Tietoja OS X Yosemite 10.10.5:n ja suojauspäivitys 2015-006:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan OS X Yosemite 10.10.5:n ja suojauspäivitys 2015-006:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Yosemite 10.10.5 ja suojauspäivitys 2015-006
apache
Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.
Vaikutus: Apache 2.4.16:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.
Kuvaus: Apache 2.4.16:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Apache versioon 2.4.16.
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.
Vaikutus: PHP 5.5.20:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: PHP 5.5.20:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä PHP versioon 5.5.27.
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple ID:n OD-liitännäinen
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä vaihtamaan paikallisen käyttäjän salasanan.
Kuvaus: Salasanatodennuksessa oli joissain olosuhteissa tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2015-3799: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija
AppleGraphicsControl
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: AppleGraphicsControlissa oli ongelma, joka saattoi aiheuttaa kernel-muistin asettelun paljastumisen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5768: KeenTeamin JieTao Yang
Bluetooth
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOBluetoothHCIControllerissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3779: Facebook Securityn Teddy Reed
Bluetooth
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernel-muistin asettelu saattoi paljastua muistinhallintaongelman vuoksi. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3780: Emaze Networksin Roberto Paleari ja Aristide Fattori
Bluetooth
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi päästä muiden iCloudia käyttävien laitteiden ilmoituksin.
Kuvaus: Jos Macista tai iOS-laitteesta oli muodostettu laitepari Bluetoothin avulla, haittaohjelma saattoi päästä ilmoituksiin, jotka olivat sen Ilmoituskeskuksessa. Ongelma koski laitteita, jotka käyttivät Handoffia ja jotka olivat kirjautuneena samalle iCloud-tilille. Ongelma on ratkaistu kumoamalla pääsy Applen ilmoituskeskuspalveluun.
CVE-ID
CVE-2015-3786: Xiaolong Bai (Tsinghuan yliopisto), System Security Lab (Indianan yliopisto), Tongxin Li (Pekingin yliopisto) ja XiaoFeng Wang (Indianan yliopisto)
Bluetooth
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä väärin muotoiltuja Bluetooth-paketteja.
Kuvaus: Bluetoothin ACL-pakettien jäsentämisessä oli syötön tarkistusongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-3787: Trend Micro
Bluetooth
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: bluedin tavassa käsitellä XPC-viestejä oli useita puskurin ylivuoto-ongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.
CVE-ID
CVE-2015-3777: [PDX]:n mitp0sh
bootp
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallinen Wi-Fi-verkko saattoi pystyä selvittämään verkot, joita laitteesta oli aiemmin käytetty.
Kuvaus: Kun laite yhdistettiin Wi-Fi-verkkoon, iOS saattoi lähettää aiemmin käytettyjen verkkojen MAC-osoitteet DNAv4-protokollan kautta. Ongelma on ratkaistu poistamalla DNAv4 käytöstä salaamattomissa Wi-Fi-verkoissa.
CVE-ID
CVE-2015-3778: Oxfordin yliopiston Oxford Internet Instituten Piers O'Hanlon (EPSRC Being There -hankkeen puitteissa)
CloudKit
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi päästä aiemmin kirjautuneena olleen käyttäjän iCloud-käyttäjätietoihin.
Kuvaus: CloudKitissä oli tilan ristiriitaisuus käyttäjien uloskirjaamisessa. Ongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-ID
CVE-2015-3782: Toronton yliopiston Deepkanwal Plaha
CoreMedian toisto-ominaisuudet
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: CoreMedian toisto-ominaisuuksissa oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-5761: John Villamil (@day6reak) ja Yahoo Pentest Team
CoreText
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak) ja Yahoo Pentest Team
curl
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: cURL ja libcurl 7.38.0:aa edeltävissä versioissa oli useita haavoittuvuuksia, joista yksi saattoi johtaa siihen, että etähyökkääjä pystyi ohittamaan samaa alkuperää koskevan käytännön.
Kuvaus: cURL ja libcurl 7.38.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä cURL versioon 7.43.0.
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Unicode-merkkisarjan käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Unicode-merkkien käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5750: Safeye Teamin (www.safeye.org) M1x7e1
Päivämäärä ja aika -asetuspaneeli
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Järjestelmän aikaa käyttävät ohjelmat saattoivat toimia odottamattomalla tavalla.
Kuvaus: Järjestelmän päivämäärä- ja kellonaika-asetusten muokkaamisessa oli valtuutusongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.
CVE-ID
CVE-2015-3757: Mark S C Smith
Sanakirja-ohjelma
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan käyttäjän Sanakirja-ohjelmassa tekemät kyselyt.
Kuvaus: Sanakirja-ohjelmassa oli ongelma, jonka vuoksi käyttäjän tietoliikennettä ei suojattu asianmukaisesti. Ongelma on ratkaistu asettamalla Sanakirja-kyselyt käyttämään HTTPS:ää.
CVE-ID
CVE-2015-3774: EEQJ:n Jeffrey Paul ja Google Security Teamin Jan Bee
Levytiedostot
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.
Kuvaus: Väärin muotoiltujen DMG-kuvien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3800: Yahoo Pentest Teamin Frank Graziano
dyld
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: dyldissä oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.
CVE-ID
CVE-2015-3760: grayhashin beist sekä Stefan Esser
FontParser
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-5756: John Villamil (@day6reak) ja Yahoo Pentest Team
groff
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: pdfroffissa oli useita ongelmia.
Kuvaus: pdfroffissa oli useita ongelmia, joista vakavin saattoi mahdollistaa tiedostojärjestelmän mielivaltaisen muokkaamisen. Ongelmat on ratkaistu poistamalla pdfroff.
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen TIFF-kuvan käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: TIFF-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Vierailu haitallisella verkkosivustolla saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ImageIO-komponentin tavassa käsitellä PNG- ja TIFF-kuvia oli alustamattoman muistin käyttöön liittyvä ongelma. Vierailu haitallisella verkkosivustolla saattoi aiheuttaa sen, että verkkosivustolle lähetettiin tietoja prosessimuistista. Ongelma on ratkaistu parantamalla muistin alustamista sekä suorittamalla PNG- ja TIFF-kuvien lisätarkistus.
CVE-ID
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework (vanha)
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Install.frameworkin runner-binäärin tavassa luopua käyttöoikeuksista oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeuksien hallintaa.
CVE-ID
CVE-2015-5784: Google Project Zeron Ian Beer
Install Framework (vanha)
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Install.frameworkin runner-binäärissä oli kilpailutilanne, jonka vuoksi se luopui käyttöoikeuksista virheellisesti. Ongelma on ratkaistu parantamalla objektien lukitusta.
CVE-ID
CVE-2015-5754: Google Project Zeron Ian Beer
IOFireWireFamily
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOFireWireFamilyssa oli muistin vioittumisongelmia. Ongelmat on ratkaistu suorittamalla tekstin syötön lisätarkistus.
CVE-ID
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOGraphicsissa oli muistin vioittumisongelma. Ongelma on ratkaistu suorittamalla tekstin syötön lisätarkistus.
CVE-ID
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: mach_port_space_info-liitännässä oli ongelma, jonka vuoksi kernel-muistin asettelu saattoi paljastua. Ongelma on ratkaistu poistamalla mach_port_space_info-liitäntä käytöstä.
CVE-ID
CVE-2015-3766: Alibaba Mobile Security Teamin Cererdlong sekä @PanguTeam
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKit API-argumenttien tarkistusta.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: Fasttrap-ajurissa oli resurssien loppumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5747: m00nbsd:n Maxime Villard
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: HFS-taltioiden tuomisessa näkyviin oli tarkistusongelma. Ongelma on ratkaistu lisätarkistuksilla.
CVE-ID
CVE-2015-5748: m00nbsd:n Maxime Villard
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan allekirjoittamatonta koodia.
Kuvaus: Allekirjoittamattoman koodin laajentaminen allekirjoitetuksi koodiksi oli mahdollista erityisesti luodussa suoritustiedostossa. Ongelma on ratkaistu parantamalla koodin allekirjoituksen tarkistusta.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Erityisesti luotu suoritustiedosto saattoi sallia allekirjoittamattoman haittakoodin suorittamisen.
Kuvaus: Eri arkkitehtuureja tukevien suoritustiedostojen arviointitavassa oli virhe, jonka vuoksi allekirjoittamattoman koodin suorittaminen saatettiin sallia. Ongelma on ratkaistu parantamalla suoritustiedostojen tarkistusta.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan allekirjoittamatonta koodia.
Kuvaus: Mach-O-tiedostojen käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu lisätarkistuksilla.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen plistin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.
Kuvaus: Väärin muotoiltujen plistien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3776: Facebook Securityn Teddy Reed ja Jinx Germanyn Patrick Stein (@jollyjinx)
Kernel
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Järjestelmässä oli polun tarkistamisongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.
CVE-ID
CVE-2015-3761: Apple
Libc
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen säännöllisen lausekkeen käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: TRE-kirjastossa oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-3796: Google Project Zeron Ian Beer
CVE-2015-3797: Google Project Zeron Ian Beer
CVE-2015-3798: Google Project Zeron Ian Beer
Libinfo
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: AF_INET6-socketien käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5776: Apple
libpthread
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Syscallien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.
CVE-ID
CVE-2015-5757: Qihoo 360:n Lufeng Li
libxml2
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Kuvaus: libxml2 2.9.2:ta edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.
Kuvaus: libxml2 2.9.2:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä libxml2 versioon 2.9.2.
CVE-ID
CVE-2012-6685: Googlen Felix Groebert
CVE-2014-0191: Googlen Felix Groebert
libxml2
Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: libxml2:ssa oli muistin käyttöongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2014-3660: Googlen Felix Groebert
libxml2
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: XML-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3807: Apple
libxpc
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Väärin muotoiltujen XPC-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-3795: Mathew Rowley
mail_cmds
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaisia komentotulkkikomentoja.
Kuvaus: Sähköpostiosoitteiden mailx-jäsentämisessä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla siivoamista.
CVE-ID
CVE-2014-7844
OS X:n Ilmoituskeskus
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haittaohjelma saattoi päästä kaikkiin ilmoituksiin, jotka oli aiemmin näytetty käyttäjille.
Kuvaus: Ilmoituskeskuksessa oli ongelma, jonka vuoksi käyttäjäilmoituksia ei poistettu asianmukaisesti. Ongelma on ratkaistu poistamalla käyttäjien sulkemat ilmoitukset oikein.
CVE-ID
CVE-2015-3764: Jonathan Zdziarski
ntfs
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: NTFS:ssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5763: Emaze Networksin Roberto Paleari ja Aristide Fattori
OpenSSH
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Etähyökkääjät saattoivat pystyä kiertämään epäonnistuneiden kirjautumisyritysten aikaviiveen ja suorittamaan väsytyshyökkäyksiä.
Kuvaus: Näppäimistöä käyttävien laitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla todentamispyyntöjen tarkistamista.
CVE-ID
CVE-2015-5600
OpenSSL
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.
Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen säännöllisen lausekkeen jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen paljastumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Perlin tavassa jäsentää säännöllisiä lausekkeita oli kokonaisluvun alivuoto-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2013-7422
PostgreSQL
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan ohjelman odottamattoman sulkeutumisen tai saada pääsyn tietoihin ilman asianmukaista todentamista.
Kuvaus: PostgreSQL 9.2.4:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä PostgreSQL versioon 9.2.13.
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Python 2.7.6:ssa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Python 2.7.6:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Python versioon 2.7.10.
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Office-dokumenttien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5773: Apple
QL Office
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen XML-tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: XML-tiedostojen jäsentämisessä oli ulkoiseen entiteettiin liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.
CVE-ID
CVE-2015-3784: INTEGRITY S.A.:n Bruno Morisson
Quartz Composer -sovelluskehys
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen QuickTime-tiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: QuickTime-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5771: Apple
Pikakatselu
Saatavuus: OS X Yosemite 10.10–10.10.4.
Kuvaus: Aiemmin tarkastellun verkkosivuston hakeminen saattoi käynnistää verkkoselaimen ja näyttää kyseisen verkkosivuston.
Kuvaus: Pikakatselussa oli ongelma, jonka vuoksi siinä pystyttiin suorittamaan JavaScript-koodia. Ongelma on ratkaistu estämällä JavaScriptin suorittaminen.
CVE-ID
CVE-2015-3781: Facebookin Andrew Pouliot ja Qubolen Anto Loyola
QuickTime 7
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: QuickTimessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: QuickTimessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-3765: Audio Poisonin Joe Burnett
CVE-2015-3788: Cisco Talosin Ryan Pentney ja Richard Johnson
CVE-2015-3789: Cisco Talosin Ryan Pentney ja Richard Johnson
CVE-2015-3790: Cisco Talosin Ryan Pentney ja Richard Johnson
CVE-2015-3791: Cisco Talosin Ryan Pentney ja Richard Johnson
CVE-2015-3792: Cisco Talosin Ryan Pentney ja Richard Johnson
CVE-2015-5751: WalkerFuz
SceneKit
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen Collada-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: SceneKitin tavassa käsitellä Collada-tiedostoja oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla syötön tarkistamista.
CVE-ID
CVE-2015-5772: Apple
SceneKit
Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: SceneKitissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3783: Google Security Teamin Haris Andrianakis
Suojaus
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Tavallinen käyttäjä saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.
Kuvaus: Käyttäjien todentamisessa oli ongelma. Ongelma on ratkaistu parantamalla todentamistarkistuksia.
CVE-ID
CVE-2015-3775: [Eldon Ahrold]
SMB-asiakas
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: SMB-asiakkaassa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3773: Ilja van Sprundel
Puhekäyttöliittymä
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen unicode-merkkijonon jäsentäminen puheilmoitusten ollessa käytössä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Unicode-merkkijonojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-3794: Refinitiven Adam Greenbaum
sudo
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: sudo 1.7.10p9:ää edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että hyökkääjä pääsi mielivaltaisiin tiedostoihin.
Kuvaus: sudo 1.7.10p9:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä sudo versioon 1.7.10p9.
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Saatavuus: OS X Yosemite 10.10–10.10.4.
Kuvaus: tcpdump 4.7.3:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.
Kuvaus: tcpdump 4.7.3:a edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä tcpdump versioon 4.7.3.
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Tekstimuodot
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: TeXturin jäsentämisessä oli ulkoiseen XML-entiteettiin liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.
CVE-ID
CVE-2015-3762: Evernote Security Teamin Xiaoyong Wu
udf
Saatavuus: OS X Yosemite 10.10–10.10.4.
Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.
Kuvaus: Väärin muotoiltujen DMG-kuvien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-3767: grayhashin beist
OS X Yosemite 10.10.5:ssä on Safari 8.0.8:n turvallisuussisältö.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.