Sikkerhedsindholdet i OS X El Capitan v10.11.

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X El Capitan v10.11.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X El Capitan v10.11

  • Adressebog

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan indsætte vilkårlig kode i processer, der indlæser Adressebogs-framework

    Beskrivelse: Der var et problem med den behandling af en miljøvariabel, som Adressebogs-framework udfører. Problemet er løst ved forbedret behandling af miljøvariabler.

    CVE-id

    CVE-2015-5897: Dan Bastone fra Gotham Digital Science

  • AirScan

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker i en privilegeret netværksposition kan trække data ud af eSCL-pakker, der sendes via en sikker forbindelse

    Beskrivelse: Der var et problem med håndteringen af eSCL-pakker. Problemet er løst ved at anvende forbedrede godkendelseskontroller.

    CVE-id

    CVE-2015-5853: En anonym anmelder

  • apache_mod_php

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Der var flere sårbarheder i PHP

    Beskrivelse: Der opstod flere sikkerhedsrisici i PHP-versionerne før 5.5.27 – blandt andet et problem, der kunne medføre kørsel af ekstern kode. Problemet er løst ved at opdatere PHP til version 5.5.27.

    CVE-id

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan opnå adgang til en brugers nøgleringselementer

    Beskrivelse: Der var et problem ved bekræftelse af adgangskontrollister for iCloud-nøgleringselementer. Problemet er løst ved forbedret kontrol af adgangskontrollister.

    CVE-id

    CVE-2015-5836: XiaoFeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University

  • AppleEvents

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En bruger, der er tilsluttet via skærmdeling, kan sende Apple Events til en lokal brugers session

    Beskrivelse: Der var et problem med Apple Event-filtrering, som gjorde det muligt for nogle brugere at sende events til andre brugere. Problemet er løst ved forbedret behandling af Apple Events.

    CVE-id

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Lyd

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejl.: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • bash

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedsrisici i bash

    Beskrivelse: Der var flere sikkerhedsrisici i bash før version 3.2, sikkerhedsrettelsesniveau 57. Problemerne er løst ved at opdatere bash-version 3.2 til sikkerhedsrettelsesniveau 57.

    CVE-id

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Politik for certifikatgodkendelse

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/da-dk/HT202858.

  • CFNetwork-cookies

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet

    Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af topniveaudomæner. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.

    CVE-id

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Skadelige FTP-servere kan forårsage, at klienten udfører rekognoscering af andre værter

    Beskrivelse: Der var et problem ved håndtering af FTP-pakker, når PASV-kommandoen blev anvendt. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En skadelig URL-adresse kan muligvis tilsidesætte HSTS og lække følsomme data

    Beskrivelse: Der var en URL-parsing-sikkerhedsrisiko ved HSTS-behandling. Problemet er løst ved forbedret URL-parsing.

    CVE-id

    CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork HTTPProtocol

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange netværkstrafik

    Beskrivelse: Der var et problem ved behandling af forudindlæste HSTS-lister i funktionen privat browser i Safari. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-5859: Rosario Giustolisi fra University of Luxembourg

  • CFNetwork HTTPProtocol

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari

    Beskrivelse: Der var et problem ved behandling af HSTS-tilstanden i funktionen Privat browser i Safari. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd

  • CFNetwork-proxyservere

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted

    Beskrivelse: Der var et problem ved behandling af proxyforbindelsessvar. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.

    CVE-id

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.

    CVE-id

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork SSL

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker kan dekryptere SSL-beskyttede data

    Beskrivelse: Der er kendskab til angreb på fortroligheden i RC4. En hacker kunne fremtvinge brugen af RC4, selv om serveren foretrækker bedre kryptering, ved at blokere forbindelser fra TLS 1.0 og opefter, indtil CFNetwork prøvede SSL 3.0, som kun tillader RC4. Problemet er løst ved at fjerne fallback til SSL 3.0.

  • CoreCrypto

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker kan bestemme en privat nøgle

    Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.

  • CoreText

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5876: beist fra grayhash

  • Dev Tools

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et program kan tilsidesætte kodesignering

    Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5839: @PanguTeam

  • Diskbilleder

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5847: Filippo Bigarella og Luca Todesco

  • dyld

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et program kan tilsidesætte kodesignering

    Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan forhindre nogle systemer i at starte

    Beskrivelse: Der var et problem med adresser, der er dækket af registret over det beskyttede område. Problemet er løst ved at ændre det beskyttede område.

    CVE-id

    CVE-2015-5900: Xeno Kovah og Corey Kallenberg fra LegbaCore

  • EFI

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt Apple Ethernet Thunderbolt-mellemstik kan medføre firmwareoverskrivning

    Beskrivelse: Apple Ethernet Thunderbolt-mellemstik kan ændre værtsfirmwaren, hvis de blev tilsluttet under en EFI-opdatering. Problemet er løst ved ikke at indlæse ekstern ROM under opdateringer.

    CVE-id

    CVE-2015-5914: Trammell Hudson fra Two Sigma Investments og snare

  • Finder

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Funktionen "Sikker tømning af papirkurv" sletter muligvis ikke arkiverne i papirkurven på en sikker måde

    Beskrivelse: Der var et problem med at garantere sikker sletning af arkiver i papirkurven på nogle computere – f.eks. computere med flashlager. Problemet er løst ved at fjerne indstillingen "Sikker tømning af papirkurv".

    CVE-id

    CVE-2015-5901: Apple

  • Game Center

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt Game Center-program kan muligvis få adgang til en spillers e-mailadresse

    Beskrivelse: Der var et problem i Game Center ved behandling af en spillers e-mail. Problemet blev løst via forbedret adgangsbegrænsning.

    CVE-id

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker kan gentage Kerberos-adgangsoplysninger for SMB-serveren

    Beskrivelse: Der var et godkendelsesproblem i Kerberos-adgangsoplysningerne. Problemet er løst ved yderligere godkendelse af adgangsoplysningerne ved hjælp af en liste med de senest anvendte adgangsoplysninger.

    CVE-id

    CVE-2015-5913: Tarun Chopra fra Microsoft Corporation, USA, og Yu Fan fra Microsoft Corporation, Kina

  • ICU

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedsrisici i ICU

    Beskrivelse: Der var flere sikkerhedsrisici i ICU før version 53.1.0. Problemerne er løst ved at opdatere ICU til version 55.1.

    CVE-id

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922 : Mark Brand fra Google Project Zero

  • Install Framework Legacy

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan opnå rodrettigheder

    Beskrivelse: Der var et begrænsningsproblem i "Installer privat framework" indeholdende et eksekverbart arkiv med rettigheder. Problemet er løst ved at fjerne det eksekverbare arkiv.

    CVE-id

    CVE-2015-5888: Apple

  • Intel Graphics Driver

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i Intel-grafikdriveren. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i IOAudioFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved at ombytte kernemarkører.

    CVE-id

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5871: Ilja van Sprundel fra IOActive

    CVE-2015-5872: Ilja van Sprundel fra IOActive

    CVE-2015-5873: Ilja van Sprundel fra IOActive

    CVE-2015-5890: Ilja van Sprundel fra IOActive

  • IOGraphics

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i IOGraphics, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet blev løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i IOHIDFamily. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li fra Trend Micro

  • IOStorageFamily

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan læse kernehukommelsen

    Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol

    Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.

    CVE-id

    CVE-2015-5882: Pedro Vilaça, der arbejder ud fra oprindelig research af Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan styre værdien af stakcookies

    Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemerne er løst ved forbedret generering af stakcookies.

    CVE-id

    CVE-2013-3951: Stefan Esser

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker kan starte DoS-angreb på TCP-forbindelser uden at kende det korrekte sekvensnummer

    Beskrivelse: Der var et problem med XNU-godkendelse af TCP-pakkeheadere. Problemet er løst ved forbedret godkendelse af TCP-pakkeheadere.

    CVE-id

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker i et lokalt LAN-segment kan deaktivere IPv6-routing

    Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.

    CVE-id

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem, som bevirkede, at kernehukommelsens opsætning blev afsløret. Problemet er løst ved forbedret initialisering af kernehukommelsesstrukturerne.

    CVE-id

    CVE-2015-5842: beist fra grayhash

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i fejlfindingsgrænsefladerne, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved at rense outputtet fra fejlfindingsgrænsefladerne.

    CVE-id

    CVE-2015-5870: Apple

  • Kernel

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

    Beskrivelse: Der var et statusadministrationsproblem i fejlfindingsfunktionerne. Problemet er løst ved forbedret godkendelse.

    CVE-id

    CVE-2015-5902: Sergi Alvarez (pancake) fra NowSecure Research Team

  • libc

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i fflush-funktionen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation

  • libpthread

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • libxpc

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Mange SSH-forbindelser kunne forårsage DoS

    Beskrivelse: launchd havde ingen grænse for antallet af processer, der kunne startes af en netværksforbindelse. Problemet er løst ved at begrænse antallet af SSH-processer til 40.

    CVE-id

    CVE-2015-5881: Apple

  • Log ind-vindue

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Skærmlåsen aktiveres muligvis ikke efter det angivne tidsrum

    Beskrivelse: Der var et problem med gemt låsning af skærmen. Problemet er løst ved forbedret behandling af låsen.

    CVE-id

    CVE-2015-5833: Carlos Moreira, Rainer Dorau fra rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera og Jon Hall fra Asynchrony

  • lukemftpd

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En ekstern hacker kan blokere for FTP-serveren

    Beskrivelse: Der var et problem med glob-behandling i tnftpd. Problemet er løst ved forbedret glob-godkendelse.

    CVE-id

    CVE-2015-5917: Maksymilian Arciemowicz fra cxsecurity.com

  • Mail

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Ved udskrivning af en e-mail kan der blive lækket følsomme brugeroplysninger

    Beskrivelse: Der var et problem i Mail, så brugerindstillingerne blev tilsidesat ved udskrivning af en e-mail. Problemet er løst ved forbedret gennemførelse af brugerindstillingerne.

    CVE-id

    CVE-2015-5881: Owen DeLong fra Akamai Technologies, Noritaka Kamiya, Dennis Klein fra Eschenburg, Tyskland, og Jeff Hammett fra Systim Technology Partners

  • Mail

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En hacker i en privilegeret netværksposition kunne opsnappe bilag til S/MIME-krypteret e-mail afsendt via Mail Drop

    Beskrivelse: Der var et problem ved behandling af krypteringsparametre for store e-mailbilag, der er sendt via Mail Drop. Problemet er løst ved ikke længere at tilbyde Mail Drop, når der sendes en krypteret e-mail.

    CVE-id

    CVE-2015-5884: John McCombs fra Integrated Mapping Ltd

  • Multipeer-forbindelse

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan observere ubeskyttede multipeer-data

    Beskrivelse: Der var et problem med behandling af convenience-initialisering, hvor krypteringen aktivt kunne nedgraderes til en ikke-krypteret session. Problemet er løst ved at ændre convenience-initialisering, så der kræves kryptering.

    CVE-id

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem

  • NetworkExtension

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem med ikke-initialiseret hukommelse i kernen, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved forbedret hukommelsesinitialisering.

    CVE-id

    CVE-2015-5831: Maxime Villard fra m00nbsd

  • Bemærkninger

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

    Beskrivelse: Der var et problem i parsinghenvisninger i programmet Noter. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5878: Craig Young fra Tripwire VERT og en anonym anmelder

  • Bemærkninger

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

    Beskrivelse: Der var et problem med scripting på tværs af websteder ved parsing af tekst i programmet Noter. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5875: xisigr fra Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedsrisici i OpenSSH

    Beskrivelse: Der var flere sikkerhedsrisici i OpenSSH før version 6.9. Problemerne er løst ved at opdatere OpenSSH til version 6.9.

    CVE-id

    CVE-2014-2532

  • OpenSSL

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedshuller i OpenSSL

    Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.

    CVE-id

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedsrisici i procmail

    Beskrivelse: Der var flere sikkerhedsrisici i procmail før version 3.22. Problemerne er løst ved at fjerne procmail.

    CVE-id

    CVE-2014-3618

  • remote_cmds

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan køre vilkårlig kode med rodrettigheder

    Beskrivelse: Der var et problem med rsh-binary-brugen af miljøvariabler. Problemet er løst ved at fjerne setuid-rettighederne fra rsh-binary.

    CVE-id

    CVE-2015-5889: Philip Pettersson

  • removefile

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Behandling af skadelige data kan medføre pludselig applukning

    Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.

    CVE-id

    CVE-2015-5840: En anonym anmelder

  • Ruby

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sårbarheder i Ruby

    Beskrivelse: Der var flere sikkerhedsrisici i Ruby før version 2.0.0p645. Problemerne er løst ved at opdatere Ruby til version 2.0.0p645.

    CVE-id

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Sikkerhed

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Nøgleringens låsestatus kan blive vist forkert for brugeren

    Beskrivelse: Der var et statusadministrationsproblem i den måde, nøgleringsstatussen blev sporet. Problemet er løst ved forbedret statusadministration.

    CVE-id

    CVE-2015-5915: Peter Walz fra University of Minnesota, David Ephron og Eric E. Lawrence, Apple

  • Sikkerhed

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En tillidsevaluering, der er konfigureret til at kræve tilbagekaldskontrol, kan være positiv, selv om tilbagekaldskontrollen mislykkes

    Beskrivelse: Indikatoren kSecRevocationRequirePositiveResponse var angivet, men ikke implementeret. Problemet er løst ved at implementere indikatoren.

    CVE-id

    CVE-2015-5894: Hannes Oud fra kWallet GmbH

  • Sikkerhed

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En ekstern server kan bede om et certifikat, før den har identificeret sig

    Beskrivelse: Secure Transport accepterede CertificateRequest-meddelelsen før ServerKeyExchange-meddelelsen. Problemet er løst ved at kræve ServerKeyExchange først.

    CVE-id

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra INRIA Paris-Rocquencourt, Cedric Fournet og Markulf Kohlweiss fra Microsoft Research samt Pierre-Yves Strub fra IMDEA Software Institute

  • SMB

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5891: Ilja van Sprundel fra IOActive

  • SMB

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i SMBClient, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5893: Ilja van Sprundel fra IOActive

  • SQLite

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Flere sikkerhedsrisici i SQLite v3.8.5

    Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Problemerne er løst ved at opdatere SQLite til version 3.8.10.2.

    CVE-id

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefoni

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan foretage telefonopkald, uden at brugeren ved det, når der bruges Kontinuitet

    Beskrivelse: Der var et problem med godkendelseskontroller, når der blev foretaget telefonopkald. Problemet er løst ved forbedrede godkendelseskontroller.

    CVE-id

    CVE-2015-3785: Dan Bastone fra Gotham Digital Science

  • Terminal

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Skadelig tekst kan føre brugeren på vildspor i Terminal

    Beskrivelse: Terminal behandlede ikke tovejstilsidesættelsestegn på samme måde ved visning og valg af tekst. Problemet er løst ved at skjule tovejstilsidesættelsestegn i Terminal.

    CVE-id

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i tidy. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

  • Time Machine

    Fås til: Mac OS X v10.6.8 og nyere versioner

    Effekt: En lokal hacker kan opnå adgang til nøgleringselementer

    Beskrivelse: Der var et problem i sikkerhedskopier udført af Time Machine-framework. Problemet er løst ved forbedret dækning af Time Machine-sikkerhedskopier.

    CVE-id

    CVE-2015-5854: Jonas Magazinius fra Assured AB

Bemærk: Sikkerhedsindholdet i Safari 9 er indeholdt i OS X El Capitan v10.11.

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: