Om sikkerhedsindholdet i OS X Yosemite v10.10.2 og sikkerhedsopdatering 2015-001

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.2 og sikkerhedsopdatering 2015-001

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Yosemite v10.10.2 og sikkerhedsopdatering 2015-001

  • AFP Server

    Fås til: OS X Mavericks v10.9.5

    Effekt: En ekstern hacker kan muligvis se alle systemets netværksadresser

    Beskrivelse: AFP-arkivserveren understøttede en kommando, der returnerede alle systemets netværksadresser. Problemet er løst ved at fjerne adresserne fra resultatet.

    CVE-ID

    CVE-2014-4426 : Craig Young fra Tripwire VERT

  • bash

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Flere sårbarheder i bash, herunder en, der kan tillade lokale hackere at køre vilkårlig kode

    Beskrivelse: Der var flere sårbarheder i bash. Problemerne er løst ved at opdatere bash-version til sikkerhedsrettelsesniveau 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en fejl med heltalsfortegn i IOBluetoothFamily, der muliggjorde manipulation af kernehukommelse. Problemet er løst via forbedret kontrol af grænser. Problemet berører ikke OS X Yosemite-systemer.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en fejl i Bluetooth-driveren, der tillod et skadeligt program at kontrollere størrelsen på en skriv-til-kernehukommelse. Problemet er løst gennem yderligere inputvalidering.

    CVE-ID

    CVE-2014-8836 : Ian Beer fra Google Project Zero

  • Bluetooth

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere sikkerhedsproblemer i Bluetooth-driveren, der tillod et skadeligt program at køre vilkårlig kode med systemrettigheder. Problemerne er løst gennem yderligere inputvalidering.

    CVE-ID

    CVE-2014-8837 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • CFNetwork Cache

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Webstedsbuffer er muligvis ikke helt ryddet efter afslutning af privat browser

    Beskrivelse: Der var et fortrolighedsproblem, hvor browserdata kunne forblive i bufferen efter afslutning af privat browser. Problemet er løst ved en ændring i bufferadfærd.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heltalsoverløb i håndteringen af PDF-arkiverne. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, via iSIGHT Partners GVP Program

  • CPU Software

    Fås til: OS X Yosemite v10.10 og v10.10.1, til: MacBook Pro Retina, MacBook Air (medio 2013 og nyere), iMac (ultimo 2013 og nyere), Mac Pro (ultimo 2013)

    Effekt: En skadelig Thunderbolt-enhed kan påvirke blink fra firmwaren

    Beskrivelse: Thunderbolt-enheder kan modificere værtsfirmwaren, hvis de er tilsluttet under en EFI-opdatering. Problemet er løst ved ikke at indlæse ekstern ROM under opdateringer.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson fra Two Sigma Investments

  • CommerceKit Framework

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En hacker med adgang til et system kan gendanne loginoplysninger til Apple-id

    Beskrivelse: Der var et problem med håndtering af App Store-logarkiver. App Store-processen kunne logge loginoplysninger til Apple-id i logarkivet, når yderligere logføring var aktiveret. Problemet er løst ved at fjerne tilladelsen til at logføre legitimationsoplysninger.

    CVE-ID

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Nogle tredjepartsprogrammer med ikke-sikker tekstindtastning og musehændelser kan logføre disse begivenheder

    Beskrivelse: Som følge af kombinationen af en ikke-initialiseret variabel og et programs tilpassede fordeler kan ikke-sikker tekstindtastning og musehændelser være blevet logført. Problemet er løst ved at sikre, at logføring som standard er slået fra. Problemet berørte ikke systemer, der er ældre end OS X Yosemite.

    CVE-ID

    CVE-2014-1595 : Steven Michaud fra Mozilla, der arbejder med Kent Howard

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af PDF-arkiverne. Problemet er løst via forbedret kontrol af grænser. Problemet berører ikke OS X Yosemite-systemer.

    CVE-ID

    CVE-2014-8816 : Mike Myers fra Digital Operatives LLC

  • CoreSymbolication

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var problemer med forveksling af flere typer i coresymbolicationds håndtering af XPC-beskeder. Problemerne er løst ved forbedret kontrol af typer.

    CVE-ID

    CVE-2014-8817 : Ian Beer fra Google Project Zero

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Behandling af et skadeligt .dfront-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af .dfront-arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah, som arbejder for HP's Zero Day Initiative

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i håndteringen af front-arkiverne. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Flere sårbarheder i Intel-grafikdriveren

    Beskrivelse: Der var flere sårbarheder i Intel-grafikdriveren, hvoraf de mest alvorlige kan have medført kørsel af vilkårlig kode med systemrettigheder. Denne opdatering løser problemerne via yderligere kontrol af grænser.

    CVE-ID

    CVE-2014-8819 : Ian Beer fra Google Project Zero

    CVE-2014-8820 : Ian Beer fra Google Project Zero

    CVE-2014-8821 : Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer i IOAcceleratorFamilys håndtering af visse IOService userclient-typer. Problemet er løst ved forbedret godkendelse af IOAcceleratorFamily-kontekster.

    CVE-ID

    CVE-2014-4486: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der et valideringsproblem i IOHIDFamilys håndtering af metadata for ressourcekø. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer i IOHIDFamilys håndtering af begivenhedskøer. Problemet er løst ved forbedret godkendelse af IOHIDFamilys initialisering af begivenhedskøen.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Kørsel af et skadeligt program kan resultere i kørsel af vilkårlig kode i kernen.

    Beskrivelse: Der var et problem med kontrol af grænser i en brugerklient fra IOHIDFamily-driveren, der tillod et skadeligt program at overskrive vilkårlige dele af kernens adresseplads. Problemet er løst ved at fjerne den sårbare brugerklientmetode.

    CVE-ID

    CVE-2014-8822 : Vitaliy Toropov, der arbejder med HP's Zero Day Initiative

  • IOKit

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der blev fundet et heltalsoverløb i håndteringen af IOKit-funktioner. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

    CVE-ID

    CVE-2014-4389 : Ian Beer fra Google Project Zero

  • IOUSBFamily

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et beskyttet program kan læse vilkårlige data fra kernehukommelsen

    Beskrivelse: Der var et problem med hukommelsesadgang i håndteringen af brugerklientfunktionerne for IOUSB-controlleren. Problemet er løst ved forbedret argumentgodkendelse.

    CVE-ID

    CVE-2014-8823 : Ian Beer fra Google Project Zero

  • Kerberos

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Kerberos libgssapi-bibliotek returnerede en konteksttoken med en hængende markør. Problemet blev løst gennem forbedret statusadministration.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Specificering af en tilpasset buffertilstand tillod skrivning til kernens skrivebeskyttede segmenter med delt hukommelse. Problemet er løst ved ikke at tildele skrivetilladelser som en bivirkning ved visse tilpassede buffertilstande.

    CVE-ID

    CVE-2014-4495: Ian Beer fra Google Project Zero

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et valideringsproblem i håndteringen af visse felter med metadata i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-ID

    CVE-2014-8824 : @PanguTeam

  • Kernel

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En lokal hacker kan efterligne katalogtjenestens svar til kernen, få flere rettigheder eller opnå kørsel af kernen

    Beskrivelse: Problemerne var i identitysvc-validering af katalogtjenestens løsningsproces, håndtering af markering med flag og fejlhåndtering. Problemet er løst ved forbedret godkendelse.

    CVE-ID

    CVE-2014-8825 : Alex Radocea fra CrowdStrike

  • Kernel

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En lokal bruger kan se opsætningen af kernehukommelsen

    Beskrivelse: Der er var flere ikke-initialiserede hukommelsesproblemer i netværkets statistikgrænseflade, der førte til afsløring af kernens hukommelsesindhold. Problemet er løst ved yderligere hukommelsesinitialisering.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna fra Google Security Team

    CVE-2014-4419 : Fermin J. Serna fra Google Security Team

    CVE-2014-4420 : Fermin J. Serna fra Google Security Team

    CVE-2014-4421 : Fermin J. Serna fra Google Security Team

  • Kernel

    Fås til: OS X Mavericks v10.9.5

    Effekt: En person i en privilegeret netværksposition kan forårsage et Denial of Service-angreb

    Beskrivelse: Der var et problem med en konkurrencetilstand i håndteringen af IPv6-pakker. Problemet er løst ved forbedret kontrol af låsefunktionen.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Skadelige eller kompromitterede programmer kan se adresser i kernen

    Beskrivelse: Der var et problem med afsløring af oplysninger i håndteringen af API'er i forbindelse med kerneudvidelser. Svar, der indeholder en OSBundleMachOHeaders-nøgle, har muligvis inkluderet kerneadresser, som kan hjælpe med at omgå randomiseringsbeskyttelse af adresserummets layout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et valideringsproblem i håndteringen af visse felter med metadata i IOSharedDataQueue-objekter. Problemet er løst ved flytning af metadata.

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt JAR-arkiv kan omgå Gatekeeper-kontroller

    Beskrivelse: Der var et problem med håndtering af programstarter, der gjorde det muligt for visse skadelige JAR-arkiver at omgå Gatekeeper-kontroller. Problemet er løst ved forbedret håndtering af arkivtypens metadata.

    CVE-ID

    CVE-2014-8826 : Hernan Ochoa fra Amplia Security

  • libnetcore

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: En skadelig sandbox-app kan kompromittere networkd daemon

    Beskrivelse: Der var problemer med forveksling af flere typer i networkds håndtering af kommunikation mellem processer. Ved at sende en skadelig meddelelse til networkd kunne der køres vilkårlig kode som networkd-processen. Problemet blev løst via yderligere typekontrol.

    CVE-ID

    CVE-2014-4492: Ian Beer fra Google Project Zero

  • LoginWindow

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: En Mac låser muligvis ikke straks efter afbrydelse af vågeblus

    Beskrivelse: Der var et problem med gengivelse af låseskærmen. Problemet er løst ved forbedret skærmgengivelse, når den er låst.

    CVE-ID

    CVE-2014-8827 : Xavier Bertels fra Mono og flere OS X seed-testere

  • lukemftp

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Brug af FTP-værktøjet på kommandolinjen til at hente arkiver fra en skadelig HTTP-server kan føre til kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med kommandoindsættelse i håndteringen af HTTP-omdirigering. Problemet er løst ved forbedret godkendelse af specialtegn.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Brug af ntp daemon med kryptografisk godkendelse aktiveret kan medføre lækkede oplysninger

    Beskrivelse: Der var flere problemer med inputvalidering i ntpd. Problemerne er løst ved forbedret godkendelse af data.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Flere sårbarheder i OpenSSL 0.9.8za, herunder en, der kan gøre det muligt for en hacker at nedgradere forbindelse for at bruge svagere chifferpakker i programmer, der bruger biblioteket

    Beskrivelse: Der var flere sårbarheder i OpenSSL 0.9.8za. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

    Beskrivelse: Der var et designproblem i indlæsningen af sandbox-profiler, der gjorde det muligt for sandbox-programmer at opnå skriveadgang til bufferen. Problemet er løst ved at begrænse skriveadgang til stier, der indeholder et "com.apple.sandbox"-segment. Problemet berører ikke OS X Yosemite v10.10 eller nyere.

    CVE-ID

    CVE-2014-8828 : Apple

  • SceneKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket medførte afsløring af brugeroplysninger

    Beskrivelse: Der var flere out of bounds-skriveproblemer i SceneKit. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-8829 : Jose Duart fra Google Security Team

  • SceneKit

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Visning af et skadeligt Collada-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heap-bufferoverløb i SceneKits håndtering af Collada-arkiver. Visning af et skadeligt Collada-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst via forbedret godkendelse af accessor-elementer.

    CVE-id

    CVE-2014-8830: Jose Duart fra Google Security Team

  • Security

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et downloadet program signeret af et tilbagekaldt udvikler-id kan bestå Gatekeeper-kontroller

    Beskrivelse: Der var et problem med, hvordan indlæste oplysninger om programcertifikat blev evalueret. Problemet er løst med forbedring af bufferlogik.

    CVE-ID

    CVE-2014-8838 : Apple

  • security_taskgate

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: En app kan få adgang til keychain-elementer, der tilhører andre apps

    Beskrivelse: Der var et problem med adgangskontrol i Keychain. Programmer signeret med selvsignerede certifikater eller udvikler-id-certifikater kunne få adgang til keychain-elementer, hvis adgangskontrollister var baseret på keychain-grupper. Problemet er løst ved at godkende signeringsidentiteten under tildeling af adgang til keychain-grupper.

    CVE-ID

    CVE-2014-8831 : Apple

  • Spotlight

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Afsenderen af en mail kan se modtagerens IP-adresse

    Beskrivelse: Spotlight kontrollerede ikke statussen for Mails indstilling "Indlæs eksternt indhold i beskeder". Problemet er løst ved forbedring af konfigurationskontrol.

    CVE-ID

    CVE-2014-8839 : John Whitehead fra The New York Times, Frode Moe fra LastFriday.no

  • Spotlight

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Spotlight kan gemme uventede oplysninger til en ekstern harddisk

    Beskrivelse: Der var et problem i Spotlight, hvor hukommelsesindhold kan være blevet skrevet til eksterne harddiske under indeksering. Problemet er løst ved bedre hukommelsesstyring.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Spotlight kan vise resultater for arkiver, der ikke tilhører brugeren

    Beskrivelse: Der var et problem med deserialisering i Spotlights håndtering af tilladelsesbuffere. En bruger, der udfører en Spotlight-forespørgsel, kan have fået vist søgeresultater med referencer til arkiver, som brugeren ikke have tilstrækkelige rettigheder til at læse. Problemet er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2014-8833 : David J Peacock, Independent Technology Consultant

  • sysmond

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan køre vilkårlig kode med rodrettigheder

    Beskrivelse: Der var en sårbarhed med typeforveksling i sysmond, der gjorde det muligt for et lokalt program at få flere rettigheder. Problemet er løst med forbedret typekontrol.

    CVE-ID

    CVE-2014-8835 : Ian Beer fra Google Project Zero

  • UserAccountUpdater

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Indstillingsarkiver i forbindelse med udskrivning kan indeholde følsomme oplysninger om PDF-dokumenter

    Beskrivelse: OS X Yosemite v10.10 løste et problem med håndteringen af adgangskodebeskyttede PDF-arkiver oprettet fra Print-dialogen, hvor adgangskode kan have været inkluderet i indstillingsarkiverne. Denne opdatering fjerner disse irrelevante oplysninger, der kan have været til stede i indstillingsarkiver til udskrivning.

    CVE-ID

    CVE-2014-8834 : Apple

Bemærk: OS X Yosemite 10.10.2 inkluderer sikkerhedsindholdet i Safari 8.0.3.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: