關於安全性更新 2014-002

本文說明安全性更新 2014-002 的安全性內容。

您可以使用「軟體更新」,或前往 Apple 支援網站來下載並安裝此更新。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

  • CFNetwork HTTPProtocol

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影響:特殊授權網路中的攻擊者可以取得網站認證

    說明:即使連線在標頭行完成之前關閉,Set-Cookie HTTP 標頭還是會獲得處理。攻擊者可以強制在安全性設定傳送之前關閉連線,藉此從 Cookie 剝奪安全性設定,然後取得未獲保護的 Cookie 值。此問題已藉由忽略不完整的 HTTP 標頭行予以解決。

    CVE-ID

    CVE-2014-1296:Prosecco(位於巴黎 Inria)的 Antoine Delignat-Lavaud

  • CoreServicesUIAgent

    適用於:OS X Mavericks 10.9.2

    影響:瀏覽惡意製作的網站或 URL,可能導致應用程式意外終止或執行任意程式碼

    說明:系統處理 URL 時有格式字串問題。增加 URL 驗證機制後,已解決此問題。此問題不會影響 OS X Mavericks 之前的系統。

    CVE-ID

    CVE-2014-1315:Runic.pl 的 Lukasz Pilorz、Erik Kooistra

  • FontParser

    適用於:OS X Mountain Lion v10.8.5

    影響:開啟惡意製作的 PDF 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:處理 PDF 檔案中的字體時,會發生緩衝區欠位。追加界限檢查機制後,已解決此問題。此問題不會影響 OS X Mavericks 系統。

    CVE-ID

    CVE-2013-5170:CERT/CC 的 Will Dormann

  • Heimdal Kerberos

    適用於:OS X Mavericks 10.9.2

    影響:遠端攻擊者可導致阻斷服務

    說明:在處理 ASN.1 資料時存在可連通中止。增加 ASN.1 資料的驗證機制後,已解決此問題。

    CVE-ID

    CVE-2014-1316:Codenomicon 的 Joonas Kuorilehto

  • ImageIO

    適用於:OS X Mavericks 10.9.2

    影響:檢視惡意製作的 JPEG 影像可能造成非預期的應用程式終止或程式碼自動執行

    說明:ImageIO 處理 JPEG 影像的方法,有緩衝區溢位的問題。改良界限檢查機制後,已解決此問題。此問題不會影響 OS X Mavericks 之前的系統。

    CVE-ID

    CVE-2014-1319:Modulo Consulting 的 Cristian Draghici、NCC Group 的 Karl Smith

  • Intel 繪圖驅動程式

    適用於:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影響:惡意的應用程式可能控制系統

    說明:處理 Userspace 的指標時,發生驗證問題。增加指標驗證機制後,已解決此問題。

    CVE-ID

    CVE-2014-1318:Google Project Zero 的 Ian Beer(與 HP Zero Day Initiative 計劃合作)

  • IOKit 核心

    適用於:OS X Mavericks 10.9.2

    影響:本機使用者可以讀取核心指標,然後用來忽略核心位址空間佈局隨機化

    說明:可從 userland 擷取一組儲存在 IOKit 物件中的核心指標。此問題已透過從物件移除指標予以解決。

    CVE-ID

    CVE-2014-1320:Google Project Zero 的 Ian Beer(與 HP Zero Day Initiative 計劃合作)

  • 核心

    適用於:OS X Mavericks 10.9.2

    影響:本機使用者可以讀取核心指標,該指標可用於略過核心位址空間配置隨機化

    說明:儲存在 XNU 物件的核心指標可以從 userland 擷取。從物件中移除指標後,已解決此問題。

    CVE-ID

    CVE-2014-1322:Google Project Zero 的 Ian Beer

  • 電源管理

    適用於:OS X Mavericks 10.9.2

    影響:畫面可能沒有鎖定

    說明:若在闔上螢幕蓋後隨即按下按鍵或觸碰觸控式軌跡板,則系統進入睡眠時可能同時嘗試喚醒,這可能造成畫面沒有鎖定。在進入睡眠時忽略按鍵動作,已解決此問題。此問題不會影響 OS X Mavericks 之前的系統。

    CVE-ID

    CVE-2014-1321:Stratis Health Bloomington MN 的 Paul Kleeberg、Baden-Wuerttemberg Cooperative State University(DHBW Stuttgart)的 Julian Sincu、R&A 的 Gerben Wierda、Daniel Luz

  • Ruby

    適用於:OS X Mavericks 10.9.2

    影響:若執行處理不被信任的 YAML 標記的 Ruby 工序指令,可能導致應用程式意外終止或執行任意程式碼

    說明:LibYAML 處理 YAML 標記的方法,有整數溢位的問題。增加 YAML 標記驗證機制後,已解決此問題。此問題不會影響 OS X Mavericks 之前的系統。

    CVE-ID

    CVE-2013-6393

  • Ruby

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影響:若執行 Ruby 工序指令以建立 Float 物件,但此工序指令使用不被信任的輸入資料,即可能導致應用程式意外終止或執行任意程式碼

    說明:在 Ruby 中轉換字串為浮點值時,存在堆疊緩衝區溢位問題。增加浮點值驗證機制後,已解決此問題。

    CVE-ID

    CVE-2013-4164

  • 安全性 - 安全傳輸

    適用於:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影響:擁有特殊網路地位的攻擊者可擷取資料,或更改 SSL 保護區段所執行的作業

    說明:在「三重信號交換」攻擊中,攻擊者可以建立兩個擁有相同加密金鑰與信號交換的連線,在其中一個連線插入攻擊者的資料並重新協商,以便兩個連線能夠相互轉遞。為防止此種情況的攻擊,「安全傳輸」隨之變更,根據預設,要求重新協議必須呈現與原始連線相同的伺服器憑證。此問題不會影響 Mac OS X 10.7 和之前版本的系統。

    CVE-ID

    CVE-2014-1295:Prosecco(位於巴黎 Inria)的 Antoine Delignat-Lavaud、Karthikeyan Bhargavan 及 Alfredo Pironti

  • WindowServer

    適用於:OS X Mountain Lion v10.8.5 和 OS X Mavericks 10.9.2

    影響:惡意製作的應用程式可能在沙箱之外執行任意程式碼

    說明:WindowServer 連線階段可能由沙箱化應用程式建立。禁止沙箱化應用程式建立 WindowServer 連線階段後,已解決此問題。

    CVE-ID

    CVE-2014-1314:與 HP Zero Day Initiative 計劃合作的 KeenTeam

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: