Sikkerhedsindholdet i OS X Yosemite v10.10.2 og Sikkerhedsopdatering 2015-001

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.2 og Sikkerhedsopdatering 2015-001

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple-produktsikkerhed".

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Yosemite v10.10.2 og Sikkerhedsopdatering 2015-001

  • AFP-server

    Fås til: OS X Mavericks v10.9.5

    Effekt: En hacker kan muligvis finde frem til alle systemets netværksadresser

    Beskrivelse: AFP-filserveren understøtter en kommando, som returnerer alle systemets netværksadresser. Problemet er løst ved at fjerne adresserne fra resultatet.

    CVE-id

    CVE-2014-4426: Craig Young fra Tripwire VERT

  • bash

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: bash indeholdt flere sikkerhedsrisici, heraf en, der kan gøre det muligt for lokale hackere at køre vilkårlig kode.

    Beskrivelse: Der var flere sikkerhedsrisici i bash. Problemerne er løst ved at opdatere bash til sikkerhedsrettelsesniveau 57.

    CVE-id

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en signedness-heltalsfejl i IOBluetoothFamily, som gjorde det muligt at manipulere med kernehukommelsen. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Yosemite.

    CVE-id

    CVE-2014-4497

  • Bluetooth

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en fejl i Bluetooth-driveren, som gjorde det muligt for et skadeligt program at styre størrelsen på skrivning til kernehukommelsen. Problemet er løst ved yderligere inputgodkendelse.

    CVE-id

    CVE-2014-8836: Ian Beer fra Google Project Zero

  • Bluetooth

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere sikkerhedsproblemer i Bluetooth-driveren, hvilket gjorde det muligt for et skadeligt program at køre vilkårlig kode med systemrettigheder. Problemet er løst ved yderligere inputgodkendelse.

    CVE-id

    CVE-2014-8837: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • CFNetwork Cache

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Webstedsbufferen tømmes muligvis ikke helt, når privat browser afsluttes

    Beskrivelse: Der var et anonymitetsproblem, hvor nogle browserdata fortsat kunne ligge i bufferen, selv om privat browser var afsluttet. Problemet er løst ved at ændre bufferfunktionsmåden.

    CVE-id

    CVE-2014-4460

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4481: Felipe Andres Manzano fra Binamuse VRT, via iSIGHT Partners GVP-programmet

  • CPU-software

    Fås til: OS X Yosemite v10.10 og v10.10.1 til: MacBook Pro Retina, MacBook Air (medio 2013 og nyere), iMac (ultimo 2013 og nyere) samt Mac Pro (ultimo 2013)

    Effekt: En skadelig Thunderbolt-enhed kan medføre firmwareoverskrivning

    Beskrivelse: Thunderbolt-enheder kan ændre værtsfirmwaren, hvis de blev tilsluttet under en EFI-opdatering. Problemet er løst ved ikke at indlæse ekstern ROM under opdateringer.

    CVE-id

    CVE-2014-4498: Trammell Hudson fra Two Sigma Investments

  • CommerceKit-framework

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En hacker med systemadgang kan gendanne legitimationsoplysninger for Apple-id

    Beskrivelse: Der var et problem ved behandling af App Store-logarkiver. App Store-processen kunne logge Apple-ID-oplysninger, hvis yderligere logføring blev aktiveret. Problemet er løst ved at fjerne tilladelsen til at logføre adgangsoplysninger.

    CVE-id

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Nogle programmer fra andre producenter med usikker tekstindtastning og musehændelse kan logge disse hændelser

    Beskrivelse: På grund af kombinationen af en ikke-initialiseret variabel og et programs tilpassede fordeler, kan der være sket logføring af usikker tekstindtastning og musehændelser. Problemet er løst ved at sikre, at logføring er slået fra som standard. Problemet påvirker ikke computere med ældre versioner end OS X Yosemite.

    CVE-id

    CVE-2014-1595: Steven Michaud fra Mozilla, der arbejder sammen med Kent Howard

  • CoreGraphics

    Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af PDF-arkiver. Problemet er løst ved forbedret kontrol af grænser. Problemet påvirker ikke computere med OS X Yosemite.

    CVE-id

    CVE-2014-8816: Mike Myers fra Digital Operatives LLC

  • CoreSymbolication

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med typeforveksling i coresymbolicationd-behandlingen af XPC-meddelelser. Problemerne er løst ved forbedret typekontrol.

    CVE-id

    CVE-2014-8817: Ian Beer fra Google Project Zero

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af .dfont-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4484: Gaurav Baruah, der arbejder for HP's Zero Day Initiative

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb ved behandling af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4483: Apple

  • Foundation

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Visning af et skadeligt XML-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et bufferoverløb i XML-parseren. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Der var flere sikkerhedsproblemer i Intel-grafikdriveren

    Beskrivelse: Der var flere sikkerhedsproblemer i Intel-grafikdriveren, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode med systemrettigheder. Denne opdatering løser problemerne gennem forbedret kontrol af grænser.

    CVE-id

    CVE-2014-8819: Ian Beer fra Google Project Zero

    CVE-2014-8820: Ian Beer fra Google Project Zero

    CVE-2014-8821: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOAcceleratorFamily-behandlingen af nogle IOService-userclient-typer. Problemet er løst ved forbedret godkendelse af IOAcceleratorFamily-kontekst.

    CVE-id

    CVE-2014-4486: Ian Beer fra Google Project Zero

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem i IOHIDFamily-behandlingen af metadata i ressourcekøen. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-id

    CVE-2014-4488: Apple

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en reference til en null-pointer ved IOHIDFamily-behandlingen af begivenhedskøer. Problemet er løst ved forbedret godkendelse af initialiseringen af IOHIDFamily-begivenhedskøer.

    CVE-id

    CVE-2014-4489: @beist

  • IOHIDFamily

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Kørsel af et skadeligt program kan medføre vilkårlig kørsel af kode i kernen.

    Beskrivelse: Der var et problem med kontrol af grænser i en brugerklient fra IOHIDFamily-driveren, hvilket kunne gøre det muligt for et skadeligt program at overskrive vilkårlige dele af kerneadressepladsen. Problemet er løst ved at fjerne den risikable brugerklientmetode.

    CVE-id

    CVE-2014-8822: Vitaliy Toropov, der arbejder for HP's Zero Day Initiative

  • IOKit

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktioner. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

    CVE-id

    CVE-2014-4389: Ian Beer fra Google Project Zero

  • IOUSBFamily

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Et program med rettigheder kan muligvis læse vilkårlige data i kernehukommelsen

    Beskrivelse: Der var et hukommelsesproblem ved behandling af brugerklientfunktioner for IOUSB-controlleren. Problemet er løst ved forbedret argumentgodkendelse.

    CVE-id

    CVE-2014-8823: Ian Beer fra Google Project Zero

  • Kerberos

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Kerberos-biblioteket libgssapi returnerede en konteksttoken med en urelateret pointer. Problemet er løst ved forbedret funktionsstyring.

    CVE-id

    CVE-2014-5352

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Angivelse af en tilpasset cachelagerfunktion gjorde det muligt at skrive til skrivebeskyttede delte hukommelsessegmenter i kernen. Problemet er løst ved ikke at give skrivetilladelse som en bivirkning ved nogle tilpassede cachelagerfunktioner.

    CVE-id

    CVE-2014-4495: Ian Beer fra Google Project Zero

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af nogle metadatafelter i IODataQueue-objekter. Problemet er løst ved forbedret godkendelse af metadata.

    CVE-id

    CVE-2014-8824: @PanguTeam

  • Kernel

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En lokal hacker kan opsnappe biblioteksservicesvar til kernen, øge rettighederne eller opnå kerneudførelse

    Beskrivelse: Der var problemer med identitysvc-validering af biblioteksserviceløsningsprocessen, indikatorbehandling og fejlbehandling. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2014-8825: Alex Radocea fra CrowdStrike

  • Kernel

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var flere problemer med ikke-initialiseret hukommelse i netværksstatistikgrænsefladen, hvilket medførte afsløring af kernehukommelsesindholdet. Problemet er løst ved yderligere hukommelsesinitialisering.

    CVE-id

    CVE-2014-4371: Fermin J. Serna fra Google Security Team

    CVE-2014-4419: Fermin J. Serna fra Google Security Team

    CVE-2014-4420: Fermin J. Serna fra Google Security Team

    CVE-2014-4421: Fermin J. Serna fra Google Security Team

  • Kernel

    Fås til: OS X Mavericks v10.9.5

    Effekt: En person med en privilegeret netværksposition kan forårsage DoS (Denial-of-Service)

    Beskrivelse: Der var et problem med race condition ved behandling af IPv6-pakker. Problemet er løst ved forbedret kontrol af låsefunktionen.

    CVE-id

    CVE-2011-2391

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Programmer, som der er foretaget skadelige ændringer i, kan finde frem til kernens adresse

    Beskrivelse: Der var et problem med afsløring af oplysninger ved behandling af API'er, der har forbindelse til kerneudvidelser. Svar indeholdende en OSBundleMachOHeaders-nøgle kan have medtaget kerneadresser, som kan medvirke til at omgå beskyttelse af randomisering af adressemellemrumslayout. Problemet er løst ved at sikre adresserne, før de returneres.

    CVE-id

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et godkendelsesproblem ved behandling af nogle metadatafelter i IOSharedDataQueue-objekter. Problemet er løst ved at flytte metadataene.

    CVE-id

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt JAR-arkiv kan omgå Gatekeeper-kontrollerne

    Beskrivelse: Der var et problem med behandling af programstart, hvilket gjorde det muligt for skadelige JAR-arkiver at omgå Gatekeeper-kontrollerne. Problemet er løst ved forbedret behandling af arkivtypemetadata.

    CVE-id

    CVE-2014-8826: Hernan Ochoa fra Amplia Security

  • libnetcore

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt sandbox-program kan skade sikkerheden i networkd-daemon

    Beskrivelse: Der var flere problemer med typeforveksling i networkd-behandlingen af kommunikation mellem processer. Ved at sende en meddelelse i et skadeligt format til networkd kunne der køres vilkårlig kode som networkd-processen. Problemet er løst ved forbedret kontrol af typer.

    CVE-id

    CVE-2014-4492: Ian Beer fra Google Project Zero

  • LoginWindow

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: En Mac bliver muligvis ikke låst omgående ved afbrydelse af vågeblus

    Beskrivelse: Der var et problem med gengivelse af låseskærmen. Problemet er løst ved forbedret skærmgodkendelse i låst tilstand.

    CVE-id

    CVE-2014-8827: Xavier Bertels fra Mono og en række OS X-seed-testere

  • lukemftp

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Brug af kommandiolinje-ftp-værktøjet til at hente arkiver på en skadelig http-server kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med kommandoindsættelse ved behandling af HTTP-omdirigeringer. Problemet er løst ved forbedret godkendelse af specialtegn.

    CVE-id

    CVE-2014-8517

  • ntpd

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Brug af ntp-daemon med kryptografisk godkendelse kan medføre afsløring af oplysninger

    Beskrivelse: Der var flere problemer med inputvalidering i ntpd. Problemerne er løst ved forbedret datavalidering.

    CVE-id

    CVE-2014-9297

  • OpenSSL

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Der var flere sikkerhedsproblemer i OpenSSL 0.9.8za, deriblandt en, som gjorde det muligt for en hacker at nedgradere forbindelserne for at bruge svagere cipher-suiter i programmer, der brugte biblioteket

    Beskrivelse: Der var flere sikkerhedsproblemer i OpenSSL 0.9.8za. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zc.

    CVE-id

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5

    Effekt: En sandbox-proces kan kan muligvis gå uden om sandbox-begrænsningerne.

    Beskrivelse: Der var et designproblem ved cachelagring af sandbox-profiler, som gav sandbox-begrænsede programmer mulighed for at opnå skriveadgang til bufferen. Problemet er løst ved at begrænse skriveadgangen til stier, der indeholder et segment af typen “com.apple.sandbox”. Problemet påvirker ikke computere med OS X Yosemite v10.10 eller en nyere version.

    CVE-id

    CVE-2014-8828: Apple

  • SceneKit

    Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5

    Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket medførte afsløring af brugeroplysninger

    Beskrivelse: Der var flere out of bounds-skriveproblemer i SceneKit. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-8829: Jose Duart fra Google Security Team

  • SceneKit

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Visning af et skadeligt Collada-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heap-bufferoverløb ved SceneKits behandling af Collada-arkiver. Visning af et skadeligt Collada-arkiv kan have medført pludselig programlukning eller kørsel af vilkårlig kode. Problemet er løst ved forbedret godkendelse af adgangselementer.

    CVE-id

    CVE-2014-8830: Jose Duart fra Google Security Team

  • Sikkerhed

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Et overført program signeret med et tilbagekaldt udvikler-id-certifikat kan komme gennem Gatekeeper-kontrollerne

    Beskrivelse: Der var et problem med, hvordan cachelagrede programcertifikatoplysninger blev analyseret. Problemet er løst ved forbedret bufferlogik.

    CVE-id

    CVE-2014-8838: Apple

  • security_taskgate

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Et program kan få adgang til nøgleringselementer, der tilhører andre programmer

    Beskrivelse: Der opstod et problem med adgangskontrol i Nøglering. Programmer, der er signeret med selvsignerede certifikater eller udvikler-id-certifikater, kunne få adgang til nøgleringselementer, hvis adgangskontrollister var baseret på nøgleringsgrupper. Problemet er løst ved at validere signeringsidentiteten ved åbning for adgang til nøgleringsgrupper.

    CVE-id

    CVE-2014-8831: Apple

  • Spotlight

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Afsenderen af en e-mail kunne finde frem til modtagerens IP-adresse

    Beskrivelse: Spotlight kontrollerede ikke status for Mail-indstillingen "Indlæs eksternt indhold i beskeder". Problemet er løst ved forbedret kontrol af konfigurationen.

    CVE-id

    CVE-2014-8839: John Whitehead fra The New York Times, Frode Moe Fra LastFriday.no

  • Spotlight

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 og v10.10.1

    Effekt: Spotlight kan arkivere uønskede oplysninger på en ekstern harddisk

    Beskrivelse: Der var et problem i Spotlight, hvor noget af hukommelsesindholdet kunne blive skrevet til eksterne harddiske under indeksering. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Spotlight kan vise resultater for arkiver, som ikke tilhører brugeren

    Beskrivelse: Der var et deserialiseringsproblem i Spotlights behandling af tilladelsesbuffere. En bruger, der udførte en Spotlight-forespørgsel, kunne få vist søgeresultater med arkiver, som brugeren ikke havde tilstrækkelige rettigheder til at læse. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2014-8833: David J Peacock, Independent Technology Consultant

  • sysmond

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 og v10.10.1

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

    Beskrivelse: Der var et sikkerhedsproblem med typeforveksling i sysmond, som gjorde det muligt for et lokalt program at få øgede rettigheder. Problemet er løst ved forbedret typekontrol.

    CVE-id

    CVE-2014-8835: Ian Beer fra Google Project Zero

  • UserAccountUpdater

    Fås til: OS X Yosemite v10.10 og v10.10.1

    Effekt: Udskrivningsrelaterede indstillingsarkiver kan indeholde følsomme oplysninger om PDF-dokumenter

    Beskrivelse: OS X Yosemite v10.10 har løst et problem med behandling af adgangskodebeskyttede PDF-arkiver, der er oprettet via dialogen Udskriv, hvor adgangskoderne kan have været indeholdt i indstillingsarkiverne for udskrivning. Denne opdatering fjerner de irrelevante oplysninger, der kan have været i indstillingsarkiverne for udskrivning.

    CVE-id

    CVE-2014-8834: Apple

Bemærk: Sikkerhedsindholdet i Safari 8.0.3 er indeholdt i OS X Yosemite 10.10.2.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: