您可以使用「軟體更新」,或前往 Apple 支援網站來下載並安裝此更新。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊,請參閱 Apple 產品安全性網站。
如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
如果可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
附註:OS X Mavericks v10.9.5 內含 Safari 7.0.6 的安全性內容。
OS X Mavericks v10.9.5 和安全性更新 2014-004
apache_mod_php
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:PHP 5.4.24 有多個漏洞
說明:PHP 5.4.24 有多個漏洞,最嚴重者可能導致任意程式碼得以執行。此更新將 PHP 更新到版本 5.4.30,已解決問題
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
藍牙
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:處理藍牙 API 呼叫時存在認證問題。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4390:Google Project Zero 的 Ian Beer
CoreGraphics
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或洩漏資訊
說明:處理 PDF 檔案的方法,存在超出界限的記憶體讀取。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4378:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計劃合作
CoreGraphics
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:開啟惡意製作的 PDF 檔案時,可能導致應用程式意外終止或執行任意程式碼
說明:處理 PDF 檔案時存在整數溢位。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4377:Binamuse VRT 的 Felipe Andres Manzano 與 iSIGHT Partners GVP 計劃合作
Foundation
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:使用 NSXMLParser 的應用程式可能遭到不當利用而洩漏資訊
說明:NSXMLParser 處理 XML 的方式存在 XML 外部實體問題。不要跨來源載入外部實體後,已解決此問題。
CVE-ID
CVE-2014-4374:VSR 的 George Gal(http://www.vsecurity.com/)
Intel 繪圖驅動程式
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:編譯不被信任的 GLSL 著色器,可能導致應用程式意外終止或任意程式碼執行
說明:著色器編譯器存在使用者空間緩衝區溢位。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4393:Apple
Intel 繪圖驅動程式
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:某些整合式顯示卡驅動程式常式中有多個驗證問題。界限檢查機制已經改良,已解決這些問題。
CVE-ID
CVE-2014-4394:Google Project Zero 的 Ian Beer
CVE-2014-4395:Google Project Zero 的 Ian Beer
CVE-2014-4396:Google Project Zero 的 Ian Beer
CVE-2014-4397:Google Project Zero 的 Ian Beer
CVE-2014-4398:Google Project Zero 的 Ian Beer
CVE-2014-4399:Google Project Zero 的 Ian Beer
CVE-2014-4400:Google Project Zero 的 Ian Beer
CVE-2014-4401:Google Project Zero 的 Ian Beer
CVE-2014-4416:Google Project Zero 的 Ian Beer
IOAcceleratorFamily
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:處理 IOKit API 引數時,有 null 指標取值的問題。改良驗證 IOKit API 的引數後,已解決此問題。
CVE-ID
CVE-2014-4376:Google Project Zero 的 Ian Beer
IOAcceleratorFamily
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:IOAcceleratorFamily 函數有超出界限的讀取問題。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4402:Google Project Zero 的 Ian Beer
IOHIDFamily
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:本機使用者可以讀取核心指標,然後用來忽略核心位址空間佈局隨機化
說明:IOHIDFamily function 函數有超出界限的讀取問題。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4379:Google Project Zero 的 Ian Beer
IOKit
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:處理 IODataQueue 物件的特定元資料欄位時,發生驗證問題。改良元資料的驗證後,已解決此問題。
CVE-ID
CVE-2014-4388:@PanguTeam
IOKit
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:處理 IOKit 函數時存在整數溢位。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4389:Google Project Zero 的 Ian Beer
核心
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:本機使用者可以推斷核心位址和規避核心位址空間配置隨機化
說明:在某些情況下,CPU 全域描述元表格會分配在可預測的位址。一律在隨機位址分配全域描述元表格後,已解決此問題。
CVE-ID
CVE-2014-4403:Google Project Zero 的 Ian Beer
Libnotify
適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:惡意應用程式可能以 root 權限執行任意程式碼
說明:Libnotify 有超出界限的寫入問題。改良界限檢查機制後,已解決此問題
CVE-ID
CVE-2014-4381:Google Project Zero 的 Ian Beer
OpenSSL
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:OpenSSL 0.9.8y 有多個漏洞,包括可能導致任意程式碼得以執行的漏洞
說明:OpenSSL 0.9.8y 有多個漏洞。此更新將 OpenSSL 更新到版本 0.9.8za,已解決問題。
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT 媒體基礎
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:播放惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 RLE 編碼影片檔案時存在記憶體損毀的問題。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-1391:與 iDefense VCP 計劃合作的 Fernando Munoz、與 HP Zero Day Initiative 計劃合作的 Tom Gallagher 和 Paul Bates
QT 媒體基礎
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:播放惡意製作的 MIDI 檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 MIDI 檔案時,會發生緩衝區溢位。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4350:與 HP Zero Day Initiative 計劃合作的 s3tm3m
QT 媒體基礎
適用於:OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.5、OS X Mavericks v10.9 至 v10.9.4
影響:播放惡意製作的影片檔案,可能導致應用程式意外終止或任意程式碼執行
說明:處理 mvhd 檔案時存在記憶體損毀的問題。改良界限檢查機制後,已解決此問題。
CVE-ID
CVE-2014-4979:與 HP Zero Day Initiative 計劃合作的 Andrea Micalizzi(即 rgod)
ruby
適用於:OS X Mavericks v10.9 至 v10.9.4
影響:遠端攻擊者可能可以執行任意程式碼
說明:LibYAML 處理 URI 中以百分比符號編碼的字元時,會發生堆疊緩衝區溢位。改良界限檢查機制後,已解決此問題。此更新將 LibYAML 更新到版本 0.1.6,已解決問題
CVE-ID
CVE-2014-2525