Sikkerhedsindholdet i OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005

  • Admin Framework

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.3

    Effekt: En proces kan opnå administratorrettigheder uden korrekt godkendelse

    Beskrivelse: Der opstod et problem ved kontrol af XPC-rettigheder. Problemet er løst ved forbedret kontrol af rettigheder.

    CVE-id

    CVE-2015-3671: Emil Kvarnhammar fra TrueSec

  • Admin Framework

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.3

    Effekt: En anden bruger end administratoren kan opnå administratorrettigheder

    Beskrivelse: Der opstod et problem ved håndteringen af brugergodkendelse. Problemet er løst ved forbedret fejlkontrol.

    CVE-id

    CVE-2015-3672: Emil Kvarnhammar fra TrueSec

  • Admin Framework

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker kan misbruge Biblioteksværktøj for at opnå rettigheder på rodniveau

    Beskrivelse: Biblioteksværktøj kunne flyttes og ændres til at køre programkode i en proces med rettigheder. Problemet er løst ved at begrænse antallet af diskplaceringer, som writeconfig-klienter kan køres fra.

    CVE-id

    CVE-2015-3673: Patrick Wardle fra Synack, Emil Kvarnhammar fra TrueSec

  • afpserver

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En ekstern hacker kan forårsage pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse i AFP-serveren. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3674: Dean Jerkovich fra NCC Group

  • apache

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker kan få adgang til biblioteker, der er beskyttet med HTTP-godkendelse, uden at have adgangsoplysningerne

    Beskrivelse: Apache-standardkonfigurationen omfattede ikke mod_hfs_apple. Hvis Apache blev aktiveret manuelt og konfigurationen ikke blev ændret, var nogle arkiver, som normalt ikke er tilgængelige, muligvis tilgængelige via en specialudviklet URL. Problemet er løst ved at aktivere mod_hfs_apple.

    CVE-id

    CVE-2015-3675: Apple

  • apache

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.3

    Effekt: Der findes flere sikkerhedsrisici i PHP, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der findes flere sikkerhedsrisici i PHP inden version 5.5.24 og 5.4.40. Problemet er løst ved at opdatere PHP til versionerne 5.5.24 og 5.4.40.

    CVE-id

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem i AppleGraphicsControl, som kunne have medført afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3676: Chen Liang fra KEEN Team

  • AppleFSCompression

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem med LZVN-komprimering, som kunne have medført afsløring af kernehukommelsens indhold. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3677: En anonym programmør, som arbejder for HP's Zero Day Initiative

  • AppleThunderboltEDMService

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af visse Thunderbolt-kommandoer fra lokale processer. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3678: Apple

  • ATS

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af visse skrifter. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3679: Pawel Wylecial, som arbejder for HP's Zero Day Initiative

    CVE-2015-3680: Pawel Wylecial, som arbejder for HP's Zero Day Initiative

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse i Bluetooth HCI-grænsefladen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3683: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • Politik for certifikatgodkendelse

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange netværkstrafik

    Beskrivelse: Der blev udstedt et midlertidigt certifikat af certifikatmyndigheden CNNIC ved en fejl. Problemet er løst ved at tilføje en mekanisme udelukkende til godkendelse af et undersæt af certifikater, som blev udstedt inden det forkerte certifikat. Her kan du læse mere om sikkerhedslisten for delvis godkendelse.

  • Politik for certifikatgodkendelse

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Du kan se hele listen med certifikater i OS X Trust Store.

  • CFNetwork HTTPAuthentication

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Åbning af en skadelig URL kan medføre vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af visse URL-legitimationsoplysninger. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3684: Apple

  • CoreText

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt tekstarkiv kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: coreTLS accepterede korte, kortvarige DH-nøgler (Diffie-Hellman), som bruges i kortvarige DH-chiffer-suiter med eksportstyrke. Problemet, der også kaldes Logjam, gjorde det muligt for en hacker med en privilegeret netværksposition at nedgradere sikkerheden til 512-bit DH, hvis serveren understøttede en kortvarig DH-chiffer-suite med eksportstyrke. Problemet er løst ved at øge standardminimumgrænsen for kortvarige DH-nøgler til 768 bit.

    CVE-id

    CVE-2015-4000: weakdh-teamet fra weakdh.org, Hanno Boeck

  • DiskImages

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem med afsløring af oplysninger ved behandling af diskbilleder. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3690: Peter Rutenbar, som arbejder for HP's Zero Day Initiative

  • Display Drivers

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem i MCCS-kerneudvidelsen (Monitor Control Command Set), som gjorde det muligt for en userland-proces at styre værdien af en funktionsmarkør i kernen. Problemet er løst ved at fjerne den berørte grænseflade.

    CVE-id

    CVE-2015-3691: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • EFI

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program med rettigheder på rodniveau kan ændre EFI-flashhukommelse

    Beskrivelse: Der opstod et problem med utilstrækkelig låsning, når EFI-flash vendte tilbage fra vågeblus. Problemet er løst ved forbedret låsning.

    CVE-id

    CVE-2015-3692: Trammell Hudson fra Two Sigma Investments, Xeno Kovah og Corey Kallenberg fra LegbaCore LLC, Pedro Vilaça

  • EFI

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan forårsage beskadigelse af hukommelse for at eskalere rettigheder

    Beskrivelse: Der findes en forstyrrelsesfejl, der også kaldes Rowhammer, i noget DDR3 RAM, der kunne have medført beskadiget hukommelse. Problemet er begrænset ved at øge opdateringshastigheder for hukommelse.

    CVE-id

    CVE-2015-3693: Mark Seaborn og Thomas Dullien fra Google, som arbejder ud fra oprindeligt arbejde af Yoongu Kim m.fl. (2014)

  • FontParser

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Graphics Driver

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et out of bounds-skriveproblem i NVIDIA-grafikdrivere. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3712: Ian Beer fra Google Project Zero

  • Intel Graphics Driver

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Der er flere problemer med stakbufferoverløb i Intel-grafikdriveren, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod flere problemer med stakbufferoverløb i Intel-grafikdriveren. Disse problemer er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3695: Ian Beer fra Google Project Zero

    CVE-2015-3696: Ian Beer fra Google Project Zero

    CVE-2015-3697: Ian Beer fra Google Project Zero

    CVE-2015-3698: Ian Beer fra Google Project Zero

    CVE-2015-3699: Ian Beer fra Google Project Zero

    CVE-2015-3700: Ian Beer fra Google Project Zero

    CVE-2015-3701: Ian Beer fra Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Der findes flere sikkerhedsrisici i libtiff, hvoraf de alvorligste kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der findes flere sikkerhedsrisici i libtiff inden version 4.0.4. Problemet er løst ved at opdatere libtiff til version 4.0.4.

    CVE-id

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt .tiff-arkiv kan medføre pludselig programlukning eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af .tiff-arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer forbundet med at setuid binary for Install.framework ophævede rettigheder. Problemet er løst ved korrekt ophævelse af rettigheder.

    CVE-id

    CVE-2015-3704: Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i IOAcceleratorFamily. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod flere problemer med referencer til en null-pointer i FireWire-driveren. Disse problemer er løst ved forbedret kontrol af fejl.

    CVE-id

    CVE-2015-3707: Roberto Paleari og Aristide Fattori fra Emaze Networks
  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem med hukommelsesstyring ved behandling af API'er, som er relateret til kerneudvidelser, der kunne have medført afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3720: Stefan Esser
  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem med hukommelsesstyring ved behandling af HFS-parametre, som kunne have medført afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3721: Ian Beer fra Google Project Zero
  • kext tools

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

    Beskrivelse: kextd fulgte symbolske henvisninger ved oprettelse af et nyt arkiv. Problemet er løst ved forbedret behandling af symbolske henvisninger.

    CVE-id

    CVE-2015-3708: Ian Beer fra Google Project Zero

  • kext tools

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En lokal bruger kan indlæse usignerede kerneudvidelser

    Beskrivelse: Der var et TOCTOU-problem (time-of-check time-of-use) med race condition ved godkendelse af stier til kerneudvidelser. Problemet er løst ved forbedret kontrol ved godkendelse af stier til kerneudvidelser.

    CVE-id

    CVE-2015-3709: Ian Beer fra Google Project Zero

  • Mail

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En skadelig e-mail kan erstatte beskedens indhold med en vilkårlig webside, når beskeden vises

    Beskrivelse: Der opstod et problem med understøttelse af HTML-baseret e-mail, der gjorde det muligt at opdatere indholdet i en besked med en vilkårlig webside. Problemet er løst ved begrænset understøttelse af HTML-indhold.

    CVE-id

    CVE-2015-3710: Aaron Sigel fra vtty.com, Jan Souček

  • ntfs

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem i NTFS, som kunne have medført afsløring af kernehukommelsens indhold. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3711: Peter Rutenbar, som arbejder for HP's Zero Day Initiative

  • ntp

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker i en priviligeret position kan udføre et DoS-angreb (Denial-of-Service) mod to ntp-klienter

    Beskrivelse: Der opstod flere problemer med godkendelsen af ntp-pakker ved modtagelse på konfigurerede slutpunkter. Problemet er løst ved forbedret styring af forbindelsestilstande.

    CVE-id

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Beskrivelse: Der findes flere sikkerhedsrisici i OpenSSL – bl.a. en, der gjorde det muligt for en hacker at opfange forbindelser til en server, der understøtter eksportchifre

    Beskrivelse: Der var flere problemer i OpenSSL 0.9.8zd, som er løst ved at opdatere OpenSSL til version 0.9.8zf.

    CVE-id

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt filmarkiv kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i QuickTime. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-3661: G. Geshev, som arbejder for HP's Zero Day Initiative

    CVE-2015-3662: kdot, som arbejder for HP's Zero Day Initiative

    CVE-2015-3663: kdot, som arbejder for HP's Zero Day Initiative

    CVE-2015-3666: Steven Seeley fra Source Incite, som arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3667: Ryan Pentney, Richard Johnson fra Cisco Talos og Kai Lu fra Fortinets FortiGuard Labs

    CVE-2015-3668: Kai Lu fra Fortinets FortiGuard Labs

    CVE-2015-3713 : Apple

  • Sikkerhed

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med heltalsoverløb i sikkerheds-frameworkskoden til parsing af S/MIME-e-mail og visse andre signerede eller krypterede objekter. Problemet er løst ved forbedret kontrol af godkendelse.

    CVE-id

    CVE-2013-1741

  • Sikkerhed

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Det forhindres muligvis ikke, at svindelprogrammer åbnes

    Beskrivelse: Programmer med tilpassede ressourceregler kan have været udsat for manipulation, så signaturen ikke blev erklæret ugyldig. Problemet er løst ved forbedret kontrol af ressourcer.

    CVE-id

    CVE-2015-3714: Joshua Pitts fra Leviathan Security Group

  • Sikkerhed

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan tilsidesætte kontrol af kodesignering

    Beskrivelse: Der opstod et problem, hvor kodesignering ikke kontrollerede biblioteker, der blev indlæst uden for programpakken. Problemet er løst ved forbedret kontrol af pakker.

    CVE-id

    CVE-2015-3715: Patrick Wardle fra Synack

  • Spotlight

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.3

    Effekt: Søgning efter et skadeligt arkiv med Spotlight kan medføre kommandoindsættelse

    Beskrivelse: Der var en sikkerhedsrisiko forbundet med kommandoindsættelse ved behandling af arkivnavne på fotos, som blev føjet til det lokale fotobibliotek. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3716: Apple

  • SQLite

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere bufferoverløb i SQLites implementering af printf. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3717: Peter Rutenbar, som arbejder for HP's Zero Day Initiative

  • SQLite

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En skadelig SQL-kommando kan tillade pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et API-problem i SQLite-funktionen. Problemet er løst ved forbedrede begrænsninger.

    CVE-id

    CVE-2015-7036: Peter Rutenbar, som arbejder for HP's Zero Day Initiative

  • System Stats

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan beskadige systemstatsd

    Beskrivelse: Der opstod et problem med typeforveksling ved systemstatsd-behandlingen af kommunikation mellem processer. Ved at sende en skadelig meddelelse til systemstatsd kunne der køres vilkårlig kode som systemstatsd-processen. Problemet er løst ved forbedret kontrol af typer.

    CVE-id

    CVE-2015-3718: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • TrueTypeScaler

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • Zip

    Fås til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Udpakning af et skadeligt .zip-arkiv vha. udpakningsværktøjet kan medføre pludselig programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse ved behandling af zip-arkiver. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 omfatter sikkerhedsindholdet i Safari 8.0.7.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: