Om sikkerhetsinnholdet i OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001
Dette dokumentet beskriver sikkerhetsinnholdet i OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
For å finne ut mer om PGP-nøkkelen fra Apple Produktsikkerhet går du til Slik bruker du PGP-nøkkelen fra Apple Produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
For å finne ut mer om sikkerhetsoppdateringer går du til Apple Sikkerhetsoppdateringer.
OS X Yosemite v10.10.2 og sikkerhetsoppdatering 2015-001
AFP Server
Tilgjengelig for: OS X Mavericks v10.9.5
Virkning: En ekstern angriper kan være i stand til å finne ut alle nettverksadressene i systemet
Beskrivelse: AFP-filserveren støttet en kommando som returnerte alle nettverksadressene i systemet. Problemet ble løst ved å fjerne adressene fra resultatet.
CVE-ID
CVE-2014-4426 : Craig Young fra Tripwire VERT
bash
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Flere sårbarheter i bash, inkludert en som kan tillate at lokale angripere kan utføre vilkårlig kode
Beskrivelse: Flere sårbarheter var til stede i bash. Problemene ble løst ved å oppdatere bash til oppdateringsnivå 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en signedness-feil for heltall i IOBluetoothFamily som åpnet for manipulering av kjernehukommelse. Problemet ble løst gjennom forbedret grensekontroll. Problemet berører ikke OS X Yosemite-systemer.
CVE-ID
CVE-2014-4497
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en feil i Bluetooth-driveren som åpnet for at et skadelig program kunne kontrollere størrelsen på et skriv til kjerneminnet. Problemet ble løst gjennom ytterligere validering av inndata.
CVE-ID
CVE-2014-8836 : Ian Beer fra Google Project Zero
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere sikkerhetsproblemer i Bluetooth-driveren som gjorde det mulig for et skadelig program å utføre vilkårlig kode med systemrettigheter. Problemene ble løst gjennom ytterligere validering av inndata.
CVE-ID
CVE-2014-8837: Roberto Paleari og Aristide Fattori fra Emaze Networks
CFNetwork Cache
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Det kan skje at nettstedsbufferen ikke tømmes etter at en privat økt er avsluttet
Beskrivelse: Det var et personvernsproblem hvor nettleserdata ikke ble fjernet fra bufferen etter at en privat økt ble avsluttet. Problemet ble løst gjennom en endring i bufringsatferden.
CVE-ID
CVE-2014-4460
CoreGraphics
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var en heltallsoverflyt i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT via iSight Partners GVP-programmet
CPU Software
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1, for: MacBook Pro Retina, MacBook Air (midten av 2013 og senere), iMac (sent i 2013 og senere), Mac Pro (sent i 2013)
Virkning: En skadelig Thunderbolt-enhet kan være i stand til å påvirke flashing av fastvare
Beskrivelse: Thunderbolt-enheter kan endre vertsfastvaren hvis de er tilkoblet under en EFI-oppdatering. Problemet ble løst ved ikke å laste inn Option ROMs under oppdatering.
CVE-ID
CVE-2014-4498 : Trammell Hudson fra Two Sigma Investments
CommerceKit Framework
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: En angriper med tilgang til et system kan være i stand til å gjenopprette påloggingsinformasjon for Apple-ID
Beskrivelse: Det var et problem med håndteringen av App Store-logger. App Store-prosessen kunne loggføre påloggingsinformasjon for Apple-ID i loggen når ytterligere loggføring var aktivert. Problemet ble løst ved å deaktivere loggføring av legitimasjon.
CVE-ID
CVE-2014-4499: Sten Petersen
CoreGraphics
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Noen tredjepartsprogrammer med usikret tekstoppføring og musehendelser kan loggføre slike hendelser
Beskrivelse: På grunn av kombinasjonen av en uinnviet variabel og et programs tilpassede allokator, kan usikre tekstoppføringer og musehendelser ha blitt loggført. Problemet ble løst ved å sikre at loggføring er slått av som standard. Dette problemet påvirket ikke eldre systemer enn OS X Yosemite.
