لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.
وحيثما أمكن، يتمّ استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.
للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.
الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان 2015-005
إطار عمل المسؤول
متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن تحصل العملية على امتيازات المسؤول دون مصادقة صحيحة
الوصف: حدث مشكلة عند التحقق من استحقاقات XPC. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتفويض.
CVE-ID
CVE-2015-3671 : Emil Kvarnhammar في TrueSec
إطار عمل المسؤول
متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يحصل مستخدم غير مسؤول على حقوق مسؤول
الوصف: حدثت مشكلة في معالجة مصادقة المستخدم. تمت معالجة هذه المشكلة عبر الفحص المحسّن للخطأ.
CVE-ID
CVE-2015-3672 : Emil Kvarnhammar في TrueSec
إطار عمل المسؤول
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يسيء المخترق استخدام "أداة الدليل" للحصول على امتيازات جذرية
الوصف: كان من الممكن نقل "أداة الدليل" وتعديلها لتحقيق تنفيذ تعليمات برمجية ضمن عملية مخوّلة. تمت معالجة هذه المشكلة عن طريق تقييد موقع القرص الذي ينفذ منه عملاء writeconfig (تهيئة الكتابة).
CVE-ID
CVE-2015-3673 : Patrick Wardle of Synack, Emil Kvarnhammar في TrueSec
afpserver
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.
الوصف: وجود مشكلة تلف الذاكرة في خام AFP. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3674 : Dean Jerkovich لمجموعة NCC Group
apache
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يتمكّن المخترق من الوصول إلى الدلائل المحمية من خلال مصادقة HTTP دون معرفة بيانات الاعتماد الصحيحة.
الوصف: لا تشمل تهيئة Apache الافتراضية mod_hfs_apple. في حالة تمكين Apache يدويًا ولم يتم تغيير التهيئة، فقد تصبح بعض الملفات التي لا ينبغي الوصول إليها متاحة للوصول باستخدام عنوان URL المصمم بشكلٍ صحيح. تمت معالجة المشكلة عن طريق تمكين mod_hfs_apple.
CVE-ID
CVE-2015-3675 : Apple
apache
متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: وجود العديد من نقاط الضعف في PHP، والتي قد يؤدي أشدها خطورة إلى تنفيذ إجباري للرمز
الوصف: وجود العديد من نقاط الضعف في إصدارات PHP التي تسبق 5.5.24 و5.4.40. تمت معالجتها عن طريق تحديث PHP إلى الإصدارات 5.5.24 و5.4.40.
CVE-ID
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في AppleGraphicsControl والتي ربما أدت إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-3676: فريق Chen Liang of KEEN
AppleFSCompression
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في ضغط LZVN التي ربما أدت إلى كشف محتوى ذاكرة kernel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3677 : باحث غير معلوم يعمل ضمن مبادرة Zero Day Initiative لدى HP
AppleThunderboltEDMService
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف ذاكرة في معالجة أوامر Thunderbolt معينة من المعالجات المحلية. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3678 : Apple
ATS
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود العديد من مشكلات تلف الذاكرة في معالجة خطوط معينة. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-3679 : Pawel Wylecial يعمل مع Zero Day Initiative لدى HP
CVE-2015-3680 : Pawel Wylecial يعمل مع Zero Day Initiative لدى HP
CVE-2015-3681 : John Villamil (@day6reak)، فريق Yahoo Pentest Team
CVE-2015-3682 : 魏诺德
Bluetooth
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف ذاكرة في واجهة Bluetooth HCI. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3683 : Roberto Paleari وAristide Fattori من شبكات Emaze
سياسة الوثوق في الشهادات
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من حركة مرور الشبكة.
الوصف: تم إصدار شهادة متوسطة بشكلٍ غير صحيح عن طريق CNNIC التابعة لجهة الشهادات. تمت معالجة المشكلة من خلال إضافة آلية للوثوق فقط في مجموعة فرعية من الشهادات التي أُصدرت قبل إلغاء إصدار المتوسطة. يمكنك معرفة المزيد عن قائمة السماح لثقة الأمان الجزئية.
سياسة الوثوق في الشهادات
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة من الشهادات في OS X Trust Store.
CFNetwork HTTPAuthentication
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد تؤدي متابعة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة في معالجة بعض من بيانات اعتماد URL. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3684 : Apple
CoreText
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد تؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات النصوص. تمت معالجة هذه المشاكل عبر الفحص المحسن للحدود.
CVE-ID
CVE-2015-1157
CVE-2015-3685 : Apple
CVE-2015-3686 : John Villamil (@day6reak)، فريقYahoo Pentest Team
CVE-2015-3687 : John Villamil (@day6reak)، فريقYahoo Pentest Team
CVE-2015-3688 : John Villamil (@day6reak)، فريقYahoo Pentest Team
CVE-2015-3689 : Apple
coreTLS
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS
الوصف: قبل coreTLS مفاتيح ephemeral Diffie-Hellman (DH) القصيرة، كما تستخدم في مجموعات تشفير ephemeral DH ذات قوة تصدير. تعرف هذه المشلة أيضًا بـ Logjam، والتي أتاحت لمخترق يتمتع بمنصب ذي امتيازات في الشبكة تخفيض الأمان DH ذو 512 بت إذا كان الخادم يدعم مجموعة تشفير ephemeral DH ذات قوة تصدير. تمت معالجة المشكلة عن طريق زيادة الحد الأدنى من الحجم الافتراضي المسموح لمفاتيح DH ephemeral إلى 768 بت.
CVE-ID
CVE-2015-4000 : فريق weakdh في weakdh.org، Hanno Boeck
DiskImages
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
التأثير: وجود مشكلة كشف عن المعلومات في معالجة صور القرص. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.
CVE-ID
CVE-2015-3690 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP
برامج تشغيل الشاشة
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة في ملحق kernel الخاص بمجموعة أوامر التحكم في الشاشة التي يمكن من خلالها أن تتحكم معالجة مساحة مستخدم في قيمة مؤشر وظيفة ضمن kernel. تمت معالجة المشكلة عن طريق إزالة الواجهة المتأثرة.
CVE-ID
CVE-2015-3691 : Roberto Paleari و Aristide Fattori من شبكات Emaze
EFI
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: يمكن أن يتمكن تطبيق ضار ذو امتيازات جذرية من تعديل ذاكرة فلاش EFI
الوصف: وجود مشكلة تتعلق بعد كفاية القفل في ذاكرة فلاش EFI عند الاستئناف من حالات السكون. تمت معالجة هذه المشكلة عبر القفل المحسن.
CVE-ID
CVE-2015-3692 : Trammell Hudson لتحسيني سيغما، Xeno Kovah وCorey Kallenberg في LegbaCore LLC، وPedro Vilaça
EFI
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يؤدي تطبيق ضار إلى تقليل تلف الذاكرة لتصعيد الامتيازات
الوصف: يوجد خطأ تشويش، يعرف أيضًا بـ Rowhammer، مع بعض من DDR3 RAM التي يمكن أن تؤدي إلى تلف ذاكرة. تم تخفيض المشكلة عن طريق زيادة معدلات تحديث الذاكرة.
CVE-ID
CVE-2015-3693 : Mark Seaborn و Thomas Dullien من Google، يعملان من البحث الأصلي عن طريق Yoongu Kim et al (2014)
FontParser
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-3694 : John Villamil (@day6reak)، فريقYahoo Pentest Team
برنامج تشغيل الرسومات
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تتعلق بالكتابة متجاوزة الحدود في برنامج تشغيل رسومات NVIDIA. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-3712 : Ian Beer من Google Project Zero
برنامج تشغيل رسومات Intel
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: وجود العديد من مشكلات تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel، التي قد تؤدي أشدها خطورة إلى تنفيذ إجباري للتعليمات البرمجية مع امتيازات النظام.
الوصف: وجود العديد من مشكلات تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel. تمت معالجتها من خلال فحوصات الحدود المحسنة.
CVE-ID
CVE-2015-3695 : Ian Beer من Google Project Zero
CVE-2015-3696 : Ian Beer من Google Project Zero
CVE-2015-3697 : Ian Beer من Google Project Zero
CVE-2015-3698 : Ian Beer من Google Project Zero
CVE-2015-3699 : Ian Beer من Google Project Zero
CVE-2015-3700 : Ian Beer من Google Project Zero
CVE-2015-3701 : Ian Beer من Google Project Zero
CVE-2015-3702 : فريق KEEN Team
ImageIO
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: وجود العديد من نقاط الضعف في libtiff، التي قد يؤدي أشدها خطورة إلى تنفيذ إجباري للرمز
الوصف: وجود العديد من نقاط الضعف في إصدارات libtiff الذي يسبق 4.0.4. تتم معالجتها عن طريق تحديث libtiff إلى الإصدار 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد تؤدي معالجة ملف .tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات .tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-3703 : Apple
تثبيت إصدارات قديمة لإطارات العمل
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من المشكلات في كيفية إسقاط ثنائية setuid (تعيين معرّف المستخدم) الخاصة بـ "runner" (مشغل) لـ Install.framework للامتيازات. تمت معالجة المشكلة عبر إسقاط الامتيازات بشكل صحيح.
CVE-ID
CVE-2015-3704 : Ian Beer من Google Project Zero
- IOAcceleratorFamily
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من مشكلات تلف الذاكرة في IOAcceleratorFamily. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-3705 : فريق KEEN Team
CVE-2015-3706 : فريق KEEN Team
- IOFireWireFamily
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من مشكلات عدم مرجعية مؤشر فارغ في برنامج تشغيل FireWire. تمت معالجة هذه المشكلات عبر الفحص المحسن للخطأ.
CVE-ID
CVE-2015-3707 : Roberto Paleari وAristide Fattori من شبكات Emaze
- Kernel
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة إدارة ذاكرة في معالجة واجهات API المرتبطة بلمحقات kernel والتي يمكن أن تؤدي إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.
CVE-ID
CVE-2015-3720 : Stefan Esser
- Kernel
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة إدارة ذاكرة في معالجة معلمات HFS المرتبطة بلمحقات kernel والتي يمكن أن تؤدي إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.
CVE-ID
CVE-2015-3721 : Ian Beer من Google Project Zero
أدوات kext
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يتمكّن تطبيق ضار من استبدال الملفات الإجبارية.
الوصف: اتبع kextd روابط رمزية أثناء إنشاء ملف جديد. تمت معالجة المشكلة من خلال معالجة محسّنة للروابط الرمزية.
CVE-ID
CVE-2015-3708 : Ian Beer من Google Project Zero
أدوات kext
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يتمكن مستخدم محلي من تحميل ملحقات kernel غير موقعة.
الوصف: وجود حالة نادرة لـ "وقت الفحص إلى وقت الاستخدام" (TOCTOU) أثناء التحقق من صحة مسارات ملحقات kernel. تمت معالجة المشكلة من خلال الفحوصات المحسنة للتحقق من صحة مسار ملحقات kernel.
CVE-ID
CVE-2015-3709 : Ian Beer من Google Project Zero
Mail
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن للبريد الإلكتروني المتطفل استبدال صفحة ويب إجبارية بمحتوى الرسالة عندما يتم عرض الرسالة.
الوصف: وجود مشكلة في الدعم لبريد إلكتروني بتنسيق HTML والذي أتاح تحديث محتوى الرسالة بصفحة ويب إجبارية. تمت معالجة المشكلة من خلال دعم مقيّد لمحتوى HTML.
CVE-ID
CVE-2015-3710 : Aaron Sigel من vtty.com، Jan Souček
ntfs
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في NTFS التي ربما أدت إلى كشف محتوى ذاكرة kernel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-3711 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP
ntp
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات من تنفيذ هجوم رفض الخدمة ضد عميلي ntp.
الوصف: وجود العديد من المشكلات في مصادقة حزم ntp التي يتم تلقيها عن طريق نقاط النهاية المهيأة. تمت معالجة هذه المشكلات من خلال إدارة حالة اتصال محسّنة.
CVE-ID
CVE-2015-1798
CVE-2015-1799
OpenSSL
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: وجود العديد من المشكلات في OpenSSL، بما في ذلك تلك التي تتيح للمخترق مقاطعة حالات الاتصال بأحد الخوادم التي تدعم عمليات التشفير ذات درجة التصدير.
الوصف: وجود العديد من المشكلات في OpenSSL 0.9.8zd، والتي تمت معالجتها عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zf.
CVE-ID
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد تؤدي معالجة ملف فيلم متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود العديد من مشكلات تلف الذاكرة في QuickTime. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-3661 : G. Geshev يعمل مع Zero Day Initiative لدى HP
CVE-2015-3662 : kdot يعمل مع Zero Day Initiative لدى HP
CVE-2015-3663 : kdot يعمل مع Zero Day Initiative لدى HP
CVE-2015-3666 : Steven Seeley من Source Incite يعمل مع Zero Day Initiative لدى HP
CVE-2015-3667 : Ryan Pentney، وRichard Johnson من Cisco Talos وKai Lu من معامل Fortinet's FortiGuard Labs
CVE-2015-3668 : Kai Lu من معامل Fortinet's FortiGuard Labs
CVE-2015-3713 : Apple
الأمان
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.
الوصف: وجود مشكلة تجاوز الحد الأقصى لعدد صحيح في رمز إطار عمل الأمان لتوزيع البريد الإلكتروني S/MIME وبعض الكائنات المشفرة أو الموقعة. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتحقق من الصحة.
CVE-ID
CVE-2013-1741
الأمان
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتعذر منع التطبيقات التي تعرضت للعبث عن التشغيل
الوصف: قد تكون التطبيقات التي تستخدم قواعد الموارد المخصصة عرضة للتعرض للعبث الذي لن يبطل التوقيع. تمت معالجة هذه المشكلة عبر التحقق المحسّن من المورد.
CVE-ID
CVE-2015-3714 : Joshua Pitts من Leviathan Security Group
الأمان
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: قد يتمكن تطبيق ضار من تجاوز فحوصات توقيع التعليمات البرمجية.
الوصف: وجود مشكلة حيث يتعذر على توقيع التعليمة البرمجية التحقق من صحة المكتبات التي تم تحميلها خارج حزمة التطبيق. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الحزمة.
CVE-ID
CVE-2015-3715 : Patrick Wardle من Synack
Spotlight
متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3
التأثير: البحث عن ملف ضار مع Spotlight يمكن أن يؤدي إلى تضمين الأوامر.
الوصف: وجود نقطة ضعف تضمين أوامر في معالجة أسماء ملفات الصور المضافة إلى مكتبة صور محلية. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-3716 : Apple
SQLite
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.
الوصف: وجود العديد من حالات تجاوز التخزين المؤقت في تنفيذ printf الخاص بـ SQLite. تمت معالجة هذه المشاكل عبر الفحص المحسن للحدود.
CVE-ID
CVE-2015-3717 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP
SQLite
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يسمح أمر SQL متطفل بإنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية
الوصف: وُجدت مشكلة متعلقة بواجهة برمجة التطبيقات API في وظيفة SQLite. وقد تمّ التصدي لهذه المشكلة عبر القيود المحسّنة.
CVE-ID
CVE-2015-7036: بيتر روتينبار، أحد أعضاء مبادرة Zero Day من HP
إحصاءات النظام
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد يؤدي تطبيق ضار إلى تسوية systemstatsd
الوصف: وجود مشكة ارتباك في النوع في معالجة systemstatsd للاتصال ما بين العمليات. عن طريق إرسال رسالة متطفلة إلى systemstatsd، فقد يكون من الممكن تنفيذ التعليمة البرمجية الإجبارية كعملية systemstatsd. تمت معالجة المشكلة عبر الفحص الإضافي للأنواع.
CVE-ID
CVE-2015-3718 : Roberto Paleari وAristide Fattori من شبكات Emaze
TrueTypeScaler
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-3719 : John Villamil (@day6reak)، فريقYahoo Pentest Team
zip
متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3
التأثير: استخراج ملف zip مهيأ بشكل ضار باستخدام أداة إلغاء الضغط والتي يمكن أن يؤدي إلى إنهاء التطبيق غير المتوقع أو التنفيذ الإجباري للتعليمة البرمجية.
الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات zip. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
يتضمن OS X Yosemite الإصدار 10.10.4 محتوى الأمان Safari 8.0.7.