For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Yderligere oplysninger om PGP-nøglen til Apple Produktsikkerhed kan ses i artiklen "Sådan bruges PGP-nøglen til Apple Produktsikkerhed".
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
OS X Yosemite v10.10.3 og Sikkerhedsopdatering 2015-004
Admin Framework
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En proces kan opnå administratorrettigheder uden korrekt godkendelse
Beskrivelse: Der var et problem ved kontrol af XPC-rettigheder. Problemet er løst ved forbedret kontrol af rettigheder.
CVE-id
CVE-2015-1130: Emil Kvarnhammar fra TrueSec
- apache
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Flere sikkerhedsrisici i Apache
Beskrivelse: Der opstod flere sikkerhedsrisici i Apache-versioner før 2.4.10 og 2.2.29, blandt andet en, som gjorde det muligt for en hacker at køre vilkårlig kode. Problemerne er løst ved at opdatere Apache til version 2.4.10 og 2.2.29.
CVE-id
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere problemer med godkendelse af input i fontd. Problemerne er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-1131: Ian Beer fra Google Project Zero
CVE-2015-1132: Ian Beer fra Google Project Zero
CVE-2015-1133: Ian Beer fra Google Project Zero
CVE-2015-1134: Ian Beer fra Google Project Zero
CVE-2015-1135: Ian Beer fra Google Project Zero
Politik for certifikatgodkendelse
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Her kan du se en samlet certifikatliste.
CFNetwork HTTPProtocol
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Cookies tilhørende ét domæne kan blive videresendt til et andet domæne
Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af omdirigeringer. Cookies angivet i et omdirigeringssvar kunne blive videregivet til en omdirigeringsdestination tilhørende et andet domæne. Problemet er løst ved forbedret behandling af omdirigeringer.
CVE-id
CVE-2015-1089: Niklas Keller (http://kelunik.com)
CFNetwork-session
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Godkendelsesoplysninger sendes muligvis til en server på et andet domæne
Beskrivelse: Der var et problem med HTTP-forespørgselsheadere på tværs af domæner ved behandling af omdirigeringer. HTTP-forespørgselsheadere, som blev sendt i et omdirigeringssvar, kunne blive videregivet til et andet domæne. Problemet er løst ved forbedret behandling af omdirigeringer.
CVE-id
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med godkendelse af input ved behandling af URL-adresser. Problemet er løst ved forbedret validering af URL-adresser.
CVE-id
CVE-2015-1088: Luigi Galli
CoreAnimation
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der findes et problem med "use-after-free" i CoreAnimation. Problemet er løst ved forbedret mutex-styring.
CVE-id
CVE-2015-1136: Apple
FontParser
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-1093: Marc Schoenefeld
Graphics Driver
Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en NULL-pointer ved NVIDIA-grafikdriverens behandling af nogle IOService-userclient-typer. Problemet er løst ved yderligere kontekstgodkendelse.
CVE-id
CVE-2015-1137: Frank Graziano og John Villamil fra Yahoo Pentest Team
Hypervisor
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Et lokalt program kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et problem med godkendelse af input i hypervisor-frameworket. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-1138: Izik Eidus og Alex Fishman
ImageIO
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Behandling af et skadeligt .sgi-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af .sgi-arkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-1139: Apple
IOHIDFamily
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En skadelig HID-enhed kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i en IOHIDFamily-API. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1095: Andrew Church
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1140: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative, Luca Todesco, Vitaliy Toropov, som arbejder for HP's Zero Day Initiative (ZDI)
IOHIDFamily
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i IOHIDFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-1096: Ilja van Sprundel fra IOActive
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der opstod et heap-bufferoverløb ved IOHIDFamily-behandling af key-mapping-egenskaber. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2014-4404: Ian Beer fra Google Project Zero
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var en reference til en null-pointer ved IOHIDFamily-behandling af key-mapping-egenskaber. Problemet er løst ved forbedret godkendelse af key-mapping-egenskaberne for IOHIDFamily.
CVE-id
CVE-2014-4405: Ian Beer fra Google Project Zero
IOHIDFamily
Fås til: OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5
Effekt: En bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et out-of-bounds-skriveproblem i IOHIDFamily-driveren. Problemet er løst ved forbedret inputgodkendelse.
CVE-id
CVE-2014-4380: cunzhang fra Venustech ADLAB
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis udløse pludselig systemlukning
Beskrivelse: Der var et problem ved håndtering af operationer med virtuel hukommelse i kernen. Problemet er løst ved forbedret behandling af mach_vm_read-operationen.
CVE-id
CVE-2015-1141: Ole Andre Vadla Ravnas fra www.frida.re
Kernel
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var en race-betingelse i kernens setreuid-systemkald. Problemet er løst ved at forbedre state management.
CVE-id
CVE-2015-1099: Mark Mentovai fra Google Inc.
Kernel
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Et lokalt program kan muligvis udvide rettighederne ved hjælp af en beskadiget tjeneste, som er beregnet til at køre med færre rettigheder
Beskrivelse: setreuid- og setregid-systemkaldene kunne ikke ophæve rettigheder permanent. Problemet er løst ved korrekt ophævelse af rettigheder.
CVE-id
CVE-2015-1117: Mark Mentovai fra Google Inc.
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En hacker med en privilegeret netværksposition kan muligvis omdirigere brugertrafik til vilkårlige værter
Beskrivelse: ICMP-omdirigeringer er slået til som standardi OS X. Problemet er løst ved at slå ICMP-omdirigeringer fra.
CVE-id
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var et problem med statusuoverensstemmelse ved behandling af TCP-headere. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev fra Kaspersky Lab
Kernel
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen
Beskrivelse: Der var et problem med overskredet hukommelsesadgang i kernen. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1100: Maxime Villard fra m00nbsd
Kernel
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En hacker kan muligvis omgå netværksfiltre
Beskrivelse: Systemet behandlede visse IPv6-pakker fra eksterne netværk som lokale pakker. Problemet er løst ved at afvise disse pakker.
CVE-id
CVE-2015-1104: Stephen Roettger fra Google Security Team
Kernel
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1101: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative
Kernel
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En ekstern hacker kan muligvis fremkalde denial of service
Beskrivelse: Der var en statusuoverensstemmelse ved behandling af out-of-band-data for TCP. Problemet er løst ved at forbedre state management.
CVE-id
CVE-2015-1105: Kenton Varda fra Sandstorm.io
LaunchServices
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis få Finder til at gå ned
Beskrivelse: Der er et problem med godkendelse af input ved LaunchServices-behandling af programlokaliseringsdata. Problemet er løst ved forbedret godkendelse af lokaliseringsdata.
CVE-id
CVE-2015-1142
LaunchServices
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med typeforveksling ved LaunchServices-behandling af lokaliserede strenge. Problemet er løst ved yderligere kontrol af grænser.
CVE-id
CVE-2015-1143: Apple
libnetcore
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Behandling af en skadelig konfigurationsbeskrivelse kan medføre pludselig programlukning
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af konfigurationsbeskrivelser. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang og Tao Wei fra FireEye, Inc.
ntp
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En hacker kan muligvis bryde ntpd-godkendelsesnøgler op
Description: config_auth-funktionen i ntpd genererede en svag nøgle, når en godkendelsesnøgle ikke blev konfigureret. Problemet er løst ved forbedret nøglegodkendelse.
CVE-id
CVE-2014-9298
OpenLDAP
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En ekstern klient uden godkendelse kan muligvis fremkalde DoS-angreb
Beskrivelse: Der var flere problemer med godkendelse af input i OpenLDAP. Problemerne er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Flere sikkerhedshuller i OpenSSL
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL 0.9.8zc – blandt andet en, der gjorde det muligt for en hacker at opfange forbindelser til en server, der understøtter eksportchifre. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zd.
CVE-id
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory-klient
Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.2
Effekt: En adgangskode kunne blive sendt ukrypteret via netværket, hvis der blev brugt Open Directory fra OS X Server
Beskrivelse: Hvis en Open Directory-klient var forbundet med et system med OS X Server, men ikke installerede certifikaterne fra OS X Server, og en bruger på denne klient så ændrede sin adgangskode, blev anmodningen om ændring af adgangskoden sendt via netværket uden kryptering. Problemet er løst ved at få klienten til at kræve kryptering i sådanne tilfælde.
CVE-id
CVE-2015-1147: Apple
PHP
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Flere sikkerhedsrisici i PHP
Beskrivelse: Der opstod flere sikkerhedsrisici i PHP-versioner før 5.3.29, 5.4.38 og 5.5.20 – blandt andet en, der kunne medføre vilkårlig kørsel af kode. Denne opdatering løser problemerne ved at opdatere PHP til versionerne 5.3.29, 5.4.38 og 5.5.20.
CVE-id
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Åbning af et skadeligt iWork-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af iWork-arkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1098: Christopher Hickstein
SceneKit
Fås til OS X Mountain Lion v10.8.5
Effekt: Visning af et skadeligt Collada-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et heap-bufferoverløb ved SceneKits behandling af Collada-arkiver. Visning af et skadeligt Collada-arkiv kan have medført kørsel af vilkårlig kode. Problemet er løst ved forbedret godkendelse af adgangselementer.
CVE-id
CVE-2014-8830: Jose Duart fra Google Security Team
Skærmdeling
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: En brugers adgangskode kan blive logført i et lokalt arkiv
Beskrivelse: Under visse omstændigheder logfører skærmdeling brugerens adgangskode i et arkiv, som ikke kan læses af andre brugere af computeren. Problemet er løst ved at fjerne logføring af adgangsoplysninger.
CVE-id
CVE-2015-1148: Apple
Sikkerhed - kodesignering
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: Det forhindres muligvis ikke, at svindelprogrammer åbnes
Beskrivelse: Programmer, der indeholder specialændrede bundter, kunne muligvis blive startet uden en 100 % gyldig signatur. Problemet er løst ved at tilføje yderligere kontroller.
CVE-id
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.2
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et bufferoverløb på grund af den måde, en UTI (Uniform Type Identifier) blev behandlet. Problemet er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-1144: Apple
WebKit
Fås til: OS X Yosemite v10.10 til v10.10.2
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i WebKit. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-1069: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative
Sikkerhedsopdatering 2015-004 (fås til OS X Mountain Lion v10.8.5 og OS X Mavericks v10.9.5) løser også et problem, der skyldes rettelsen med id CVE-2015-1067 i Sikkerhedsopdatering 2015-002. Problemet forhindrede Eksterne Apple Events-klienter uanset version i at oprette forbindelse til Eksterne Apple Events-serveren. I standardkonfigurationer er Eksterne Apple Events ikke slået til.
Sikkerhedsindholdet i Safari 8.0.5 er indeholdt i OS X Yosemite v10.10.3.