關於 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性內容
本文說明 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性內容。
若要下載並安裝此更新,可以使用「軟體更新」或透過 Apple 支援網站。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要了解其他安全性更新,請參閱 Apple 安全性更新。
附註:OS X Mavericks 10.9.5 包含 Safari 7.0.6 的安全性內容。
OS X Mavericks v10.9.5 和安全性更新 2014-004
apache_mod_php
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:PHP 5.4.24 有多個漏洞
說明:PHP 5.4.24 中存在多個漏洞,最嚴重可能導致執行任意程式碼。將 PHP 更新到 5.4.30 版後,已解決此問題
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:處理藍牙 API 呼叫時出現驗證問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4390:Google Project Zero 的 Ian Beer
CoreGraphics
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:開啟惡意製作的 PDF 檔案可能導致應用程式意外終止或洩漏資訊
說明:處理 PDF 檔案時,出現超出界限的記憶體讀取。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4378:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計畫合作
CoreGraphics
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 1v10.9 至 v10.9.4
影響:開啟惡意製作的 PDF 檔案可能導致應用程式意外終止或執行任意程式碼
說明:處理 PDF 檔案時,出現整數溢位。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4377:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計畫合作
Foundation
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:使用 NSXMLParser 的應用程式可能遭到不當利用而洩漏資訊
說明:NSXMLParser 處理 XML 時,出現 XML 外部實體問題。取消跨來源載入外部實體後,已解決此問題。
CVE-ID
CVE-2014-4374:VSR 的 George Gal(http://www.vsecurity.com/)
Intel Graphics Driver
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:使用不受信任的 GLSL 著色器進行編譯,可能導致應用程式意外終止或執行任意程式碼
說明:著色器編譯器的使用者空間出現緩衝區溢位。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4393:Apple
Intel Graphics Driver
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:部分整合式顯示卡驅動程式例行作業出現多個驗證問題。改進界限檢查機制後,已解決這些問題。
CVE-ID
CVE-2014-4394:Google Project Zero 的 Ian Beer
CVE-2014-4395:Google Project Zero 的 Ian Beer
CVE-2014-4396:Google Project Zero 的 Ian Beer
CVE-2014-4397:Google Project Zero 的 Ian Beer
CVE-2014-4398:Google Project Zero 的 Ian Beer
CVE-2014-4399:Google Project Zero 的 Ian Beer
CVE-2014-4400:Google Project Zero 的 Ian Beer
CVE-2014-4401:Google Project Zero 的 Ian Beer
CVE-2014-4416:Google Project Zero 的 Ian Beer
IOAcceleratorFamily
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:處理 IOKit API 引數時,出現 null 指標取值問題。改進 IOKit API 引數的驗證機制後,已解決此問題。
CVE-ID
CVE-2014-4376:Google Project Zero 的 Ian Beer
IOAcceleratorFamily
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:處理 IOAcceleratorFamily 函數時,出現超出界限的讀取問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4402:Google Project Zero 的 Ian Beer
IOHIDFamily
適用於:OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 至 v10.9.4
影響:本機使用者可讀取核心指標,藉此略過核心位址空間佈局隨機化
說明:處理 IOHIDFamily 函數時,出現超出界限的讀取問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4379:Google Project Zero 的 Ian Beer
IOKit
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:處理 IODataQueue 物件的特定後設資料欄位時,出現驗證問題。改進後設資料的驗證機制後,已解決此問題。
CVE-ID
CVE-2014-4388:@PanguTeam
IOKit
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以系統權限執行任意程式碼
說明:處理 IOKit 函數時,出現整數溢位。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4389:Google Project Zero 的 Ian Beer
Kernel
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:本機使用者可推斷核心位址,並略過核心位址空間佈局隨機化
說明:在某些情況下,CPU 通用描述元表會在可預測的位址進行配置。一律在隨機位址配置通用描述元表後,已解決此問題。
CVE-ID
CVE-2014-4403:Google Project Zero 的 Ian Beer
Libnotify
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能得以根權限執行任意程式碼
說明:Libnotify 出現超出界限的寫入問題。改進界限檢查機制後,已解決此問題
CVE-ID
CVE-2014-4381:Google Project Zero 的 Ian Beer
OpenSSL
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:OpenSSL 0.9.8y 有多個漏洞,包括可能導致執行任意程式碼的漏洞
說明:OpenSSL 0.9.8y 中存在多個漏洞。將 OpenSSL 更新至 0.9.8za 版後,已解決此更新。
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 1v10.9 至 v10.9.4
影響:播放惡意製作的影片檔案時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 RLE 編碼影片檔案時,出現記憶體損毀問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-1391:與 iDefense VCP 合作的 Fernando Munoz,以及與 HP Zero Day Initiative 計畫合作的 Tom Gallagher 和 Paul Bates
QT Media Foundation
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 1v10.9 至 v10.9.4
影響:播放惡意製作的 MIDI 檔案時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 MIDI 檔案時,出現緩衝區溢位。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4350:與 HP Zero Day Initiative 計畫合作的 s3tm3m
QT Media Foundation
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks 1v10.9 至 v10.9.4
影響:播放惡意製作的影片檔案時,可能導致應用程式意外終止或執行任意程式碼
說明:處理「mvhd」原子時,出現記憶體損毀問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4979:與 HP Zero Day Initiative 計畫合作的 Andrea Micalizzi(亦即 rgod)
ruby
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:遠端攻擊者可能導致執行任意程式碼
說明:LibYAML 處理 URI 中的百分比符號編碼字元時,出現堆積緩衝區溢位。改進界限檢查機制後,已解決此問題。將 LibYAML 更新至 0.1.6 版後,已解決此問題
CVE-ID
CVE-2014-2525
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。