關於 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性內容

本文說明 OS X Mavericks v10.9.5 和安全性更新 2014-004 的安全性內容。

您可以使用「軟體更新」,或前往 Apple 支援網站來下載並安裝此更新。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如果可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

附註:OS X Mavericks v10.9.5 內含 Safari 7.0.6 的安全性內容

OS X Mavericks v10.9.5 和安全性更新 2014-004

  • apache_mod_php

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:PHP 5.4.24 有多個漏洞

    說明:PHP 5.4.24 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。此更新將 PHP 更新到版本 5.4.30,已解決問題

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • 藍牙

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理藍牙 API 呼叫時存在認證問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4390:Google Project Zero 的 Ian Beer

  • CoreGraphics

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或洩漏資訊

    說明:處理 PDF 檔案的方法,存在超出界限的記憶體讀取。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4378:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計劃合作

  • CoreGraphics

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理 PDF 檔案時存在整數溢位。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4377:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計劃合作

  • Foundation

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:使用 NSXMLParser 的應用程式可能遭到不當利用而洩漏資訊

    說明:NSXMLParser 處理 XML 的方式存在 XML 外部實體問題。不要跨來源載入外部實體後,已解決此問題。

    CVE-ID

    CVE-2014-4374:VSR 的 George Gal(http://www.vsecurity.com/)

  • Intel 繪圖驅動程式

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:編譯不被信任的 GLSL 著色器,可能導致應用程式意外終止或任意程式碼執行

    說明:著色器編譯器存在使用者空間緩衝區溢位。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4393:Apple

  • Intel 繪圖驅動程式

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:某些整合式顯示卡驅動程式常式中有多個驗證問題。界限檢查機制已經改良,已解決這些問題。

    CVE-ID

    CVE-2014-4394:Google Project Zero 的 Ian Beer

    CVE-2014-4395:Google Project Zero 的 Ian Beer

    CVE-2014-4396:Google Project Zero 的 Ian Beer

    CVE-2014-4397:Google Project Zero 的 Ian Beer

    CVE-2014-4398:Google Project Zero 的 Ian Beer

    CVE-2014-4399:Google Project Zero 的 Ian Beer

    CVE-2014-4400:Google Project Zero 的 Ian Beer

    CVE-2014-4401:Google Project Zero 的 Ian Beer

    CVE-2014-4416:Google Project Zero 的 Ian Beer

  • IOAcceleratorFamily

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理 IOKit API 引數時,有 null 指標取值的問題。改良驗證 IOKit API 的引數後,已解決此問題。

    CVE-ID

    CVE-2014-4376:Google Project Zero 的 Ian Beer

  • IOAcceleratorFamily

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOAcceleratorFamily 函數有超出界限的讀取問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4402:Google Project Zero 的 Ian Beer

  • IOHIDFamily

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:本機使用者可以讀取核心指標,然後用來忽略核心位址空間佈局隨機化

    說明:IOHIDFamily function 函數有超出界限的讀取問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4379:Google Project Zero 的 Ian Beer

  • IOKit

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理 IODataQueue 物件的特定元資料欄位時,發生驗證問題。改良元資料的驗證後,已解決此問題。

    CVE-ID

    CVE-2014-4388:@PanguTeam

  • IOKit

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理 IOKit 函數時存在整數溢位。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4389:Google Project Zero 的 Ian Beer

  • 核心

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:本機使用者可以推斷核心位址和規避核心位址空間配置隨機化

    說明:在某些情況下,CPU 全域描述元表格會分配在可預測的位址。一律在隨機位址分配全域描述元表格後,已解決此問題。

    CVE-ID

    CVE-2014-4403:Google Project Zero 的 Ian Beer

  • Libnotify

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:惡意應用程式可能以 root 權限執行任意程式碼

    說明:Libnotify 有超出界限的寫入問題。改良界限檢查機制後,已解決此問題

    CVE-ID

    CVE-2014-4381:Google Project Zero 的 Ian Beer

  • OpenSSL

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:OpenSSL 0.9.8y 有多個漏洞,包括可能導致任意程式碼得以執行的漏洞

    說明:OpenSSL 0.9.8y 有多個漏洞。此更新將 OpenSSL 更新到版本 0.9.8za,已解決問題。

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT 媒體基礎

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:播放惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 RLE 編碼影片檔案時存在記憶體損毀的問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-1391:與 iDefense VCP 計劃合作的 Fernando Munoz、與 HP Zero Day Initiative 計劃合作的 Tom Gallagher 和 Paul Bates

  • QT 媒體基礎

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:播放惡意製作的 MIDI 檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 MIDI 檔案時,會發生緩衝區溢位。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4350:與 HP Zero Day Initiative 計劃合作的 s3tm3m

  • QT 媒體基礎

    適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4

    影響:播放惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行

    說明:處理 mvhd 檔案時存在記憶體損毀的問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2014-4979:與 HP Zero Day Initiative 計劃合作的 Andrea Micalizzi(即 rgod)

  • ruby

    適用於:OS X Mavericks v10.9 至 v10.9.4

    影響:遠端攻擊者可能可以執行任意程式碼

    說明:LibYAML 處理 URI 中以百分比符號編碼的字元時,會發生堆疊緩衝區溢位。改良界限檢查機制後,已解決此問題。此更新將 LibYAML 更新到版本 0.1.6,已解決問題

    CVE-ID

    CVE-2014-2525

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: