Informace o bezpečnostním obsahu OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006

Tento dokument popisuje bezpečnostní obsah OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

OS X Yosemite 10.10.5 a bezpečnostní aktualizace 2015-006

  • apache

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Apache 2.4.16 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služby.

    Popis: Apache obsahoval ve verzích před 2.4.16 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací Apache na verzi 2.4.16.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Software PHP 5.5.20 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke spuštění libovolného kódu.

    Popis: Software PHP obsahoval ve verzích před 5.5.20 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací PHP na verzi 5.5.27.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • OD plug-in Apple ID

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může měnit heslo místního uživatele.

    Popis: V některých případech docházelo při ověřování hesel k problému se správou stavu. Problém byl vyřešen vylepšenou správou stavu.

    CVE-ID

    CVE-2015-3799 : anonymní výzkumník spolupracující s iniciativou Zero Day Initiative společnosti HP

  • AppleGraphicsControl

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: V součásti AppleGraphicsControl existoval problém, který mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-5768 : JieTao Yang z týmu KeenTeam

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti IOBluetoothHCIController existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3779 : Teddy Reed z týmu Facebook Security

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: Problém se správou paměti mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3780 : Roberto Paleari a Aristide Fattori z Emaze Networks

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může přistupovat k oznámením z jiných zařízení přihlášených k iCloudu.

    Popis: Existoval problém, kvůli kterému mohly škodlivé aplikace přes službu Apple Notification Center přistupovat k centru oznámení na Macu nebo iOS zařízení spárovaném přes Bluetooth. Problém se týkal zařízení, která používala Handoff a byla přihlášená ke stejnému účtu iCloudu. Byl vyřešen tím, že službě Apple Notification Center byl odebrán přístup.

    CVE-ID

    CVE-2015-3786 : Xiaolong Bai (Univerzita Tsinghua), System Security Lab (Indianská univerzira), Tongxin Li (Pekingská univerzita), XiaoFeng Wang (Indianská univerzira)

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Útočník s vysokými oprávněními v síti může pomocí upravených Bluetooth paketů provést útok odmítnutím služeb.

    Popis: Při zpracovávání Bluetooth paketů ACL docházelo k problému s ověřováním vstupů. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-3787 : Trend Micro

  • Bluetooth

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Ve zpracovávání XPC zpráv součástí blued existovalo několik problémů s přetečením vyrovnávací paměti. Problémy byly vyřešeny vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-3777 : mitp0sh z týmu [PDX]

  • bootp

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá Wi-Fi síť může rozpoznat sítě, ke kterým bylo zařízení připojené dříve.

    Popis: Po připojení k Wi-Fi síti mohl iOS přes protokol DNAv4 vysílat MAC adresy dříve použitých sítí. Problém byl vyřešen vypnutím protokolu DNAv4 u nešifrovaných Wi-Fi sítí.

    CVE-ID

    CVE-2015-3778 : Piers O'Hanlon z organizace Oxford Internet Institute, Oxfordská univerzita (v rámci projektu EPSRC Being There)

  • CloudKit

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může získat přístup k uživatelskému záznamu iCloudu patřícímu naposledy přihlášenému uživateli.

    Popis: Při odhlašování uživatelů existovala v CloudKitu nekonzistence stavů. Problém byl vyřešen vylepšenou manipulací se stavy.

    CVE-ID

    CVE-2015-3782 : Deepkanwal Plaha z Torontské univerzity

  • CoreMedia Playback

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zobrazení škodlivého videosouboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V součásti CoreMedia Playback existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: V knihovnách cURL a libcurl před verzí 7.38.0 existovalo několik slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit obejít zásadu stejného původu.

    Popis: V knihovnách cURL a libcurl před verzí 7.38.0 existovalo několik slabin. Byly vyřešeny aktualizací cURL na verzi 7.43.0.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování určité sekvence znaků Unicode může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání znaků Unicode existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-5750 : M1x7e1 z týmu Safeye Team (www.safeye.org)

  • Panel předvoleb Datum a čas

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Aplikace spoléhající na systémový čas mohou vykazovat nečekané chování.

    Popis: Při úpravě systémových předvoleb data a času docházelo k problému s ověřováním. Problém byl vyřešen dodatečnou kontrolou oprávnění.

    CVE-ID

    CVE-2015-3757 : Mark S C Smith

  • Aplikace Slovník

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Útočník s vysokými oprávněními v síti může zachycovat dotazy aplikace Slovník.

    Popis: V aplikaci Slovník existoval problém, kvůli kterému nebyla uživatelova komunikace správně zabezpečená. Problém byl vyřešen přesunutím dotazů aplikace Slovník pod protokol HTTPS.

    CVE-ID

    CVE-2015-3774 : Jeffrey Paul z týmu EEQJ, Jan Bee z týmu Google Security

  • DiskImages

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru DMG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.

    Popis: Ve zpracovávání deformovaných obrázků DMG existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3800 : Frank Graziano z týmu Yahoo Pentest

  • dyld

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti dyld docházelo k problému s ověřováním cesty. Problém byl vyřešen lepší sanitizací prostředí.

    CVE-ID

    CVE-2015-3760 : beist z týmu grayhash, Stefan Esser

  • FontParser

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-3804 : Apple

    CVE-2015-5775 : Apple

  • FontParser

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru písma může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů písem existoval problém s poškozením paměti. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Několik problémů se součástí pdfroff.

    Popis: Součást pdfroff obsahovala několik problémů, z nichž ty nejvážnější mohly umožnit libovolné úpravy souborového systému. Problémy byly vyřešeny odebráním součásti pdfroff.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého obrázku TIFF může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání obrázků TIFF existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-5758 : Apple

  • ImageIO

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Návštěva škodlivého webu může vést ke zveřejnění procesní paměti.

    Popis: Ve zpracovávání obrázků PNG a TIFF součástí ImageIO existoval problém s neinicializovaným přístupem k paměti. Návštěva škodlivého webu pak mohla způsobit, že webu byla odeslána data z procesní paměti. Problém byl vyřešen lepší inicializací paměti a dodatečným ověřováním obrázků PNG a TIFF.

    CVE-ID

    CVE-2015-5781 : Michal Zalewski

    CVE-2015-5782 : Michal Zalewski

  • Install Framework, starší verze

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může spouštět libovolný kód s kořenovými (root) oprávněnými.

    Popis: Existovalo problém s tím, jak příkaz „runner“ ve frameworku Install.framework uvolňoval oprávnění. Problém byl vyřešen vylepšenou správou oprávnění.

    CVE-ID

    CVE-2015-5784 : Ian Beer z týmu Google Project Zero

  • Install Framework, starší verze

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V příkazu „runner“ ve frameworku Install.framework existoval konflikt časování, kvůli kterému byla nesprávně uvolňována oprávnění. Problém byl vyřešen lepším zamykáním objektů.

    CVE-ID

    CVE-2015-5754 : Ian Beer z týmu Google Project Zero

  • IOFireWireFamily

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti IOFireWireFamily existovaly problémy s poškozením paměti. Problémy byly vyřešeny přidáním dodatečných typů ověřování vstupů.

    CVE-ID

    CVE-2015-3769 : Ilja van Sprundel

    CVE-2015-3771 : Ilja van Sprundel

    CVE-2015-3772 : Ilja van Sprundel

  • IOGraphics

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: V součásti IOGraphics existoval problém s poškozením paměti. Problém byl vyřešen přidáním dodatečných typů ověřování vstupů.

    CVE-ID

    CVE-2015-3770 : Ilja van Sprundel

    CVE-2015-5783 : Ilja van Sprundel

  • IOHIDFamily

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti IOHIDFamily docházelo k přetečení vyrovnávací paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-5774 : TaiG Jailbreak Team

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může rozpoznat rozvržení paměti jádra.

    Popis: V rozhraní mach_port_space_info existoval problém, který mohl vést ke zveřejnění rozvržení paměti jádra. Problém byl vyřešen vypnutím rozhraní mach_port_space_info.

    CVE-ID

    CVE-2015-3766 : Cererdlong z týmu Alibaba Mobile Security, @PanguTeam

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Při zpracování funkcí frameworku IOKit docházelo k přetečení celých čísel. Problém byl vyřešen vylepšeným ověřováním argumentů rozhraní API frameworku IOKit.

    CVE-ID

    CVE-2015-3768 : Ilja van Sprundel

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může způsobit systémové odmítnutí služby.

    Popis: V řadiči fasttrap existoval problém s vyčerpáním zdrojů. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-5747 : Maxime VILLARDz týmu m00nbsd

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může způsobit systémové odmítnutí služby.

    Popis: Při připojování HFS svazků docházelo k problému s ověřováním. Problém byl vyřešen přidáním dodatečných kontrol.

    CVE-ID

    CVE-2015-5748 : Maxime VILLARD z týmu m00nbsd

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou spouštět nepodepsaný kód.

    Popis: Existoval problém, který umožňoval připojit nepodepsaný kód za podepsaný kód ve speciálně uzpůsobeném spustitelném souboru. Problém byl vyřešen vylepšením ověřování podpisů kódu.

    CVE-ID

    CVE-2015-3806 : TaiG Jailbreak Team

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Speciálně uzpůsobený spustitelný soubor mohl umožnit spuštění nepodepsaného škodlivého kódu.

    Popis: Ve způsobu, jakým byly vyhodnocovány spustitelné soubory s více architekturami, existoval problém, který mohl umožnit spouštění nepodepsaného kódu. Problém byl vyřešen vylepšeným ověřováním spustitelných souborů.

    CVE-ID

    CVE-2015-3803 : TaiG Jailbreak Team

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spouštět nepodepsaný kód.

    Popis: Ve zpracovávání souborů Mach-O existoval problém s ověřováním. Problém byl vyřešen přidáním dodatečných kontrol.

    CVE-ID

    CVE-2015-3802 : TaiG Jailbreak Team

    CVE-2015-3805 : TaiG Jailbreak Team

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru plist může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.

    Popis: Ve zpracovávání deformovaných souborů plist existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3776 : Teddy Reed z týmu Facebook Security, Patrick Stein (@jollyjinx) z týmu Jinx Germany

  • Jádro

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: Existoval problém s ověřováním cesty. Problém byl vyřešen lepší sanitizací prostředí.

    CVE-ID

    CVE-2015-3761 : Apple

  • Libc

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování nebezpečně vytvořeného regulárního výrazu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V knihovně TRE existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-3796 : Ian Beer z týmu Google Project Zero

    CVE-2015-3797 : Ian Beer z týmu Google Project Zero

    CVE-2015-3798 : Ian Beer z týmu Google Project Zero

  • Libinfo

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: Ve zpracovávání soketů AF_INET6 existovaly problémy s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-5776 : Apple

  • libpthread

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Při zpracovávání systémových volání docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšeným ověřováním stavu uzamčení.

    CVE-ID

    CVE-2015-5757 : Lufeng Li z týmu Qihoo 360

  • libxml2

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Software libxml2 obsahoval ve verzích před 2.9.2 několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služby.

    Popis: Software libxml2 obsahoval ve verzích před 2.9.2 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací libxml2 na verzi 2.9.2.

    CVE-ID

    CVE-2012-6685 : Felix Groebert ze společnosti Google

    CVE-2014-0191 : Felix Groebert ze společnosti Google

  • libxml2

    K dispozici pro: OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého XML dokumentu může vést ke zveřejnění uživatelských informací.

    Popis: V součásti libxml2 existoval problém s přístupem k paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2014-3660 : Felix Groebert ze společnosti Google

  • libxml2

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého XML dokumentu může vést ke zveřejnění uživatelských informací.

    Popis: Ve zpracovávání XML souborů existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3807 : Apple

  • libxpc

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivé aplikace můžou svévolně spouštět kód s oprávněním správce.

    Popis: Ve zpracovávání deformovaných zpráv XPC existoval problém s poškozením paměti. Problém byl zlepšen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-3795 : Mathew Rowley

  • mail_cmds

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spouštět libovolné příkazy shellu.

    Popis: Ve zpracovávání e-mailových adres součástí mailx existoval problém s ověřováním. Problém byl vyřešen lepší sanitizací.

    CVE-ID

    CVE-2014-7844

  • Centrum oznámení OS X

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Škodlivá aplikace může přistupovat ke všem oznámením, která si předtím uživatelé zobrazili.

    Popis: V Centru oznámení existoval problém, kvůli kterému nebyla uživatelova oznámení správně mazána. Problém byl vyřešen tím, že teď už se oznámení zavřená uživatelem správně mažou.

    CVE-ID

    CVE-2015-3764 : Jonathan Zdziarski

  • ntfs

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Místní uživatel může spustit libovolný kód se systémovými oprávněními.

    Popis: V součásti NTFS existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-5763 : Roberto Paleari a Aristide Fattori ze společnosti Emaze Networks

  • OpenSSH

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Vzdálení útočníci mohou obejít časovou prodlevu při neúspěšných pokusech o přihlášení a provádět útoky hrubou silou.

    Popis: Existoval problém ve zpracovávání zařízení interaktivních klávesnic. Problém byl vyřešen lepším ověřováním žádostí o ověření.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Software OpenSSL obsahoval ve verzích před 0.9.8zg několik bezpečnostních slabin, z nichž ty nejvážnější mohly vzdálenému útočníkovi umožnit způsobit odmítnutí služeb.

    Popis: Software OpenSSL obsahoval ve verzích před 0.9.8zg několik bezpečnostních slabin. Ty byly vyřešeny aktualizací OpenSSL na verzi 0.9.8zg.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • Perl

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování nebezpečně vytvořeného regulárního výrazu může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve způsobu, jakým Perl zpracovával regulární výrazy, existoval problém s podtečením celých čísel. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo bez správného ověření získat přístup k datům.

    Popis: Software PostgreSQL 9.2.4. obsahoval několik bezpečnostních slabin. Ty byly vyřešeny aktualizací PostgreSQL na verzi 9.2.13.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • Python

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Python 2.7.6 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly vést ke spuštění libovolného kódu.

    Popis: Python obsahoval ve verzích před 2.7.6 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací Pythonu na verzi 2.7.10.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého dokumentu Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání dokumentů Office existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-5773 : Apple

  • QL Office

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého XML souboru může vést ke zveřejnění uživatelských informací.

    Popis: Ve zpracovávání XML souborů existovala reference na externí entitu. Problém byl vyřešen vylepšením zpracovávání.

    CVE-ID

    CVE-2015-3784 : Bruno Morisson ze společnosti INTEGRITY S.A.

  • Quartz Composer Framework

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru QuickTime může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání souborů QuickTime existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-5771 : Apple

  • Rychlý náhled

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Vyhledání dříve navštíveného webu může otevřít webový prohlížeč a načíst daný web.

    Popis: Existoval problém, kdy Rychlý náhled dokázal spouštět JavaScript. Problém byl vyřešen zakázáním spouštění JavaScriptu.

    CVE-ID

    CVE-2015-3781 : Andrew Pouliot ze společnosti Facebook, Anto Loyola ze společnosti Qubole

  • QuickTime 7

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V QuickTimu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753 : Apple

    CVE-2015-5779 : Apple

  • QuickTime 7

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: V QuickTimu existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny lepší správou paměti.

    CVE-ID

    CVE-2015-3765 : Joe Burnett ze společnosti Audio Poison

    CVE-2015-3788 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos

    CVE-2015-3789 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos

    CVE-2015-3790 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos

    CVE-2015-3791 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos

    CVE-2015-3792 : Ryan Pentney a Richard Johnson ze společnosti Cisco Talos

    CVE-2015-5751 : WalkerFuz

  • SceneKit

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zobrazení škodlivého souboru Collada může vést ke spuštění libovolného kódu.

    Popis: Při zpracovávání souborů Collada frameworkem SceneKit docházelo k přetečení haldy vyrovnávací paměti. Problém byl vyřešen lepším ověřováním vstupů.

    CVE-ID

    CVE-2015-5772 : Apple

  • SceneKit

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 až 10.10.4

    Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: V součásti SceneKit existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3783 : Haris Andrianakis z týmu Google Security

  • Zabezpečení

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Standardní uživatel může i bez správného ověření získat přístup k oprávněním správce.

    Popis: Existoval problém ve zpracovávání ověřování uživatelů. Problém byl vyřešen lepší kontrolou ověřování.

    CVE-ID

    CVE-2015-3775 : [Eldon Ahrold]

  • SMBClient

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Vzdálený útočník může způsobit nečekané ukončení aplikace nebo spuštění libovolného kódu.

    Popis: V klientu SMB existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3773 : Ilja van Sprundel

  • Uživatelské rozhraní Řeči

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování nebezpečně vytvořeného řetězce Unicode, když jsou zapnutá hlasová oznámení, může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Ve zpracovávání řetězců Unicode existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3794 : Adam Greenbaum ze společnosti Refinitive

  • sudo

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Software sudo obsahoval ve verzích před 1.7.10p9 několik bezpečnostních slabin, z nichž ty nejvážnější mohly útočníkovi umožnit přístup k libovolným souborům.

    Popis: Software sudo obsahoval ve verzích před 1.7.10p9 několik bezpečnostních slabin. Ty byly vyřešeny aktualizací softwaru sudo na verzi 1.7.10p9.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Software tcpdump 4.7.3 obsahoval několik bezpečnostních slabin, z nichž ty nejvážnější mohly útočníkovi umožnit způsobit odmítnutí služeb.

    Popis: Software sudo tcpdump ve verzích před 4.7.3. několik bezpečnostních slabin. Ty byly vyřešeny aktualizací softwaru tcpdump na verzi 4.7.3.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Formáty textu

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého textového souboru může vést ke zveřejnění uživatelských informací.

    Popis: Ve zpracovávání v TextEditu existovala reference na externí XML entitu. Problém byl vyřešen vylepšením zpracovávání.

    CVE-ID

    CVE-2015-3762 : Xiaoyong Wu z týmu Evernote Security

  • udf

    K dispozici pro: OS X Yosemite 10.10 až 10.10.4

    Dopad: Zpracování škodlivého souboru DMG může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu se systémovými oprávněními.

    Popis: Ve zpracovávání deformovaných obrázků DMG existoval problém s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-3767 : beist z týmu grayhash

OS X Yosemite 10.10.5 obsahuje bezpečnostní obsah Safari 8.0.8.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: