Apple on julkaissut version 8 iOS-käyttöjärjestelmästä, sekä useita päivityspaketteja lukuisiin ohjelmistoihin.

iOS8:n lisäksi Apple on julkaissut päivityksiä seuraaviin ohjelmistoihin ja käyttöjärjestelmiin: Apple TV 7.0, OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004, Safari 7.1 ja Safari 6.2, OS X Server 3.2.1, OS X Server v2.2.3 ja Xcode 6.0.1

iOS-käyttöjärjestelmän päivitys korjaa 56 edellisissä versioissa havaittua haavoittuvuutta. Vakavimmat näistä voivat aiheuttaa luottamuksellisen tiedon vuotamisen, suojauksen ohittamisen ja mielivaltaisen koodin suorittamisen käyttöjärjestelmässä.

Apple TV 7.0 -päivitys korjaa 37 haavoittuvuutta, joiden avulla hyökkääjän on ollut esimerkiksi mahdollista saattaa järjestelmä palvelunestotilaan tai suorittaa mielivaltaista koodia järjestelmän oikeuksin.

OS X Mavericks 10.9.5 ja suojauspäivitys 2014-004 korjaavat yhteensä 44 haavoittuvuutta. Haavoittuvuudet voivat johtaa mielivaltaisen ohjelmakoodin suorittamiseen järjestelmässä pääkäyttäjän oikeuksin, järjestelmän saattamisen palvelunestotilaan tai tietojen vuotamiseen.

Safari 7.1 ja Safari 6.2 -päivitykset korjaavat 9 haavoittuvuutta, jotka voivat johtaa selaimen tallennettujen salasanojen vuotamiseen, palvelunestotilaan tai mielivaltaisen koodin suorittamiseen järjestelmässä. Päivitys korjaa myös haavoittuvuuden jossa haitallisen sivuston on ollut myös mahdollista seurata käyttäjää vaikka yksityinen selaus on ollut aktivoituna.

OS X Server 3.2.1 -päivitys korjaa yhdeksän haavoittuvuutta. Haavoittuvuudet ovat mahdollistaneet haitalliset SQL-kyselyt wiki-palvelimelle ja mielivaltaisen javascript-koodin suorittamisen järjestelmässä. Päivityksista seitsemän korjaa PostgreSQL-tietokannan haavoittuvuuksia päivittämällä sen versioon 9.2.7.

OS X Server v2.2.3 -päivitys korjaa SQL-injektiohaavoittuvuuden Wiki-palvelimessa.

Xcode 6.0.1 -päivitys korjaa haavoittuvuuden kehitysympäristössä, jonka avulla hyökkääjän on mahdollista saattaa projektin aliversio (subversion) palvelunestotilaan.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• iOS8-käyttöjärjestelmää edeltävät versiot seuraaville laitteille: iPhone 4s ja myöhemmät versiot, iPod touch -laitteet viidennestä laitesukupolvesta eteenpäin , sekä iPad 2 ja sen uudemmat versiot
• Apple TV 7.0 käyttöjärjestelmää edeltävät versiot Apple TV:n kolmannen sukupolven ja sitä uudemmille laiteille.
• OS X Mavericks 10.9.5 ja suojauspäivitystä 2014-004 edeltävät ohjelmistot OS X Lion v10.7.5, OS X Mountain Lion v10.8.5 ja OS X Mavericks 10.9 - 10.9.4 käyttöjärjestelmille.
• Safari 7.1 ja Safari 6.2 -ohjelmistojen edeltävät versiot OS X Mountain Lion v10.8.5 ja OS X Mavericks v10.9.5 -käyttöjärjestelmille.
• OS X Server 3.2.1 -ohjelmiston edeltävät versiot OS X Mavericks v10.9.5 ja sitä seuraaville käyttöjärjestelmille.
• OS X Server v2.2.3 -ohjelmiston edeltävät versiot OS X Mountain Lion v10.8.5.
• Xcode 6.0.1 -kehitysympäristön edeltävät versiot OS X Mavericks v10.9.4 ja sitä seuraaville käyttöjärjestelmille.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti.

Lisätietoa:

• http://support.apple.com/kb/HT1222
• CVE-2014-4371
• CVE-2014-4372
• CVE-2014-4373
• CVE-2014-4374
• CVE-2014-4375
• CVE-2014-4376
• CVE-2014-4377
• CVE-2014-4378
• CVE-2014-4379
• CVE-2014-4380
• CVE-2014-4381
• CVE-2014-4383
• CVE-2014-4384
• CVE-2014-4386
• CVE-2014-4388
• CVE-2014-4389
• CVE-2014-4390
• CVE-2014-4393
• CVE-2014-4394
• CVE-2014-4395
• CVE-2014-4396
• CVE-2014-4397
• CVE-2014-4398
• CVE-2014-4399
• CVE-2014-4400
• CVE-2014-4401
• CVE-2014-4402
• CVE-2014-4403
• CVE-2014-4404
• CVE-2014-4405
• CVE-2014-4406
• CVE-2014-4407
• CVE-2014-4408
• CVE-2014-4409
• CVE-2014-4410
• CVE-2014-4411
• CVE-2014-4412
• CVE-2014-4413
• CVE-2014-4414
• CVE-2014-4415
• CVE-2014-4416
• CVE-2014-4418
• CVE-2014-4419
• CVE-2014-4420
• CVE-2014-4421
• CVE-2014-4422
• CVE-2014-4423
• CVE-2014-4424
• CVE-2014-4979

Päivitykset paikkaavat kahdeksan ohjelmistojen Windows- ja Mac-versioissa havaittua haavoittuvuutta, joita hyödyntämällä hyökkääjän on muun muassa mahdollista saada järjestelmä hallintaansa tai saattaa se palvelunestotilaan.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Adobe Reader XI (11.0.08) ja aiemmat 11.x versiot Windowsille
• Adobe Reader XI (11.0.07) ja aiemmat 11.x versiot Macintoshille
• Adobe Reader X (10.1.11) ja aiemmat 10.x versiot Windowsille
• Adobe Reader X (10.1.10) ja aiemmat 10.x versiot Macintoshille
• Adobe Acrobat XI (11.0.08) ja aiemmat 11.x versiot Windowsille
• Adobe Acrobat XI (11.0.07) ja aiemmat 11.x versiot Macintoshille
• Adobe Acrobat X (10.1.11) ja aiemmat 10.x versiot Windowsille
• Adobe Acrobat X (10.1.10) ja aiemmat 10.x versiot Macintoshille

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti niiden uusimpiin versioihinsa.

• Adobe Reader XI (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelmisto versioon 11.0.09.
• Adobe Reader X (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää ohjelmistoa versioon 11.0.09, on Adobe tehnyt version 10.1.12.
• Adobe Acrobat XI (11.0.08) ja aiempien versioiden käyttäjien tulee päivittää ohjelmisto versioon 11.0.09.
• Adobe Acrobat X (10.1.11) ja aiempien versioiden käyttäjille, jotka eivät voi päivittää ohjelmistoa versioon 11.0.09, on Adobe tehnyt version 10.1.12.

Lisätietoa:

• http://helpx.adobe.com/security/products/reader/apsb14-20.html
• CVE-2014-0560
• CVE-2014-0561
• CVE-2014-0562
• CVE-2014-0563
• CVE-2014-0565
• CVE-2014-0566
• CVE-2014-0567
• CVE-2014-0568

Android-käyttöjärjestelmän (Android Open Source Platform, AOSP) verkkoselaimessa (AOSP Browser) on havaittu vakava haavoittuvuus. Haavoittuvuus koskee käyttöjärjestelmiä ennen versiota 4.4.

Haavoittuvuuden avulla hyökkääjän on mahdollista saada haltuunsa käyttäjän selaimen tietoja. Tietojen avulla voidaan esimerkiksi päästä käsiksi käyttäjän sähköpostiin tai muihin palveluihin.

Haavoittuvuuden hyväksikäyttäminen tapahtuu käyttäjän vieraillessa selaimella haitallisella sivustolla, jolloin hyökkääjän on mahdollista nähdä avoimina olevien välilehtien sisältö ja saada haltuunsa selaimella vierailtuihin sivustoihin liittyviä tietoja, kuten esimerkiksi evästeitä. Evästeiden avulla voi olla mahdollista kirjautua käyttäjän nimissä kyseisiin palveluihin.

AOSP-selain näkyy käyttöjärjestelmässä nimellä "Browser" tai "Internet" tai "Selain".

Haavoittuvuus ei koske käyttäjän jälkikäteen asentamia tai käyttöjärjestelmän mukana tulleita muita selaimia.