Informace o bezpečnostním obsahu OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006
Tento dokument popisuje bezpečnostní obsah OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006.
Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.
Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.
Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.
Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.
OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006
apache
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Apache 2.4.16 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služby.
Popis: Apache obsahoval ve verzích před 2.4.16 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací Apache na verzi 2.4.16.
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Software PHP 5.5.20 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke spuštění libovolného kódu.
Popis: Software PHP obsahoval ve verzích před 5.5.20 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací PHP na verzi 5.5.27.
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
OD plug-in Apple ID
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může měnit heslo místního uživatele.
Popis: V některých případech docházelo při ověřování hesel k problému se správou stavu. Problém byl vyřešen vylepšenou správou stavu.
CVE-ID
CVE-2015-3799 : anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti HP
AppleGraphicsControl
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: V součásti AppleGraphicsControl existoval problém, který mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-5768 : JieTao Yang z týmu KeenTeam
Bluetooth
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: V součásti IOBluetoothHCIController existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3779 : Teddy Reed z týmu Facebook Security
Bluetooth
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: Problém se správou paměti mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3780 : Roberto Paleari a Aristide Fattori z Emaze Networks
Bluetooth
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může přistupovat k oznámením z jiných zařízení přihlášených k iCloudu.
Popis: Existoval problém, kvůli kterému mohly škodlivé aplikace přes službu Apple Notification Center přistupovat k centru oznámení na Macu nebo iOS zařízení spárovaném přes Bluetooth. Problém se týkal zařízení, která používala Handoff a byla přihlášená ke stejnému účtu iCloudu. Byl vyřešen tím, že službě Apple Notification Center byl odebrán přístup.
CVE-ID
CVE-2015-3786 : Xiaolong Bai (Univerzita Tsinghua), System Security Lab (Indianská univerzira), Tongxin Li (Pekingská univerzita), XiaoFeng Wang (Indianská univerzira)
Bluetooth
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Útočník s vysokými oprávněními v síti může pomocí upravených Bluetooth paketů provést útok odmítnutím služeb.
Popis: Při zpracovávání Bluetooth paketů ACL docházelo k problému s ověřováním vstupů. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-3787 : Trend Micro
Bluetooth
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Ve zpracovávání XPC zpráv součástí blued existovalo několik problémů s přetečením vyrovnávací paměti. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-3777 : mitp0sh z týmu [PDX]
bootp
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá Wi-Fi síť může rozpoznat sítě, ke kterým bylo zařízení připojené dříve.
Popis: Po připojení k Wi-Fi síti mohl iOS přes protokol DNAv4 vysílat MAC adresy dříve použitých sítí. Problém byl vyřešen vypnutím protokolu DNAv4 u nešifrovaných Wi-Fi sítí.
CVE-ID
CVE-2015-3778 : Piers O'Hanlon z organizace Oxford Internet Institute, Oxfordská univerzita (v rámci projektu EPSRC Being There)
CloudKit
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může získat přístup k uživatelskému záznamu iCloudu patřícímu naposledy přihlášenému uživateli.
Popis: Při odhlašování uživatelů existovala v CloudKitu nekonzistence stavů. Problém byl vyřešen vylepšenou manipulací se stavy.
CVE-ID
CVE-2015-3782 : Deepkanwal Plaha z Torontské univerzity
CoreMedia Playback
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V součásti CoreMedia Playback existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-5777 : Apple
CVE-2015-5778 : Apple
CoreText
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team
CoreText
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team
curl
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: V knihovnách cURL a libcurl před verzí 7.38.0 existovalo několik slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit obejít zásadu stejného původu.
Popis: V knihovnách cURL a libcurl před verzí 7.38.0 existovalo několik slabin. Byly vyřešeny aktualizací cURL na verzi 7.43.0.
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování určité sekvence znaků Unicode může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání znaků Unicode existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-5750 : M1x7e1 z týmu Safeye Team (www.safeye.org)
Panel předvoleb Datum a čas
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Aplikace spoléhající na systémový čas mohou vykazovat nečekané chování.
Popis: Při úpravě systémových předvoleb data a času docházelo k problému s ověřováním. Problém byl vyřešen dodatečnou kontrolou oprávnění.
CVE-ID
CVE-2015-3757 : Mark S C Smith
Aplikace Slovník
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Útočník s vysokými oprávněními v síti může zachycovat dotazy aplikace Slovník.
Popis: V aplikaci Slovník existoval problém, kvůli kterému nebyla uživatelova komunikace správně zabezpečená. Problém byl vyřešen přesunutím dotazů aplikace Slovník pod protokol HTTPS.
CVE-ID
CVE-2015-3774 : Jeffrey Paul z týmu EEQJ, Jan Bee z týmu Google Security
DiskImages
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru DMG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.
Popis: Ve zpracovávání deformovaných obrázků DMG existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3800 : Frank Graziano z týmu Yahoo Pentest
dyld
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: V součásti dyld docházelo k problému s ověřováním cesty. Problém byl vyřešen lepší sanitizací prostředí.
CVE-ID
CVE-2015-3760 : beist z týmu grayhash, Stefan Esser
FontParser
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-3804 : Apple
CVE-2015-5775 : Apple
FontParser
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team
groff
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Několik problémů se součástí pdfroff.
Popis: Součást pdfroff obsahovala několik problémů, z nichž ty nejvážnější mohly umožnit libovolné úpravy souborového systému. Problémy byly vyřešeny odebráním součásti pdfroff.
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání obrázků TIFF existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-5758 : Apple
ImageIO
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Návštěva škodlivého webu může vést ke zveřejnění procesní paměti.
Popis: Ve zpracovávání obrázků PNG a TIFF součástí ImageIO existoval problém s neinicializovaným přístupem k paměti. Návštěva škodlivého webu pak mohla způsobit, že webu byla odeslána data z procesní paměti. Problém byl vyřešen lepší inicializací paměti a dodatečným ověřováním obrázků PNG a TIFF.
CVE-ID
CVE-2015-5781 : Michal Zalewski
CVE-2015-5782 : Michal Zalewski
Install Framework, starší verze
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může spouštět libovolný kód s kořenovými (root) oprávněnými.
Popis: Existovalo problém s tím, jak příkaz „runner“ ve frameworku Install.framework uvolňoval oprávnění. Problém byl vyřešen vylepšenou správou oprávnění.
CVE-ID
CVE-2015-5784 : Ian Beer z týmu Google Project Zero
Install Framework, starší verze
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.
Popis: V příkazu „runner“ ve frameworku Install.framework existoval konflikt časování, kvůli kterému byla nesprávně uvolňována oprávnění. Problém byl vyřešen lepším zamykáním objektů.
CVE-ID
CVE-2015-5754 : Ian Beer z týmu Google Project Zero
IOFireWireFamily
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: V součásti IOFireWireFamily existovaly problémy s poškozením paměti. Problémy byly vyřešeny přidáním dodatečných typů ověřování vstupů.
CVE-ID
CVE-2015-3769 : Ilja van Sprundel
CVE-2015-3771 : Ilja van Sprundel
CVE-2015-3772 : Ilja van Sprundel
IOGraphics
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.
Popis: V součásti IOGraphics existoval problém s poškozením paměti. Problém byl vyřešen přidáním dodatečných typů ověřování vstupů.
CVE-ID
CVE-2015-3770 : Ilja van Sprundel
CVE-2015-5783 : Ilja van Sprundel
IOHIDFamily
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: V součásti IOHIDFamily docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-5774 : TaiG Jailbreak Team
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.
Popis: V rozhraní mach_port_space_info existoval problém, který mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vypnutím rozhraní mach_port_space_info.
CVE-ID
CVE-2015-3766 : Cererdlong z týmu Alibaba Mobile Security, @PanguTeam
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.
Popis: Při zpracování funkcí frameworku IOKit docházelo k přetečení celých čísel. Problém byl vyřešen vylepšeným ověřováním argumentů rozhraní API frameworku IOKit.
CVE-ID
CVE-2015-3768 : Ilja van Sprundel
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může způsobit systémové odmítnutí služby.
Popis: V řadiči fasttrap existoval problém s vyčerpáním zdrojů. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-5747 : Maxime VILLARDz týmu m00nbsd
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může způsobit systémové odmítnutí služby.
Popis: Při připojování HFS svazků docházelo k problému s ověřováním. Problém byl vyřešen přidáním dodatečných kontrol.
CVE-ID
CVE-2015-5748 : Maxime VILLARD z týmu m00nbsd
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou spouštět nepodepsaný kód.
Popis: Existoval problém, který umožňoval připojit nepodepsaný kód za podepsaný kód ve speciálně uzpůsobeném spustitelném souboru. Problém byl vyřešen vylepšením ověřování podpisů kódu.
CVE-ID
CVE-2015-3806 : TaiG Jailbreak Team
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Speciálně uzpůsobený spustitelný soubor mohl umožnit spuštění nepodepsaného škodlivého kódu.
Popis: Ve způsobu, jakým byly vyhodnocovány spustitelné soubory s více architekturami, existoval problém, který mohl umožnit spouštění nepodepsaného kódu. Problém byl vyřešen vylepšeným ověřováním spustitelných souborů.
CVE-ID
CVE-2015-3803 : TaiG Jailbreak Team
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spouštět nepodepsaný kód.
Popis: Ve zpracovávání souborů Mach-O existoval problém s ověřováním. Problém byl vyřešen přidáním dodatečných kontrol.
CVE-ID
CVE-2015-3802 : TaiG Jailbreak Team
CVE-2015-3805 : TaiG Jailbreak Team
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru plist může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.
Popis: Ve zpracovávání deformovaných souborů plist existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3776 : Teddy Reed z týmu Facebook Security, Patrick Stein (@jollyjinx) z týmu Jinx Germany
Jádro
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: Existoval problém s ověřováním cesty. Problém byl vyřešen lepší sanitizací prostředí.
CVE-ID
CVE-2015-3761 : Apple
Libc
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování nebezpečně vytvořeného regulárního výrazu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V knihovně TRE existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-3796 : Ian Beer z týmu Google Project Zero
CVE-2015-3797 : Ian Beer z týmu Google Project Zero
CVE-2015-3798 : Ian Beer z týmu Google Project Zero
Libinfo
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Ve zpracovávání soketů AF_INET6 existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-5776 : Apple
libpthread
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.
Popis: Při zpracovávání systémových volání docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšeným ověřováním stavu uzamčení.
CVE-ID
CVE-2015-5757 : Lufeng Li z týmu Qihoo 360
libxml2
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Software libxml2 obsahoval ve verzích před 2.9.2 několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služby.
Popis: Software libxml2 obsahoval ve verzích před 2.9.2 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací libxml2 na verzi 2.9.2.
CVE-ID
CVE-2012-6685 : Felix Groebert ze společnosti Google
CVE-2014-0191 : Felix Groebert ze společnosti Google
libxml2
K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého XML dokumentu může vést ke zveřejnění uživatelských informací.
Popis: V součásti libxml2 existoval problém s přístupem k paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2014-3660 : Felix Groebert ze společnosti Google
libxml2
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého XML dokumentu může vést ke zveřejnění uživatelských informací.
Popis: Ve zpracovávání XML souborů existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3807 : Apple
libxpc
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.
Popis: Ve zpracovávání deformovaných zpráv XPC existoval problém s poškozením paměti. Problém byl zlepšen vylepšenou kontrolou rozsahu.
CVE-ID
CVE-2015-3795 : Mathew Rowley
mail_cmds
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spouštět libovolné příkazy shellu.
Popis: Ve zpracovávání e-mailových adres součástí mailx existoval problém s ověřováním. Problém byl vyřešen lepší sanitizací.
CVE-ID
CVE-2014-7844
Centrum oznámení OS X
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Škodlivá aplikace může přistupovat ke všem oznámením, která si předtím uživatelé zobrazili.
Popis: V Centru oznámení existoval problém, kvůli kterému nebyla uživatelova oznámení správně mazána. Problém byl vyřešen tím, že teď už se oznámení zavřená uživatelem správně mažou.
CVE-ID
CVE-2015-3764 : Jonathan Zdziarski
ntfs
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.
Popis: V součásti NTFS existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-5763 : Roberto Paleari a Aristide Fattori ze společnosti Emaze Networks
OpenSSH
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Vzdálení útočníci mohou obejít časovou prodlevu při neúspěšných pokusech o přihlášení a provádět útoky hrubou silou.
Popis: Existoval problém ve zpracovávání zařízení interaktivních klávesnic. Problém byl vyřešen lepším ověřováním žádostí o ověření.
CVE-ID
CVE-2015-5600
OpenSSL
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Software OpenSSL obsahoval ve verzích před 0.9.8zg několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služeb.
Popis: Software OpenSSL obsahoval ve verzích před 0.9.8zg několik bezpečnostních slabin. Ty byly vyřešeny aktualizací OpenSSL na verzi 0.9.8zg.
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
Perl
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování nebezpečně vytvořeného regulárního výrazu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve způsobu, jakým Perl zpracovával regulární výrazy, existoval problém s podtečením celých čísel. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2013-7422
PostgreSQL
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo bez správného ověření získat přístup k datům.
Popis: Software PostgreSQL 9.2.4. obsahoval několik bezpečnostních slabin. Ty byly vyřešeny aktualizací PostgreSQL na verzi 9.2.13.
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
Python
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Python 2.7.6 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke spuštění libovolného kódu.
Popis: Python obsahoval ve verzích před 2.7.6 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací Pythonu na verzi 2.7.10.
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého dokumentu Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání dokumentů Office existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-5773 : Apple
QL Office
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého XML souboru může vést ke zveřejnění uživatelských informací.
Popis: Ve zpracovávání XML souborů existovala reference na externí entitu. Problém byl vyřešen vylepšením zpracovávání.
CVE-ID
CVE-2015-3784 : Bruno Morisson ze společnosti INTEGRITY S.A.
Quartz Composer Framework
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru QuickTime může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání souborů QuickTime existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-5771 : Apple
Rychlý náhled
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Vyhledání dříve navštíveného webu může otevřít webový prohlížeč a načíst daný web.
Popis: Existoval problém, kdy Rychlý náhled dokázal spouštět JavaScript. Problém byl vyřešen zakázáním spouštění JavaScriptu.
CVE-ID
CVE-2015-3781 : Andrew Pouliot ze společnosti Facebook, Anto Loyola ze společnosti Qubole
QuickTime 7
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V QuickTimu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753 : Apple
CVE-2015-5779 : Apple
QuickTime 7
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V QuickTimu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.
CVE-ID
CVE-2015-3765 : Joe Burnett ze společnosti Audio Poison
CVE-2015-3788 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos
CVE-2015-3789 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos
CVE-2015-3790 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos
CVE-2015-3791 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos
CVE-2015-3792 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos
CVE-2015-5751 : WalkerFuz
SceneKit
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zobrazení škodlivého souboru Collada může vést ke spuštění libovolného kódu.
Popis: Při zpracovávání souborů Collada frameworkem SceneKit docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen lepším ověřováním vstupů.
CVE-ID
CVE-2015-5772 : Apple
SceneKit
K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: V součásti SceneKit existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3783 : Haris Andrianakis z týmu Google Security
Zabezpečení
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Standardní uživatel může i bez správného ověření získat přístup k oprávněním správce.
Popis: Existoval problém ve zpracovávání ověřování uživatelů. Problém byl vyřešen lepší kontrolou ověřování.
CVE-ID
CVE-2015-3775 : [Eldon Ahrold]
SMBClient
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.
Popis: V klientu SMB existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3773 : Ilja van Sprundel
Uživatelské rozhraní Řeči
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování nebezpečně vytvořeného řetězce Unicode, když jsou zapnutá hlasová oznámení, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Ve zpracovávání řetězců Unicode existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3794 : Adam Greenbaum ze společnosti Refinitive
sudo
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Software sudo obsahoval ve verzích před 1.7.10p9 několik bezpečnostních slabin, z nichž ty nejvážnější mohly útočníkovi umožnit přístup k libovolným souborům.
Popis: Software sudo obsahoval ve verzích před 1.7.10p9 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací softwaru sudo na verzi 1.7.10p9.
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Software tcpdump 4.7.3 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly útočníkovi umožnit způsobit odmítnutí služeb.
Popis: Software sudo tcpdump ve verzích před 4.7.3. několik bezpečnostních slabin. Ty byly vyřešeny aktualizací softwaru tcpdump na verzi 4.7.3.
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formáty textu
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého textového souboru může vést ke zveřejnění uživatelských informací.
Popis: Ve zpracovávání v TextEditu existovala reference na externí XML entitu. Problém byl vyřešen vylepšením zpracovávání.
CVE-ID
CVE-2015-3762 : Xiaoyong Wu z týmu Evernote Security
udf
K dispozici pro: OS X Yosemite 10.10 až 10.10.4
Dopad: Zpracování škodlivého souboru DMG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.
Popis: Ve zpracovávání deformovaných obrázků DMG existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.
CVE-ID
CVE-2015-3767 : beist z týmu grayhash
OS X Yosemite 10.10.5 obsahuje bezpečnostní obsah Safari 8.0.8.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.