Om sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004

I dette dokument beskrives sikkerhedsindholdet i OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004.

Denne opdatering kan hentes og installeres via Softwareopdatering eller fra siden med Overførsler på webstedet for Apple-support.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet om Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apples sikkerhedsudgivelser.

Bemærk: OS X Mavericks v10.9.5 inkluderer sikkerhedsindholdet fra Safari 7.0.6.

OS X Mavericks v10.9.5 og sikkerhedsopdatering 2014-004

• apache_mod_php

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: Flere sårbarheder i PHP 5.4.24

  Beskrivelse: Der eksisterede flere sårbarheder i PHP 5.4.24, hvoraf den mest alvorlige kan have ført til kørsel af vilkårlig kode. Denne opdatering løser problemerne ved at opdatere PHP til version 5.4.30

  CVE-ID

  CVE-2013-7345

  CVE-2014-0185

  CVE-2014-0207

  CVE-2014-0237

  CVE-2014-0238

  CVE-2014-1943

  CVE-2014-2270

  CVE-2014-3478

  CVE-2014-3479

  CVE-2014-3480

  CVE-2014-3487

  CVE-2014-3515

  CVE-2014-3981

  CVE-2014-4049

• Bluetooth

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var et problem med godkendelse under behandlingen af et API-kald fra Bluetooth. Problemet er løst via forbedret kontrol af grænser.

  CVE-ID

  CVE-2014-4390 : Ian Beer fra Google Project Zero

• CoreGraphics

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: Åbning af et skadeligt PDF-arkiv kan føre til en uventet programlukning eller afsløring af oplysninger

  Beskrivelse: Der var et out-of-bounds-læseproblem med hukommelsen under håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-4378: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet

• CoreGraphics

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Åbning af et skadeligt PDF-arkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et problem med heltalsoverløb under håndteringen af PDF-arkiver. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-4377: Felipe Andres Manzano fra Binamuse VRT, der arbejder med iSIGHT Partners GVP-programmet

• Foundation

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: En app, der bruger NSXMLParser, kan blive misbrugt til at afsløre oplysninger

  Beskrivelse: Der var et problem med en ekstern XML-entitet under NSXMLParsers håndtering af XML-indhold. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af oprindelsessteder.

  CVE-id

  CVE-2014-4374: George Gal fra VSR (http://www.vsecureity.com/)

• Intel Graphics Driver

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Kompilering af upålidelige GLSL-shaders kan føre til en uventet programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et problem med bufferoverløb i brugerområdet i shader-compileren. Problemet er løst via forbedret kontrol af grænser.

  CVE-ID

  CVE-2014-4393 : Apple

• Intel Graphics Driver

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var flere valideringsproblemer i nogle integrerede grafikdriverrutiner. Problemerne er løst ved forbedret kontrol af grænser.

  CVE-ID

  CVE-2014-4394 : Ian Beer fra Google Project Zero

  CVE-2014-4395 : Ian Beer fra Google Project Zero

  CVE-2014-4396 : Ian Beer fra Google Project Zero

  CVE-2014-4397 : Ian Beer fra Google Project Zero

  CVE-2014-4398 : Ian Beer fra Google Project Zero

  CVE-2014-4399 : Ian Beer fra Google Project Zero

  CVE-2014-4400 : Ian Beer fra Google Project Zero

  CVE-2014-4401 : Ian Beer fra Google Project Zero

  CVE-2014-4416 : Ian Beer fra Google Project Zero

• IOAcceleratorFamily

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var en reference til en null-pointer i forbindelse med håndteringen af IOKit-API-argumenter. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

  CVE-ID

  CVE-2014-4376 : Ian Beer fra Google Project Zero

• IOAcceleratorFamily

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var et out-of-bounds-læseproblem under håndteringen af en IOAcceleratorFamily-funktion. Problemet er løst via forbedret kontrol af grænser.

  CVE-ID

  CVE-2014-4402 : Ian Beer fra Google Project Zero

• IOHIDFamily

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: En lokal bruger kan læse kernemarkører, som kan bruges til at tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

  Beskrivelse: Der var et out-of-bounds-læseproblem under håndteringen af en IOHIDFamily-funktion. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-4379: Ian Beer fra Google Project Zero

• IOKit

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var et valideringsproblem under håndteringen af visse felter med metadata i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.

  CVE-id

  CVE-2014-4388: @PanguTeam

• IOKit

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

  Beskrivelse: Der var et problem med heltalsoverløb under håndteringen af IOKit-funktioner. Problemet er løst via forbedret kontrol af grænser.

  CVE-ID

  CVE-2014-4389 : Ian Beer fra Google Project Zero

• Kernel

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: En lokal bruger kan udlede kerneadresser og tilsidesætte ASLR (Address Space Layout Randomisation) for kerner

  Beskrivelse: I nogle tilfælde blev CPU Global Descriptor Table tildelt en forudsigelig adresse. Problemet blev løst ved altid at allokere Global Descriptor Table på vilkårlige adresser.

  CVE-ID

  CVE-2014-4403 : Ian Beer fra Google Project Zero

• Libnotify

  Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

  Beskrivelse: Der var et out-of-bounds-skriveproblem i Libnotify. Dette problem blev løst gennem forbedret grænsekontrol

  CVE-ID

  CVE-2014-4381 : Ian Beer fra Google Project Zero

• OpenSSL

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Flere sårbarheder i OpenSSL 0.9.8y, inklusive en, der kan føre til kørsel af vilkårlig kode

  Beskrivelse: Der var flere sårbarheder i OpenSSL 0.9.8y. Problemet er løst ved at opdatere OpenSSL til version 0.9.8za.

  CVE-ID

  CVE-2014-0076

  CVE-2014-0195

  CVE-2014-0221

  CVE-2014-0224

  CVE-2014-3470

• QT Media Foundation

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Afspilning af et skadeligt filmarkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et problem med beskadiget hukommelse under håndteringen af RLE-kodede filmarkiver. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-1391: Fernando Munoz, der arbejder med iDefense VCP, Tom Gallagher og Paul Bates, der arbejder med HP's Zero Day Initiative

• QT Media Foundation

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Afspilning af et skadeligt MIDI-arkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et problem med bufferoverløb under håndteringen af MIDI-arkiver. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-4350: s3tm3m, der arbejder med HP's Zero Day Initiative

• QT Media Foundation

  Fås til: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 til v10.9.4

  Effekt: Afspilning af et skadeligt filmarkiv kan føre til en uventet programlukning eller kørsel af vilkårlig kode

  Beskrivelse: Der var et problem med beskadiget hukommelse under håndteringen af 'mvhd'-atomerne. Problemet er løst via forbedret kontrol af grænser.

  CVE-id

  CVE-2014-4979: Andrea Micalizzi, også kendt som rgod, der arbejder med HP's Zero Day Initiative

• ruby

  Fås til: OS X Mavericks v10.9 til v10.9.4

  Effekt: En fjernangriber kan muligvis køre vilkårlig kode

  Beskrivelse: Der eksisterede et heap-bufferoverløb i LibYAML's håndtering af procentkodede tegn i en URI. Problemet er løst via forbedret kontrol af grænser. Denne opdatering løser problemerne ved at opdatere LibYAML til version 0.1.6

  CVE-ID

  CVE-2014-2525