CVE-ID
CVE-2014-1595: Steven Michaud fra Mozilla i samarbeid med Kent Howard
CoreGraphics
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i håndteringen av PDF-filer. Problemet ble løst gjennom forbedret grenseverdikontroll. Problemet berører ikke OS X Yosemite-systemer.
CVE-ID
CVE-2014-8816: Mike Myers fra Digital Operatives LLC
CoreSymbolication
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med typeforveksling i CoreSymbolications håndtering av XPC-meldinger. Problemene ble løst gjennom forbedret typekontroll.
CVE-ID
CVE-2014-8817: Ian Beer fra Google Project Zero
FontParser
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Behandling av en skadelig .dfont-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i håndteringen av .dfont-filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4484: Gaurav Baruah i samarbeid med HPs Zero Day Initiative
FontParser
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Åpning av en skadelig PDF-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4483: Apple
Foundation
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Visning av en skadelig XML-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i XML-analysen. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Flere sårbarheter i Intel Graphics Driver
Beskrivelse: Det var flere sårbarheter i Intel Graphics Driver, og den mest alvorlige sårbarheten kan ha ført til kjøring av vilkårlig kode med systemrettigheter. Denne oppdateringen løser problemene gjennom forbedret grenseverdikontroll.
CVE-ID
CVE-2014-8819: Ian Beer fra Google Project Zero
CVE-2014-8820: Ian Beer fra Google Project Zero
CVE-2014-8821: Ian Beer fra Google Project Zero
IOAcceleratorFamily
CVE-2014-4486: Ian Beer fra Google Project Zero
Impact: A malicious application may be able to execute arbitrary code with system privileges
Description: A null pointer dereference existed in IOAcceleratorFamily's handling of certain IOService userclient types. This issue was addressed through improved validation of IOAcceleratorFamily contexts.
CVE-ID
CVE-2014-4486 : Ian Beer of Google Project Zero
IOHIDFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en bufferoverflyt i IOHIDFamily. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i IOHIDFamilys håndtering av metadataene til ressurskøen. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en dereferanse for en nullpeker i IOHIDFamilys håndtering av hendelseskøer. Problemet ble løst gjennom forbedret validering av IOHIDFamilys initialisering av hendelseskøen.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Åpning av et skadelig program kan føre til kjøring av vilkårlig kode i kjernen
Beskrivelse: Det var et problem med grenseverdikontroll hos en brukerklient solgt av IOHIDFamily-driveren, som gjorde det mulig for et skadelig program å overstyre arbitrære porsjoner i feltet for kjerneadressen. Problemet ble løst ved å fjerne den sårbare brukerklientmetoden.
CVE-ID
CVE-2014-8822: Vitaliy Toropov i samarbeid med HPs Zero Day Initiative
IOKit
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med heltallsoverflyt i håndteringen av IOKit-funksjoner. Problemet ble løst gjennom forbedret validering av IOKit API-argumenter.
CVE-ID
CVE-2014-4389: Ian Beer fra Google Project Zero
IOUSBFamily
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Et privilegert program kan være i stand til å lese arbitrære data fra kjerneminnet
Beskrivelse: Det var et problem med minnetilgang i håndteringen av brukerklientfunksjonene til IOUSB-kontrolleren. Problemet ble løst gjennom forbedret validering av argumenter.
CVE-ID
CVE-2014-8823: Ian Beer fra Google Project Zero
Kerberos
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: libgssapi-biblioteket i Kerberos returnerte et kontekstoken med en etterfølgende peker. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2014-5352
Kernel
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Spesifisering av en tilpasset buffermodus la til rette for skriving til skrivebeskyttede kjerneminnesegmenter. Problemet ble løst ved ikke å gi skrivetillatelser som en bieffekt av enkelte tilpassede buffermoduser.
CVE-ID
CVE-2014-4495: Ian Beer fra Google Project Zero
Kernel
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av enkelte metadatafelt for IODataQueue-objekter. Problemet ble løst gjennom forbedret validering av metadata.
CVE-ID
CVE-2014-8824: @PanguTeam
Kernel
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: En lokal angriper kan imitere katalogtjenestesvar til kjernen, utvide rettigheter eller iverksette kjøring av kjernen
Beskrivelse: Det var problemer med validering av identitysvc i katalogtjenestens løsningsprosess, flagghåndtering og feilhåndtering. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2014-8825: Alex Radocea fra CrowdStrike
Kernel
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: En lokal bruker kan være i stand til å fastslå kjerneminnets layout
Beskrivelse: Det var flere problemer med uinnviet minne i grensesnittet til nettverksstatistikken, noe som førte til at innholdet i kjerneminnet ble avslørt. Problemet ble løst gjennom ekstra initialisering av minne.
CVE-ID
CVE-2014-4371: Fermin J. Serna fra Google Security Team
CVE-2014-4419: Fermin J. Serna fra Google Security Team
CVE-2014-4420: Fermin J. Serna fra Google Security Team
CVE-2014-4421: Fermin J. Serna fra Google Security Team
Kernel
Tilgjengelig for: OS X Mavericks v10.9.5
Virkning: En person med en privilegert nettverksposisjon kan forårsake tjenestenekt
Beskrivelse: Det var et problem med en kappløpssituasjon i håndteringen av Ipv6-pakker. Problemet ble løst gjennom forbedret kontroll av låsetilstanden.
CVE-ID
CVE-2011-2391
Kernel
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Skadelige eller kompromitterte programmer kan være i stand til å fastslå adresser i kjernen
Beskrivelse: Det var et problem med informasjonsavsløring i håndteringen av API-er relatert til kjernetillegg. Svar som inneholdt en OSBundleMachOHeaders-nøkkel, kan ha inkludert kjerneadresser, noe som kan bidra til omgåelse av beskyttelsen som et randomisert adresseområdeoppsett gir. Dette problemet ble løst ved å fjerne adressene før de ble returnert.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av enkelte metadatafelt for IOSharedDataQueue-objekter. Problemet ble løst ved å flytte metadataene.
CVE-ID
CVE-2014-4461: @PanguTeam
LaunchServices
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: En skadelig JAR-fil kan omgå Gatekeeper-kontroller
Beskrivelse: Det var problem med håndteringen av oppstart av programmer, som gjorde det mulig for enkelte skadelige JAR-filer å omgå Gatekeeper-kontroller. Dette problemet ble løst gjennom forbedret håndtering av filtypemetadata.
CVE-ID
CVE-2014-8826: Hernan Ochoa fra Amplia Security
libnetcore
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig sandkasseprogram kan kompromittere networkd-daemon
Beskrivelse: Det var flere problemer med typeforveksling i networkds håndtering av interprosesskommunikasjonen. Det kan ha vært mulig å utføre vilkårlig kode som networkd-prosessen ved å sende en skadelig formatert melding til networkd. Problemet ble løst gjennom ytterligere typekontroll.
CVE-ID
CVE-2014-4492: Ian Beer fra Google Project Zero
LoginWindow
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Det kan hende at en Mac ikke låses umiddelbart etter den vekkes
Beskrivelse: Det var et problem med gjengivelsen av låseskjermen. Problemet ble løst gjennom forbedret skjermgjengivelse mens enheten er låst.
CVE-ID
CVE-2014-8827: Xavier Bertels fra Mono og flere OS X seed-testere
lukemftp
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Bruk av kommandolinjen «ftp tool» for å hente filer fra en skadelig http-server kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var et problem med kommandoinjisering i håndteringen av HTTP-omdirigeringer. Problemet ble løst gjennom forbedret validering av spesialtegn.
CVE-ID
CVE-2014-8517
ntpd
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Bruk av ntp-daemon med kryptografisk autentisering aktivert kan føre til at informasjon lekkes
Beskrivelse: Det var flere problemer med validering av inndata i ntpd. Problemene ble løst gjennom forbedret validering av data.
CVE-ID
CVE-2014-9297
OpenSSL
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Flere sårbarheter i OpenSSL 0.9.8za, inkludert en sårbarhet som kan tillate at en angriper nedgraderer tilkoblinger for å bruke svakere cipher-suites i programmer ved hjelp av biblioteket
Beskrivelse: Det var flere sårbarheter i OpenSSL 0.9.8za. Problemene ble løst ved å oppdatere OpenSSL til versjon 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Virkning: En sandkasseprosess kan være i stand til å omgå sandkasserestriksjoner
Beskrivelse: Det var et designproblem i bufringen av sandkasseprofiler, som gjorde at sandkasseprogrammer fikk skrivetilgang til bufferen. Problemet ble løst ved å begrense skrivetilgang til baner som inneholdt en «com.apple.sandbox»-del. Dette problemet berører ikke OS X Yosemite v10.10 eller nyere.
CVE-ID
CVE-2014-8828: Apple
SceneKit
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Virkning: Et skadelig program kunne utføre vilkårlig kode som førte til kompromittering av brukerinformasjon
Beskrivelse: Det var flere problemer med skriving utenfor skriveområdet i SceneKit. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-8829: Jose Duart fra Google Security Team
SceneKit
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Visning av en skadelig Collada-fil kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Det var en overflyt av minnebufferen i SceneKits håndtering av Collada-filer. Visning av en skadelig Collada-fil kan ha ført til uventet avslutning av et program eller utilsiktet kodekjøring. Problemet ble løst gjennom forbedret validering av tilgangselementer.
CVE-ID
CVE-2014-8830: Jose Duart fra Google Security Team
Security
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et nedlastet program signert med et tilbakekalt ID-sertifikat for utviklere kan bestå Gatekeeper-kontroller
Beskrivelse: Det var et problem med måten bufret sertifikatinformasjon for programmer ble evaluert. Problemet ble løst ved å forbedre bufringslogikken.
CVE-ID
CVE-2014-8838: Apple
security_taskgate
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et program kan få tilgang til nøkkelringelementer som tilhører andre programmer
Beskrivelse: Programmer som er signert med selvsignering eller ID-sertifikater for utviklere, fikk tilgang til nøkkelringelementer hvis tilgangskontrollister var basert på nøkkelringgrupper. Problemet ble løst ved å validere signeringsidentiteten når tilgang til nøkkelringgrupper ble godkjent.
CVE-ID
CVE-2014-8831: Apple
Spotlight
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Avsenderen av en e-post kunne fastslå IP-adressen til mottakeren
Beskrivelse: Spotlight kontrollerte ikke statusen på Mail-innstillingen «Last inn eksternt innhold i meldinger». Problemet ble løst ved å forbedre konfigurasjonskontroller.
CVE-ID
CVE-2014-8839: John Whitehead fra The New York Times, Frode Moe fra LastFriday.no
Spotlight
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Spotlight kan lagre uventet informasjon til en ekstern harddisk
Beskrivelse: Det var et problem i Spotlight hvor minneinnhold kan ha blitt skrevet til eksterne harddisker under indeksering. Problemet ble løst gjennom bedre minnestyring.
CVE-ID
CVE-2014-8832: F-Secure
SpotlightIndex
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Spotlight kan vise resultater for filer som ikke tilhører brukeren
Beskrivelse: Det var et problem med serieomkoding i Spotlights håndtering av tillatelsesbuffere. En bruker som utfører et Spotlight-søk kan ha blitt vist søkeresultater som henviser til filer de ikke har rettigheter til å lese. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2014-8833: David J Peacock, selvstendig teknologikonsulent
sysmond
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 og v10.10.1
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med rotrettigheter
Beskrivelse: Det var en type forvirringssårbarhet i sysmond som gjorde det mulig for et lokalt program å eskalere rettigheter. Problemet ble løst med forbedret typekontroll.
CVE-ID
CVE-2014-8835: Ian Beer fra Google Project Zero
UserAccountUpdater
Tilgjengelig for: OS X Yosemite v10.10 og v10.10.1
Virkning: Utskriftsrelaterte preferansefiler kan inneholde sensitiv informasjon om PDF-dokumenter
Beskrivelse: OS X Yosemite v10.10 løste et problem med håndteringen av passordbeskyttede PDF-filer opprettet fra Skriv ut-dialogen, der passord kan ha blitt inkludert i preferansefilene for utskriftene. Denne oppdateringen fjerner slik irrelevant informasjon som kan ha vært til stede i preferansefilene for utskrifter.
CVE-ID
CVE-2014-8834: Apple
Merk: Sikkerhetsinnholdet i Safari 8.0.3 er inkludert i OS X Yosemite 10.10.2.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.