明:处理“mvhd”原子时存在内存损坏问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2013-4979:与 HP 的 Zero Day Initiative 合作的 Andrea Micalizzi aka rgod

  • ruby

    适用于:OS X Mavericks v10.9 至 v10.9.4

    影响:远程攻击者或许能够导致任意代码执行

    说明:在 LibYAML 处理 URI 中的百分号编码字符时存在堆缓冲区溢出。此问题已通过改进边界检查得到解决。此更新通过将 LibYAML 更新至 0.1.6 版解决了该问题

    CVE-ID

    CVE-2014-2525

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: