Sikkerhedsindholdet i OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Yosemite v10.10.5 og sikkerhedsopdatering 2015-006

  • apache

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i Apache-versionerne før 2.4.16, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb

    Beskrivelse: Der var flere sikkerhedshuller i Apache-versionerne før 2.4.16. Problemerne løses ved at opdatere Apache til version 2.4.16.

    CVE-id

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedsrisici i PHP 5.5.20, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere sikkerhedshuller i PHP-versionerne før 5.5.20. Problemerne løses ved at opdatere Apache til version 5.5.27.

    CVE-id

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD-tilbehør

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis ændre en lokal brugers adgangskode

    Beskrivelse: I nogle tilfælde var der et problem med tilstandsstyring i adgangskodegodkendelsen. Problemet er løst ved at forbedre tilstandsstyring.

    CVE-id

    CVE-2015-3799: En anonym programmør, som arbejder for HP's Zero Day Initiative

  • AppleGraphicsControl

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem i AppleGraphicsControl, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5768: JieTao Yang fra KeenTeam

  • Bluetooth

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOBluetoothHCIController. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3779: Teddy Reed fra Facebook Security

  • Bluetooth

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem med hukommelsesstyring, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3780: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • Bluetooth

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En skadelig app kan muligvis få adgang til meddelelser fra andre iCloud-enheder

    Beskrivelse: Der var et problem med, at en skadelig app kunne få adgang til meddelelser fra Meddelelsescenter på en Mac eller iOS-enhed, der var parret via Bluetooth, via Apple Notification Center Service. Problemet vedrørte enheder, der brugte Handoff og var logget på samme iCloud-konto. Problemet er løst ved at fjerne adgangen til Apple Notification Center Service.

    CVE-id

    CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En hacker med en privilegeret netværksposition kan muligvis udføre et DoS-angreb (Denial-of-Service) ved hjælp af skadelige Bluetooth-pakker

    Beskrivelse: Der var et problem med godkendelse af input ved parsing af Bluetooth ACL-pakker. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med bufferoverløb ved blued's behandling af XPC-meddelelser. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3777: mitp0sh fra [PDX]

  • bootp

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt Wi-Fi-netværk kan muligvis registrere netværk, som en enhed tidligere har oprettet adgang til.

    Beskrivelse: Efter oprettelse af forbindelse til et Wi-Fi-netværk kan iOS via DNAv4-protokollen udsende MAC-adresser på netværk, som enheden tidligere har oprettet forbindelse til. Problemet er løst ved at slå DNAv4 fra på Wi-Fi-netværk, der ikke er krypterede.

    CVE-id

    CVE-2015-3778: Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (ifm. projekt EPSRC Being There)

  • CloudKit

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis få adgang til iCloud-brugerposten for en bruger, der tidligere har været logget ind

    Beskrivelse: Der var en tilstandsinkonsistens i CloudKit, når brugerne blev logget ud. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-3782: Deepkanwal Plaha fra University of Toronto

  • Afspilning af CoreMedia

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Visning af et skadeligt filmarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var problemer med beskadiget hukommelse i CoreMedia Playback. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i cURL og libcurl før version 7.38.0, og et af hullerne kan gøre det muligt for en ekstern hacker at tilsidesætte Same Origin Policy

    Beskrivelse: Der var flere sikkerhedshuller i cURL og libcurl før version 7.38.0. Problemerne er løst ved at opdatere cURL til version 7.43.0.

    CVE-id

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af en sekvens af Unicode-tegn kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af Unicode-tegn. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5750: M1x7e1 fra Safeye Team (www.safeye.org)

  • Indstillingsvinduet for dato og tid

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Programmer, der er afhængige af systemuret, kan fungere anderledes end normalt

    Beskrivelse: der var et godkendelsesproblem ved ændring af indstillingerne for systemdato og -tid. Problemet er løst ved at indføre yderligere godkendelseskontroller.

    CVE-id

    CVE-2015-3757: Mark S C Smith

  • Ordbogsprogrammet

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En hacker med en privilegeret netværksposition kan muligvis opsnappe brugerens opslag i programmet Ordbog

    Beskrivelse: Der var et problem i programmet Ordbog, så brugerkommunikationen ikke var tilstrækkeligt sikker. Problemet er løst ved at flytte ordbogsforespørgsler til HTTPS.

    CVE-id

    CVE-2015-3774: Jeffrey Paul fra EEQJ, Jan Bee fra Google Security Team

  • DiskImages

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt DMG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af skadelige DMG-billeder. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3800: Frank Graziano fra Yahoo Pentest Team 

  • dyld

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med stigodkendelse i dyld. Problemet er løst ved forbedret rensning af omgivelserne.

    CVE-id

    CVE-2015-3760: beist fra grayhash, Stefan Esser

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere problemer i pdfroff

    Beskrivelse: Der var flere problemer i pdfroff, hvoraf de mest alvorlige kan medføre vilkårlige ændringer af arkivsystemet. Problemerne er løst ved at fjerne pdfroff.

    CVE-id

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et ondsindet udformet TIFF-billede kan føre til uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af TIFF-billeder. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5758: Apple

  • ImageIO

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Besøg på et skadeligt websted kan medføre afsløring af proceshukommelse

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelsesadgang ved ImageIO-behandling af PNG- og TIFF-billeder. Åbning af et skadeligt websted kan medføre afsendelse af data fra proceshukommelsen til webstedet. Problemet er løst ved forbedret initialisering af hukommelsen samt yderligere godkendelse af PNG- og TIFF-billeder.

    CVE-id

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework Legacy

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

    Beskrivelse: Der var et problem med, at binary for Install.framework ophævede rettigheder. Problemet er løst ved forbedret privilegiestyring.

    CVE-id

    CVE-2015-5784: Ian Beer fra Google Project Zero

  • Install Framework Legacy

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var en "race condition" i binary for Install.framework, som medførte, at der ved en fejl blev fjernet privilegier. Problemet er løst ved forbedret objektlåsning.

    CVE-id

    CVE-2015-5754: Ian Beer fra Google Project Zero

  • IOFireWireFamily

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var problemer med beskadiget hukommelse i IOFireWireFamily. Problemerne er løst ved yderligere godkendelse af input.

    CVE-id

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOGraphics. Problemerne er løst ved yderligere godkendelse af input.

    CVE-id

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med bufferoverløb i IOHIDFamily. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der opstod et problem i mach_port_space_info, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet er løst ved at deaktivere grænsefladen mach_port_space_info.

    CVE-id

    CVE-2015-3766: Cererdlong fra Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et heltalsoverløb ved behandling af IOKit-funktioner. Problemet er løst ved forbedret godkendelse af IOKit-API-argumenter.

    CVE-id

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et problem med opbrugte ressourcer i fasttrap-driveren. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5747: Maxime VILLARD fra m00nbsd

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et godkendelsesproblem ved aktivering af HFS-enheder. Problemet er løst ved at indføre yderligere kontroller.

    CVE-id

    CVE-2015-5748: Maxime VILLARD fra m00nbsd

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En skadelig app kan muligvis køre usigneret kode

    Beskrivelse: Der var et problem, som medførte, at usigneret kode kunne føjes til signeret kode i et særligt tilpasset eksekverbart arkiv. Problemet er løst ved forbedret kodesignaturgodkendelse.

    CVE-id

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et særligt tilpasset eksekverbart arkiv kunne gøre det muligt, at der køres usigneret, skadelig kode

    Beskrivelse: Der var et problem med den måde, eksekverbare arkiver med multiarkitektur (MAB) blev kontrolleret på, som kunne medføre, at der blev kørt usigneret kode. Problemet er løst ved forbedret godkendelse af eksekverbare arkiver.

    CVE-id

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre usigneret kode

    Beskrivelse: Der var et godkendelsesproblem ved behandling af Mach-O-arkiver. Problemet er løst ved at indføre yderligere kontroller.

    CVE-id

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt plist-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige plist-arkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3776: Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany

  • Kernel

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med stigodkendelse. Problemet er løst ved forbedret rensning af omgivelserne.

    CVE-id

    CVE-2015-3761: Apple

  • Libc

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var problemer med beskadiget hukommelse i TRE-biblioteket. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3796: Ian Beer fra Google Project Zero

    CVE-2015-3797: Ian Beer fra Google Project Zero

    CVE-2015-3798: Ian Beer fra Google Project Zero

  • Libinfo

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var problemer med beskadiget hukommelse ved behandling af AF_INET6-sockets. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5776: Apple

  • libpthread

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af systemkald. Problemet er løst ved forbedret kontrol af låsefunktionen.

    CVE-id

    CVE-2015-5757: Lufeng Li fra Qihoo 360

  • libxml2

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb

    Beskrivelse: Der var flere sikkerhedshuller i libxml2-versionerne før 2.9.2. Problemerne er løst ved at opdatere libxml2 til version 2.9.2.

    CVE-id

    CVE-2012-6685: Felix Groebert fra Google

    CVE-2014-0191: Felix Groebert fra Google

  • libxml2

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med beskadiget hukommelse i libxml2. Problemet er løst ved forbedret hukommelsesstyring

    CVE-id

    CVE-2014-3660: Felix Groebert fra Google

  • libxml2

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt XML-dokument kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af XML-arkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3807: Apple

  • libxpc

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skadelige XPC-meddelelser. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre vilkårlige shell-kommandoer

    Beskrivelse: Der var et godkendelsesproblem ved mailx-parsing af e-mailadresser. Problemet er løst ved forbedret rensning.

    CVE-id

    CVE-2014-7844

  • Meddelelsescenter i OS X

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Et skadeligt program kan muligvis få adgang til alle meddelelser, der tidligere er blevet vist for brugerne

    Beskrivelse: Der var et problem i Meddelelsescenter, der gjorde, at brugermeddelelserne ikke blev slettet korrekt. Problemet er løst ved at slette de meddelelser korrekt, som brugeren har kvitteret for.

    CVE-id

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i NTFS. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5763: Roberto Paleari og Aristide Fattori fra Emaze Networks

  • OpenSSH

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En ekstern hacker kan muligvis omgå en forsinkelse ved mislykkede log ind-forsøg og foretage brute force-angreb

    Beskrivelse: Der var et problem ved behandling af tastaturinteraktive enheder. Problemet er løst ved forbedret godkendelse af godkendelsesanmodninger.

    CVE-id

    CVE-2015-5600

  • OpenSSL

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i OpenSSL-versionerne før 0.9.8zg, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre et DoS-angreb

    Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.

    CVE-id

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt regulært udtryk kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et heltalsunderløb i forbindelse med den måde, Perl parsede regulære udtryk. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2013-7422

  • PostgreSQL

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: En hacker kan muligvis fremkalde pludselig programlukning eller få adgang til data uden korrekt godkendelse

    Beskrivelse: Der var flere problemer i PostgreSQL 9.2.4, som er løst ved at opdatere PostgreSQL til 9.2.13.

    CVE-id

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedsrisici i Python 2.7.6, hvoraf de mest alvorlige kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere sikkerhedshuller i Python før version 2.7.6. Problemerne er løst ved at opdatere Python til version 2.7.10.

    CVE-id

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af Office-dokumenter. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5773: Apple

  • QL Office

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med en ekstern entitetsreference ved XML-arkiv-parsing. Problemet er løst ved forbedret parsing.

    CVE-id

    CVE-2015-3784: Bruno Morisson fra INTEGRITY S.A.

  • Quartz Composer Framework

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt QuickTime-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af QuickTime-arkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5771: Apple

  • Vis

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Ved søgning efter en tidligere vist hjemmeside kan webbrowseren starte og gengive hjemmesiden

    Beskrivelse: Der var et problem med, at QuickLook kunne køre JavaScript. Problemet er løst ved at fjerne tilladelsen til at køre JavaScript.

    CVE-id

    CVE-2015-3781: Andrew Pouliot fra Facebook, Anto Loyola fra Qubole

  • QuickTime 7

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i QuickTime. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der opstod flere problemer med beskadiget hukommelse i QuickTime. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3765: Joe Burnett fra Audio Poison

    CVE-2015-3788: Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3789: Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3790: Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3791: Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3792: Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Visning af et skadeligt Collada-arkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et heap-bufferoverløb ved SceneKits behandling af Collada-arkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5772: Apple

  • SceneKit

    Fås til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 samt OS X Yosemite v10.10 til v10.10.4

    Effekt: En ekstern hacker kan forårsage uventet programnedbrud eller vilkårlig kørsel af kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i SceneKit. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3783: Haris Andrianakis fra Google Security Team

  • Sikkerhed

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En standardbruger kan muligvis få adgang til administratorrettigheder uden korrekt godkendelse

    Beskrivelse: Der var et problem ved håndtering af brugergodkendelse. Problemet er løst ved forbedret godkendelseskontrol.

    CVE-id

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: En ekstern hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i SMB-klienten. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3773: Ilja van Sprundel

  • Speech UI

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af en skadelig Unicode-streng med taleadvarsler slået til kan medføre pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af Unicode-strenge. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-3794: Adam Greenbaum fra Refinitive

  • sudo

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i sudo før version 1.7.10p9, hvoraf de mest alvorlige kan give en hacker adgang til vilkårlige arkiver

    Beskrivelse: Der var flere sikkerhedshuller i sudo før version 1.7.10p9. Problemerne er løst ved at opdatere sudo til version 1.7.10p9.

    CVE-id

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Der var flere sikkerhedshuller i tcpdump før version 4.7.3, hvoraf de mest alvorlige kan gøre det muligt for en hacker at udføre DoS-angreb

    Beskrivelse: Der var flere sikkerhedshuller i tcpdump før version 4.7.3. Problemerne løses ved at opdatere tcpdump til version 4.7.3.

    CVE-id

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Tekstformater

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Parsing af et skadeligt tekstarkiv kan medføre afsløring af brugeroplysninger

    Beskrivelse: Der var et problem med en XML-ekstern entitetsreference ved TextEdit-parsing. Problemet er løst ved forbedret parsing.

    CVE-id

    CVE-2015-3762: Xiaoyong Wu fra Evernote Security Team

  • udf

    Fås til: OS X Yosemite v10.10 til v10.10.4

    Effekt: Behandling af et skadeligt DMG-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af skadelige DMG-billeder. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-3767: beist fra grayhash

Sikkerhedsindholdet i Safari 8.0.8 er indeholdt i OS X Yosemite v10.10.5.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: