Sikkerhedsindholdet i OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006
apache
Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i Apache-versionerne før 2.4.16, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb
Beskrivelse: Der var flere sikkerhedshuller i Apache-versionerne før 2.4.16. Problemerne løses ved at opdatere Apache til version 2.4.16.
CVE-id
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedsrisici i PHP 5.5.20, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere sikkerhedshuller i PHP-versionerne før 5.5.20. Problemerne løses ved at opdatere Apache til version 5.5.27.
CVE-id
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple ID OD-tilbehør
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis ændre en lokal brugers adgangskode
Beskrivelse: I nogle tilfælde var der et problem med tilstandsstyring i adgangskodegodkendelsen. Problemet er løst ved at forbedre tilstandsstyring.
CVE-id
CVE-2015-3799: En anonym programmør, som arbejder for HP's Zero Day Initiative
AppleGraphicsControl
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der opstod et problem i AppleGraphicsControl, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-5768: JieTao Yang fra KeenTeam
Bluetooth
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOBluetoothHCIController. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3779: Teddy Reed fra Facebook Security
Bluetooth
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der opstod et problem med hukommelsesstyring, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-3780: Roberto Paleari og Aristide Fattori fra Emaze Networks
Bluetooth
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En skadelig app kan muligvis få adgang til meddelelser fra andre iCloud-enheder
Beskrivelse: Der var et problem med, at en skadelig app kunne få adgang til meddelelser fra Meddelelsescenter på en Mac eller iOS-enhed, der var parret via Bluetooth, via Apple Notification Center Service. Problemet vedrørte enheder, der brugte Handoff og var logget på samme iCloud-konto. Problemet er løst ved at fjerne adgangen til Apple Notification Center Service.
CVE-id
CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En hacker med en privilegeret netværksposition kan muligvis udføre et DoS-angreb (Denial-of-Service) ved hjælp af skadelige Bluetooth-pakker
Beskrivelse: Der var et problem med godkendelse af input ved parsing af Bluetooth ACL-pakker. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-3787: Trend Micro
Bluetooth
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med bufferoverløb ved blued's behandling af XPC-meddelelser. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-3777: mitp0sh fra [PDX]
bootp
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt Wi-Fi-netværk kan muligvis registrere netværk, som en enhed tidligere har oprettet adgang til.
Beskrivelse: Efter oprettelse af forbindelse til et Wi-Fi-netværk kan iOS via DNAv4-protokollen udsende MAC-adresser på netværk, som enheden tidligere har oprettet forbindelse til. Problemet er løst ved at slå DNAv4 fra på Wi-Fi-netværk, der ikke er krypterede.
CVE-id
CVE-2015-3778: Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (ifm. projekt EPSRC Being There)
CloudKit
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis få adgang til iCloud-brugerposten for en bruger, der tidligere har været logget ind
Beskrivelse: Der var en tilstandsinkonsistens i CloudKit, når brugerne blev logget ud. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-3782: Deepkanwal Plaha fra University of Toronto
Afspilning af CoreMedia
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var problemer med beskadiget hukommelse i CoreMedia Playback. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i cURL og libcurl før version 7.38.0, og et af hullerne kan gøre det muligt for en ekstern hacker at tilsidesætte Same Origin Policy
Beskrivelse: Der var flere sikkerhedshuller i cURL og libcurl før version 7.38.0. Problemerne er løst ved at opdatere cURL til version 7.43.0.
CVE-id
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af en sekvens af Unicode-tegn kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af Unicode-tegn. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5750: M1x7e1 fra Safeye Team (www.safeye.org)
Indstillingsvinduet for dato og tid
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Programmer, der er afhængige af systemuret, kan fungere anderledes end normalt
Beskrivelse: der var et godkendelsesproblem ved ændring af indstillingerne for systemdato og -tid. Problemet er løst ved at indføre yderligere godkendelseskontroller.
CVE-id
CVE-2015-3757: Mark S C Smith
Ordbogsprogrammet
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En hacker med en privilegeret netværksposition kan muligvis opsnappe brugerens opslag i programmet Ordbog
Beskrivelse: Der var et problem i programmet Ordbog, så brugerkommunikationen ikke var tilstrækkeligt sikker. Problemet er løst ved at flytte ordbogsforespørgsler til HTTPS.
CVE-id
CVE-2015-3774: Jeffrey Paul fra EEQJ, Jan Bee fra Google Security Team
DiskImages
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt DMG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af skadelige DMG-billeder. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3800: Frank Graziano fra Yahoo Pentest Team
dyld
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med stigodkendelse i dyld. Problemet er løst ved forbedret rensning af omgivelserne.
CVE-id
CVE-2015-3760: beist fra grayhash, Stefan Esser
FontParser
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere problemer i pdfroff
Beskrivelse: Der var flere problemer i pdfroff, hvoraf de mest alvorlige kan medføre vilkårlige ændringer af arkivsystemet. Problemerne er løst ved at fjerne pdfroff.
CVE-id
CVE-2009-5044
CVE-2009-5078
ImageIO
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et ondsindet udformet TIFF-billede kan føre til uventet programnedbrud eller vilkårlig kørsel af kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af TIFF-billeder. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-5758: Apple
ImageIO
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Besøg på et skadeligt websted kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved ImageIO-behandling af PNG- og TIFF-billeder. Åbning af et skadeligt websted kan medføre afsendelse af data fra proceshukommelsen til webstedet. Problemet er løst ved forbedret initialisering af hukommelsen samt yderligere godkendelse af PNG- og TIFF-billeder.
CVE-id
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework Legacy
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med, at binary for Install.framework ophævede rettigheder. Problemet er løst ved forbedret privilegiestyring.
CVE-id
CVE-2015-5784: Ian Beer fra Google Project Zero
Install Framework Legacy
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en "race condition" i binary for Install.framework, som medførte, at der ved en fejl blev fjernet privilegier. Problemet er løst ved forbedret objektlåsning.
CVE-id
CVE-2015-5754: Ian Beer fra Google Project Zero
IOFireWireFamily
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var problemer med beskadiget hukommelse i IOFireWireFamily. Problemerne er løst ved yderligere godkendelse af input.
CVE-id
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOGraphics. Problemerne er løst ved yderligere godkendelse af input.
CVE-id
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der opstod et problem i mach_port_space_info, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved at deaktivere grænsefladen mach_port_space_info.
CVE-id
CVE-2015-3766: Cererdlong fra Alibaba Mobile Security Team, @PanguTeam
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktioner. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.
CVE-id
CVE-2015-3768: Ilja van Sprundel
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et problem med opbrugte ressourcer i fasttrap-driveren. Problemet er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5747: Maxime VILLARD fra m00nbsd
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et godkendelsesproblem ved aktivering af HFS-enheder. Problemet er løst ved at indføre yderligere kontroller.
CVE-id
CVE-2015-5748: Maxime VILLARD fra m00nbsd
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En skadelig app kan muligvis køre usigneret kode
Beskrivelse: Der var et problem, som medførte, at usigneret kode kunne føjes til signeret kode i et særligt tilpasset eksekverbart arkiv. Problemet er løst ved forbedret kodesignaturgodkendelse.
CVE-id
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et særligt tilpasset eksekverbart arkiv kunne gøre det muligt, at der køres usigneret, skadelig kode
Beskrivelse: Der var et problem med den måde, eksekverbare arkiver med multiarkitektur (MAB) blev kontrolleret på, som kunne medføre, at der blev kørt usigneret kode. Problemet er løst ved forbedret godkendelse af eksekverbare arkiver.
CVE-id
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre usigneret kode
Beskrivelse: Der var et godkendelsesproblem ved behandling af Mach-O-arkiver. Problemet er løst ved at indføre yderligere kontroller.
CVE-id
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt plist-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige plist-arkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3776: Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med stigodkendelse. Problemet er løst ved forbedret rensning af omgivelserne.
CVE-id
CVE-2015-3761: Apple
Libc
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var problemer med beskadiget hukommelse i TRE-biblioteket. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-3796: Ian Beer fra Google Project Zero
CVE-2015-3797: Ian Beer fra Google Project Zero
CVE-2015-3798: Ian Beer fra Google Project Zero
Libinfo
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var problemer med beskadiget hukommelse ved behandling af AF_INET6-sockets. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5776: Apple
libpthread
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af systemkald. Problemet er løst ved forbedret kontrol af låsefunktionen.
CVE-id
CVE-2015-5757: Lufeng Li fra Qihoo 360
libxml2
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb
Beskrivelse: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2. Problemerne er løst ved at opdatere libxml2 til version 2.9.2.
CVE-id
CVE-2012-6685: Felix Groebert fra Google
CVE-2014-0191: Felix Groebert fra Google
libxml2
Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et problem med beskadiget hukommelse i libxml2. Problemet er løst ved forbedret hukommelsesstyring
CVE-id
CVE-2014-3660: Felix Groebert fra Google
libxml2
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af XML-arkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3807: Apple
libxpc
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige XPC-meddelelser. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-3795: Mathew Rowley
mail_cmds
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre vilkårlige shell-kommandoer
Beskrivelse: Der var et godkendelsesproblem ved mailx-parsing af e-mailadresser. Problemet er løst ved forbedret rensning.
CVE-id
CVE-2014-7844
Meddelelsescenter i OS X
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Et skadeligt program kan muligvis få adgang til alle meddelelser, der tidligere er blevet vist for brugerne
Beskrivelse: Der var et problem i Meddelelsescenter, der gjorde, at brugermeddelelserne ikke blev slettet korrekt. Problemet er løst ved at slette de meddelelser korrekt, som brugeren har kvitteret for.
CVE-id
CVE-2015-3764: Jonathan Zdziarski
ntfs
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i NTFS. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5763: Roberto Paleari og Aristide Fattori fra Emaze Networks
OpenSSH
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En ekstern hacker kan muligvis omgå en forsinkelse ved mislykkede log ind-forsøg og foretage brute force-angreb
Beskrivelse: Der var et problem ved behandling af tastaturinteraktive enheder. Problemet er løst ved forbedret godkendelse af godkendelsesanmodninger.
CVE-id
CVE-2015-5600
OpenSSL
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i OpenSSL-versionerne før 0.9.8zg, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.
CVE-id
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et heltalsunderløb i forbindelse med den måde, Perl parsede regulære udtryk. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2013-7422
PostgreSQL
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: En hacker kan muligvis fremkalde pludselig programlukning eller få adgang til data uden korrekt godkendelse
Beskrivelse: Der var flere problemer i PostgreSQL 9.2.4, som er løst ved at opdatere PostgreSQL til 9.2.13.
CVE-id
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedsrisici i Python 2.7.6, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere sikkerhedshuller i Python før version 2.7.6. Problemerne er løst ved at opdatere Python til version 2.7.10.
CVE-id
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af Office-dokumenter. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5773: Apple
QL Office
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et problem med en ekstern entitetsreference ved XML-arkiv-parsing. Problemet er løst ved forbedret parsing.
CVE-id
CVE-2015-3784: Bruno Morisson fra INTEGRITY S.A.
Quartz Composer Framework
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt QuickTime-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af QuickTime-arkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5771: Apple
Vis
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Ved søgning efter en tidligere vist hjemmeside kan webbrowseren starte og gengive hjemmesiden
Beskrivelse: Der var et problem med, at QuickLook kunne køre JavaScript. Problemet er løst ved at fjerne tilladelsen til at køre JavaScript.
CVE-id
CVE-2015-3781: Andrew Pouliot fra Facebook, Anto Loyola fra Qubole
QuickTime 7
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i QuickTime. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i QuickTime. Problemerne er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-3765: Joe Burnett fra Audio Poison
CVE-2015-3788: Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3789: Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3790: Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3791: Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3792: Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Visning af et skadeligt Collada-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et heap-bufferoverløb ved SceneKits behandling af Collada-arkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5772: Apple
SceneKit
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4
Effekt: En ekstern hacker kan forårsage uventet programnedbrud eller vilkårlig kørsel af kode
Beskrivelse: Der var et problem med beskadiget hukommelse i SceneKit. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3783: Haris Andrianakis fra Google Security Team
Sikkerhed
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En standardbruger kan muligvis få adgang til administratorrettigheder uden korrekt godkendelse
Beskrivelse: Der var et problem ved håndtering af brugergodkendelse. Problemet er løst ved forbedret godkendelseskontrol.
CVE-id
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: En ekstern hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i SMB-klienten. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3773: Ilja van Sprundel
Speech UI
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af en skadelig Unicode-streng med taleadvarsler slået til kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af Unicode-strenge. Problemet er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-3794: Adam Greenbaum fra Refinitive
sudo
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i sudo før version 1.7.10p9, hvoraf de mest alvorlige kan give en hacker adgang til vilkårlige arkiver
Beskrivelse: Der var flere sikkerhedshuller i sudo før version 1.7.10p9. Problemerne er løst ved at opdatere sudo til version 1.7.10p9.
CVE-id
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Der var flere sikkerhedshuller i tcpdump før version 4.7.3, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre DoS-angreb
Beskrivelse: Der var flere sikkerhedshuller i tcpdump før version 4.7.3. Problemerne løses ved at opdatere tcpdump til version 4.7.3.
CVE-id
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Tekstformater
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Parsing af et skadeligt tekstarkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et problem med en XML-ekstern entitetsreference ved TextEdit-parsing. Problemet er løst ved forbedret parsing.
CVE-id
CVE-2015-3762: Xiaoyong Wu fra Evernote Security Team
udf
Fås til: OS X Yosemite v10.10 til v10.10.4
Effekt: Behandling af et skadeligt DMG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af skadelige DMG-billeder. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-3767: beist fra grayhash
Sikkerhedsindholdet i Safari 8.0.8 er indeholdt i OS X Yosemite v10.10.5.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.