เกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.5 และรายการอัปเดตความปลอดภัย 2014-004

เอกสารนี้อธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ OS X Mavericks v10.9.5 และรายการอัปเดตความปลอดภัย 2014-004

สามารถดาวน์โหลดและติดตั้งรายการอัปเดตนี้ได้โดยใช้รายการอัปเดตซอฟต์แวร์ หรือจากเว็บไซต์บริการช่วยเหลือของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือรายการอัปเดตที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่หน้าเว็บไซต์การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ได้ที่วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ต่างๆ จะใช้ CVE ID ในการอ้างอิง หากทำได้

ดูเกี่ยวกับรายการอัปเดตความปลอดภัยอื่นๆ ได้ที่รายการอัปเดตความปลอดภัยของ Apple

หมายเหตุ: OS X Mavericks v10.9.5 จะมีเนื้อหาความปลอดภัยของ Safari 7.0.6 รวมอยู่ด้วย

OS X Mavericks v10.9.5 และรายการอัปเดตความปลอดภัย 2014-004

  • apache_mod_php

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ช่องโหว่หลายรายการใน PHP 5.4.24

    คำอธิบาย: มีช่องโหว่หลายจุดใน PHP 5.4.24 จุดที่ร้ายแรงที่สุดอาจทำให้มีการใช้รหัสโดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัปเดต PHP ให้เป็นเวอร์ชั่น 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: พบปัญหาการตรวจสอบความถูกต้องเมื่อจัดการกับการเรียก Bluetooth API ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4390 : Ian Beer จาก Google Project Zero

  • CoreGraphics

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือเปิดเผยข้อมูล

    คําอธิบาย: มีปัญหาการอ่านหน่วยความจำนอกขอบเขตในการจัดการกับไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano จาก Binamuse VRT ที่ทำงานร่วมกับ iSIGHT Partners GVP Program

  • CoreGraphics

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: เกิดการล้นของจำนวนเต็มเมื่อจัดการกับไฟล์ PDF ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano จาก Binamuse VRT โดยทำงานร่วมกับ iSIGHT Partners GVP Program

  • Foundation

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ใช้ NSXMLParser อาจถูกใช้ในทางที่ไม่ถูกต้องเพื่อเปิดเผยข้อมูล

    คำอธิบาย: พบเอนทิตีภายนอก XML ในการจัดการกับ XML ของ NSXMLParser ปัญหานี้ได้รับการแก้ไขแล้วด้วยการไม่โหลดเอนทิตีภายนอกข้ามต้นฉบับ

    CVE-ID

    CVE-2014-4374 : George Gal จาก VSR (http://www.vsecurity.com/)

  • Intel Graphics Driver

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การคอมไพล์เชเดอร์ GLSL ที่ไม่น่าเชื่อถืออาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาบัฟเฟอร์ล้นในพื้นที่ของผู้ใช้ในเครื่องมือคอมไพล์เชเดอร์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4393 : Apple

  • Intel Graphics Driver

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องหลายรายการในชุดคำสั่งไดรเวอร์กราฟิกแบบผสานรวม ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4394 : Ian Beer จาก Google Project Zero

    CVE-2014-4395 : Ian Beer จาก Google Project Zero

    CVE-2014-4396 : Ian Beer จาก Google Project Zero

    CVE-2014-4397 : Ian Beer จาก Google Project Zero

    CVE-2014-4398 : Ian Beer จาก Google Project Zero

    CVE-2014-4399 : Ian Beer จาก Google Project Zero

    CVE-2014-4400 : Ian Beer จาก Google Project Zero

    CVE-2014-4401 : Ian Beer จาก Google Project Zero

    CVE-2014-4416 : Ian Beer จาก Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการกับคุณสมบัติอาร์กิวเมนต์ IOKit API ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบยืนยันอาร์กิวเมนต์ IOKit API ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4376 : Ian Beer จาก Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตเมื่อจัดการกับฟังก์ชัน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4402 : Ian Beer จาก Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องสามารถอ่านตัวชี้ของเคอร์เนลได้ ซึ่งอาจใช้เพื่อเลี่ยงการสุ่มเลย์เอาต์พื้นที่ที่อยู่เคอร์เนลได้

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการจัดการกับฟังก์ชั่น IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4379 : Ian Beer จาก Google Project Zero

  • IOKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 to ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการกับเขตข้อมูลเมตาดาต้าบางอย่างของออบเจ็กต์ IODataQueue ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิพิเศษของระบบ

    คำอธิบาย: มีปัญหาจำนวนเต็มล้นในการจัดการกับฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4389 : Ian Beer จาก Google Project Zero

  • Kernel

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องสามารถอนุมานที่อยู่เคอร์เนลและเลี่ยงการสุ่มเลย์เอาต์พื้นที่ที่อยู่เคอร์เนลได้

    คำอธิบาย: ในบางกรณี CPU Global Descriptor Table จะได้รับการจัดสรรตามที่อยู่ที่สามารถคาดเดาได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจัดสรร Global Descriptor Table ที่ที่อยู่แบบสุ่มเสมอ

    CVE-ID

    CVE-2014-4403 : Ian Beer จาก Google Project Zero

  • Libnotify

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: แอปพลิเคชันที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ระดับรูท

    คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตใน Libnotify ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4381 : Ian Beer จาก Google Project Zero

  • OpenSSL

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ช่องโหว่หลายจุดใน OpenSSL 0.9.8y รวมถึงช่องโหว่ที่อาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายจุดใน OpenSSL 0.9.8y อัปเดตนี้ได้รับการแก้ไขแล้วโดยการอัปเดต OpenSSL ให้เป็นเวอร์ชั่น 0.9.8za

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับไฟล์ภาพยนตร์ที่เข้ารหัส RLE ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-1391 : Fernando Munoz ที่ทำงานกับ iDefense VCP, Tom Gallagher และ Paul Bates ที่ทำงานกับ Zero Day Initiative ของ HP

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ MIDI ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาบัฟเฟอร์ล้นเมื่อจัดการกับไฟล์ MIDI ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4350 : s3tm3m ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • QT Media Foundation

    มีให้สำหรับ: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: การเล่นไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอปพลิเคชันหยุดทำงานโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาหน่วยความจำเสียหายเมื่อจัดการกับอะตอม 'mvhd' ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4979 : Andrea Micalizzi หรือ rgod ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • ruby

    มีให้สำหรับ: OS X Mavericks v10.9 ถึง v10.9.4

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: พบปัญหาฮีปบัฟเฟอร์ล้นเมื่อจัดการกับอักขระที่เข้ารหัสเปอร์เซ็นต์ใน URI ของ LibYAML ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น ปัญหานี้ได้รับการแก้ไขโดยการอัปเดต LibYAML เป็นเวอร์ชั่น 0.1.6

    CVE-ID

    CVE-2014-2525

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: