Informace o bezpečnostním obsahu OS X Yosemite 10.10.2 a bezpečnostní aktualizaci 2015-001

Tento dokument popisuje bezpečnostní obsah OS X Yosemite 10.10.2 a bezpečnostní aktualizaci 2015-001

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

OS X Yosemite 10.10.2 a bezpečnostní aktualizace 2015-001

  • AFP Server

    K dispozici pro: OS X Mavericks 10.9.5

    Dopad: Vzdálený útočník může rozpoznat všechny síťové adresy systému.

    Popis: Souborový server AFP podporoval příkaz, který vracel všechny síťové adresy systému. Problém byl vyřešen odebráním adres z výsledků.

    CVE-ID

    CVE-2014-4426 : Craig Young z týmu Tripwire VERT

  • bash

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Několik bezpečnostních slabin v shellu Bash včetně jedné, která mohla místnímu útočníkovi umožnit svévolné spouštění kódu.

    Popis: Shell Bash obsahoval několik bezpečnostních slabin. Problém byl vyřešen aktualizací shellu Bash na patch 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V součásti IOBluetoothFamily existoval problém s podpisem celých čísel, který umožňoval manipulaci s pamětí jádra. Problém byl vyřešen vylepšením kontroly rozsahu. Problém se netýká systémů s OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V ovladačích Bluetooth existovala chyba, která umožňovala škodlivým aplikacím ovládat velikost zápisu do paměti jádra. Problém byl vyřešen dodatečným ověřováním vstupů.

    CVE-ID

    CVE-2014-8836 : Ian Beer z týmu Google Project Zero

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V ovladači Bluetooth existovalo několik bezpečnostních slabin, které umožňovaly škodlivým aplikacím svévolně spouštět kód se systémovými oprávněními. Problémy byly vyřešeny dodatečným ověřováním vstupů.

    CVE-ID

    CVE-2014-8837 : Roberto Paleari a Aristide Fattori ze společnosti Emaze Networks

  • CFNetwork Cache

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Mezipaměť webových stránek se po ukončení anonymního procházení nemusí zcela vymazat.

    Popis: Existoval problém se soukromím, kdy data procházení mohla po ukončení anonymního procházení zůstat v mezipaměti. Problém byl vyřešen změnou chování mezipaměti.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání PDF souborů docházelo k přetečení celých čísel. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano z týmu Binamuse VRT v rámci programu iSIGHT Partners GVP

  • CPU Software

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1, pro: MacBook Pro Retina, MacBook Air (polovina roku 2013 a novější), iMac (konec roku 2013 a novější), Mac Pro (konec roku 2013)

    Dopad: Škodlivé Thunderbolt zařízení může ovlivnit flashování firmwaru.

    Popis: Thunderbolt zařízení připojená během aktualizace EFI mohla upravovat firmware hostitele. Problém byl vyřešen tím, že během aktualizací se teď nenačítají ROM.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson ze společnosti Two Sigma Investments

  • CommerceKit Framework

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Útočník s přístupem k systému může získat přihlašovací údaje Apple ID.

    Popis: Existoval problém se zpracováváním protokolů App Storu. Když bylo zapnuté dodatečné protokolování, mohl proces App Storu zaznamenávat do protokolu i přihlašovací údaje k Apple ID. Problém byl vyřešen zakázáním zaznamenávání přihlašovacích údajů.

    CVE-ID

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Některé aplikace jiných výrobců s nezabezpečenými událostmi myši a zadávání textu můžou tyto události protokolovat.

    Popis: Kvůli kombinaci neinicializované proměnné s vlastním alokátorem dané aplikace mohlo docházet k tomu, že nezabezpečené události myši a zadávání textu se zaznamenávaly do protokolu. Problém byl vyřešen tím, že protokolování je teď ve výchozím nastavení vypnuté. Tento problém nemá vliv na systémy starší než OS X Yosemite.

    CVE-ID

    CVE-2014-1595 : Steven Michaud ze společnosti Mozilla ve spolupráci s Kentem Howardem

  • CoreGraphics

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání PDF souborů existoval problém s poškozením paměti. Problém byl vyřešen vylepšením kontroly rozsahu. Problém se netýká systémů s OS X Yosemite.

    CVE-ID

    CVE-2014-8816 : Mike Myers, ze společnosti Digital Operatives LLC

  • CoreSymbolication

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Ve zpracovávání XPC zpráv součástí coresymbolicationd existovalo několik problémů se záměnou typu. Problémy byly vyřešeny vylepšením kontroly typu.

    CVE-ID

    CVE-2014-8817 : Ian Beer z týmu Google Project Zero

  • FontParser

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Zpracování škodlivého souboru .dfont může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání souborů .dfont existoval problém s poškozením paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah ve spolupráci se Zero Day Initiative společnosti HP

  • FontParser

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání souborů písem docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4483 : Apple

  • Foundation

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Zobrazení škodlivého XML souboru může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: V analyzátoru XML souborů docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4485 : Apple

  • Intel Graphics Driver

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Několik bezpečnostních slabin v ovladači grafické karty Intel.

    Popis: V ovladači grafické karty Intel existovalo několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke svévolnému spuštění kódu se systémovými oprávněními. Aktualizace tyto problémy řeší dodatečnou kontrolou rozsahu.

    CVE-ID

    CVE-2014-8819 : Ian Beer z týmu Google Project Zero

    CVE-2014-8820 : Ian Beer z týmu Google Project Zero

    CVE-2014-8821 : Ian Beer z týmu Google Project Zero

  • IOAcceleratorFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Ve zpracovávání některých typů uživatelských klientů IOService součástí IOAcceleratorFamily existoval přístup přes nulový ukazatel. Problém byl vyřešen vylepšením ověřování kontextu v součásti IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4486 : Ian Beer z týmu Google Project Zero

  • IOHIDFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V součásti IOHIDFamily docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Ve zpracovávání metadat front prostředků součástí IOHIDFamily existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.

    CVE-ID

    CVE-2014-4488 : Apple

  • IOHIDFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Ve zpracovávání front událostí součástí IOHIDFamily existoval přístup přes nulový ukazatel. Problém byl vyřešen vylepšením ověřováním inicializace front událostí v součásti IOHIDFamily.

    CVE-ID

    CVE-2014-4489 : @beist

  • IOHIDFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Spuštění škodlivé aplikace může vést ke svévolnému spuštění kódu v jádru.

    Popis: U uživatelských klientů zprostředkovaných ovladačem IOHIDFamily docházelo k problému s ověřováním rozsahu, který škodlivým aplikacím umožňoval přepisovat libovolné části adresního prostoru jádra. Problém byl vyřešen odebráním zranitelné metody uživatelských klientů.

    CVE-ID

    CVE-2014-8822 : Vitaliy Toropov ve spolupráci se Zero Day Initiative společnosti HP

  • IOKit

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Při zpracovávání funkcí frameworku IOKit docházelo k přetečení celých čísel. Problém byl vyřešen vylepšením ověřování argumentů IOKit API.

    CVE-ID

    CVE-2014-4389 : Ian Beer z týmu Google Project Zero

  • IOUSBFamily

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Aplikace s vysokými oprávněními může číst libovolná data z paměti jádra.

    Popis: Ve zpracovávání funkcí uživatelských klientů ovladačem IOUSB existoval problém s přístupem k paměti. Problém byl vyřešen vylepšením ověřování argumentů.

    CVE-ID

    CVE-2014-8823 : Ian Beer z týmu Google Project Zero

  • Kerberos

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Knihovna Kerberos libgssapi vracela kontextový token s visícím ukazatelem. Problém byl vyřešen vylepšením správy stavu.

    CVE-ID

    CVE-2014-5352

  • Kernel

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Určení vlastního režimu mezipaměti umožňovalo zapisování do segmentů sdílené paměti jádra určených jen ke čtení. Problém byl vyřešen tím, že už se jako vedlejší efekt některých vlastních režimů mezipaměti nepřidělují oprávnění k zápisu.

    CVE-ID

    CVE-2014-4495 : Ian Beer z týmu Google Project Zero

  • Kernel

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Při zpracovávání určitých polí metadat objektů IODataQueue docházelo k problému s ověřováním. Problém byl vyřešen vylepšením ověřování metadat.

    CVE-ID

    CVE-2014-8824 : @PanguTeam

  • Kernel

    K dispozici pro: OS X Yosemite 10.10 a v10.10.1

    Dopad: Místní útočník může falšovat odpovědi adresářové služby jádru, zvýšit si oprávnění a získat přístup ke spouštění kódu v jádru.

    Popis: Existoval problém ve způsobu, jakým součást identitysvc ověřovala proces vyhodnocování adresářové služby, zpracovávání příznaků a zpracovávání chyb. Problém byl vyřešen vylepšením ověřování.

    CVE-ID

    CVE-2014-8825 : Alex Radocea ze společnosti CrowdStrike

  • Kernel

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Místní uživatel může rozpoznat rozvržení paměti jádra.

    Popis: V rozhraní statistiky sítě existovalo několik problémů s neinicializovanou pamětí, které vedly ke zveřejnění obsahu paměti jádra. Problém byl vyřešen dodatečnou inicializací paměti.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna z týmu Google Security

    CVE-2014-4419 : Fermin J. Serna z týmu Google Security

    CVE-2014-4420 : Fermin J. Serna z týmu Google Security

    CVE-2014-4421 : Fermin J. Serna z týmu Google Security

  • Kernel

    K dispozici pro: OS X Mavericks 10.9.5

    Dopad: Osoba s výsadním postavením v síti může způsobovat odepření služby.

    Popis: Při zpracovávání paketů IPv6 docházelo ke konfliktu časování. Problém byl vyřešen vylepšením ověřování stavu uzamčení.

    CVE-ID

    CVE-2011-2391

  • Kernel

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé nebo napadané aplikace můžou zjistit adresy v jádru.

    Popis: Při zpracovávání rozhraní API souvisejících s rozšířeními jádra existoval problém s únikem informací. Odezvy obsahující klíč OSBundleMachOHeaders mohly zahrnovat adresy jádra, které můžou pomoct při pokusu o obejití ochrany náhodného generování rozložení adresního prostoru. Problém byl vyřešen zrušením posunu adres před jejich vrácením.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Při zpracovávání určitých polí metadat objektů IOSharedDataQueue docházelo k problému s ověřováním. Problém byl vyřešen přemístěním těchto metadat.

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivý JAR soubor mohl obejít kontroly funkce Gatekeeper.

    Popis: Ve zpracovávání spouštění aplikací existoval problém, který určitým škodlivým JAR souborům umožňoval obejít kontroly Gatekeeperu. Problém byl vyřešen vylepšeným zpracováváním metadat typů souborů.

    CVE-ID

    CVE-2014-8826 : Hernan Ochoa ze společnosti Amplia Security

  • libnetcore

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivé aplikace v sandboxu můžou napadnout démon networkd.

    Popis: Ve zpracovávání meziprocesové komunikace součástí networkd existovalo několik problémů se záměnou typu. Odesláním nebezpečně formátované zprávy do součástí networkd pak bylo možné svévolně spustit kód jakožto proces networkd. Problém byl vyřešen dodatečnou kontrolou typu.

    CVE-ID

    CVE-2014-4492 : Ian Beer z týmu Google Project Zero

  • LoginWindow

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Mac se nemusí zamknout hned po probuzení.

    Popis: Existoval problém s vykreslováním zamčené obrazovky. Problém byl vyřešen vylepšením vykreslování obrazovky v zamčeném stavu.

    CVE-ID

    CVE-2014-8827 : Xavier Bertels z týmu Mono a několik testerů OS X

  • lukemftp

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Používání terminálového nástroje ftp ke stahování souborů ze škodlivého http serveru mohlo vést ke svévolnému spuštění kódu.

    Popis: Ve zpracovávání HTTP přesměrování existoval problém s vkládáním příkazů. Problém byl vyřešen vylepšením ověřování zvláštních znaků.

    CVE-ID

    CVE-2014-8517

  • ntpd

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Používání démona ntp se zapnutým kryptografickým ověřováním může vést k úniku informací.

    Popis: V součásti ntpd existovalo několik problémů s ověřováním vstupů. Problémy byly vyřešeny vylepšením ověřování dat.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Několik bezpečnostních slabin v softwaru OpenSSL 0.9.8za, včetně jedné, která útočníkovi umožňovala oslabit připojení tak, aby v aplikacích používajících knihovnu používala slabší šifrovací sady.

    Popis: V softwaru OpenSSL 0.9.8za existovalo několik bezpečnostních slabin. Problémy byly vyřešeny aktualizací OpenSSL na verzi 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Dopad: Proces běžící v sandboxu může obejít omezení sandboxu.

    Popis: V ukládání sandboxovaných profilů do mezipaměti existoval návrhový problém, který aplikacím v sandboxu umožňoval získat přístup k zapisování do mezipaměti. Problém byl vyřešen omezením přístupu k zapisování výhradně na cesty obsahující segment „com.apple.sandbox“. Problém se netýká OS X Yosemite 10.10 a novějších.

    CVE-ID

    CVE-2014-8828 : Apple

  • SceneKit

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Dopad: Škodlivá aplikace může svévolně spouštět kód a tím způsobit únik uživatelských informací.

    Popis: V součásti SceneKitexistovalo několik problémů se zapisováním mimo rozsah. Problémy byly vyřešeny vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-8829 : Jose Duart z týmu Google Security

  • SceneKit

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Zobrazení škodlivého souboru Collada může vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu.

    Popis: Při zpracovávání souborů Collada docházelo k přetečení haldy vyrovnávací paměti. Zobrazení škodlivého souboru Collada mohlo vést k nečekanému ukončení aplikace nebo ke svévolnému spuštění kódu. Problém byl vyřešen lepším ověřováním přistupujících prvků.

    CVE-ID

    CVE-2014-8830: Jose Duart z týmu Google Security

  • Security

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Stažená aplikace podepsaná odvolaným certifikátem Developer ID může obejít kontroly funkce Gatekeeper.

    Popis: Existoval problém ve způsobu, jakým byly vyhodnocovány certifikáty uložené v mezipaměti aplikací. Problém byl vyřešen vylepšením logiky ukládání do mezipaměti.

    CVE-ID

    CVE-2014-8838 : Apple

  • security_taskgate

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Aplikace může získat přístup k položkám svazku klíčů patřícím k jiným aplikacím.

    Popis: Ve svazku klíčů existoval problém s kontrolou přístupu. Aplikace podepsané vlastnoručně podepsanými certifikáty nebo certifikáty Developer ID mohly získat přístup k položkám svazku klíčů, jejichž seznamy pro řízení přístupu byly založené na skupinách svazku klíčů. Problém byl vyřešen tím, že při udělování přístupu ke skupinám svazku klíčů je teď ověřována podepisující identita.

    CVE-ID

    CVE-2014-8831 : Apple

  • Spotlight

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Odesílatel e-mailu může zjistit IP adresu příjemce.

    Popis: Spotlight nekontroloval, jak je v Mailu nastavená volba „Načítat vzdálený obsah zpráv“. Problém byl vyřešen vylepšením kontroly nastavení.

    CVE-ID

    CVE-2014-8839 : John Whitehead z The New York Times, Frode Moe z LastFriday.no

  • Spotlight

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Spotlight může na externí pevný disk ukládat nečekané informace.

    Popis: Ve Spotlightu existoval problém, při kterém mohl být během indexování zapisován obsah paměti na externí pevný disk. Problém byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Spotlight může ve výsledcích zobrazovat soubory patřící jiným uživatelům.

    Popis: Ve zpracovávání mezipaměti oprávnění ve Spotlightu existoval problém s deserializací. Uživateli, který spustil dotaz Spotlightu, se mohly ve výsledcích hledání zobrazovat soubory, k jejichž čtení neměl daný uživatel dostatečná oprávnění. Problém byl vyřešen vylepšením kontroly rozsahu.

    CVE-ID

    CVE-2014-8833 : David J Peacock, nezávislý technologický konzultant

  • sysmond

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 a 10.10.1

    Dopad: Škodlivá aplikace může svévolně spouštět kód s kořenovými oprávněními.

    Popis: V součásti sysmond existovala bezpečnostní slabina spočívající v záměně typu, která mohla místní aplikaci umožnit zvýšit si oprávnění. Problém byl vyřešen vylepšením kontroly typů.

    CVE-ID

    CVE-2014-8835 : Ian Beer z týmu Google Project Zero

  • UserAccountUpdater

    K dispozici pro: OS X Yosemite 10.10 a 10.10.1

    Dopad: Soubory předvoleb související s tiskem můžou obsahovat důvěrné informace o PDF souborech.

    Popis: OS X Yosemite 10.10 řeší problém se zpracováváním heslem chráněných PDF souborů vytvořených přes dialogové okno Tisk, při kterém mohly být do souboru s předvolbami tisku zapisována hesla k PDF souborům. Tato aktualizace zároveň ze souborů s předvolbami tisku odebírá tyto informace, které v nich mohly být chybně obsaženy.

    CVE-ID

    CVE-2014-8834 : Apple

Poznámka: OS X Yosemite 10.10.2 obsahuje bezpečnostní obsah Safari 8.0.3.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: