Tietoja OS X Yosemite 10.10:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Yosemite 10.10:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Yosemite 10.10

  • 802.1X

    Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.

    Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-yhteyspisteenä, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun yhteyspisteeseen todentautumisessa, vaikka se tuki vahvempia todentamismenetelmiä. Ongelma on ratkaistu poistamalla LEAP oletusarvoisesti käytöstä.

    CVE-ID

    CVE-2014-4364: Universiteit Hasseltin Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte

  • AFP-tiedostopalvelin

    Vaikutus: Etähyökkääjä pystyi selvittämään kaikki järjestelmän verkko-osoitteet.

    Kuvaus: AFP-tiedostopalvelin tuki komentoa, joka palautti kaikki järjestelmän verkko-osoitteet. Ongelma on ratkaistu poistamalla osoitteet tuloksesta.

    CVE-ID

    CVE-2014-4426: Tripwire VERTin Craig Young

  • apache

    Vaikutus: Useita haavoittuvuuksia Apachessa.

    Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Ongelmat on ratkaistu päivittämällä Apache versioon 2.4.9.

    CVE-ID

    CVE-2013-6438

    CVE-2014-0098

  • App Sandbox

    Vaikutus: Eristämisrajoitusten rajoittama ohjelma saattoi väärinkäyttää käyttöavun API:a.

    Kuvaus: Eristetty ohjelma saattoi väärinkäyttää käyttöavun API:a käyttäjän tietämättä. Ongelma on ratkaistu vaatimalla ylläpitäjältä ohjelmakohtainen lupa käyttöavun API:n käyttöön.

    CVE-ID

    CVE-2014-4427: Reflare UG:n Paul S. Ziegler

  • Bash

    Vaikutus: Joissakin kokoonpanoissa etähyökkääjä saattoi pystyä suorittamaan mielivaltaisia shell-komentoja.

    Kuvaus: Bashin tavassa jäsentää ympäristömuuttujia oli ongelma. Ongelma on ratkaistu parantamalla ympäristömuuttujien jäsentämistä tunnistamalla funktiolausekkeen loppu paremmin.

    Päivitykseen sisältyy myös ehdotettu CVE-2014-7169-muutos, joka nollaa jäsentimen tilan.

    Lisäksi päivitys lisää uuden nimitilan viedyille funktioille luomalla funktion decorator-elementin, joka estää otsakkeen tahattoman välittymisen Bashille. Kaikkien funktiomäärityksiä lisäävien ympäristömuuttujien nimissä tulee olla etuliite "__BASH_FUNC<" ja pääte ">()", jotta funktiot eivät välity tahattomasti HTTP-otsakkeiden kautta.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

  • Bluetooth

    Vaikutus: Haitallinen Bluetooth-syöttölaite saattoi ohittaa parinmuodostuksen.

    Kuvaus: HID-luokan Bluetooth LE -laitteiden sallittiin muodostaa salaamaton yhteys. Jos Macista oli muodostettu pari tällaisen laitteen kanssa, hyökkääjä saattoi tekeytyä asianmukaiseksi laitteeksi ja muodostaa yhteyden. Ongelma on ratkaistu estämällä salaamattomat HID-yhteydet.

    CVE-ID

    CVE-2014-4428: iSEC Partnersin Mike Ryan

  • CFPreferences

    Vaikutus: Vaadi salasanaa heräämisen jälkeen tai näytönsäästäjän käynnistyttyä -asetusta ei noudatettu ennen uudelleenkäynnistystä.

    Kuvaus: Järjestelmäasetusten käsittelyssä oli istunnon hallintaongelma. Ongelma on ratkaistu parantamalla istunnon seurantaa.

    CVE-ID

    CVE-2014-4425

  • CoreStorage

    Vaikutus: Salaamaton taltio saattoi pysyä lukitsemattomana, kun se poistettiin näkyvistä.

    Kuvaus: Kun salattu taltio poistettiin loogisesti näkyvistä, avaimet säilyivät, joten se saatettiin tuoda uudelleen näkyviin antamatta salasanaa. Ongelma on ratkaistu poistamalla avaimet, kun taltio poistetaan näkyvistä.

    CVE-ID

    CVE-2014-4430: See Ben Click Computer Services LLC:n Benjamin King sekä Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi ja muut nimettömät tutkijat

  • CUPS

    Vaikutus: Paikallinen käyttäjä saattoi suorittaa mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: CUPS-verkkoliittymä seurasi symbolisia linkkejä, kun tiedostoja käytettiin sen kautta. Paikallinen käyttäjä pystyi luomaan symbolisia linkkejä mielivaltaisiin tiedostoihin ja noutamaan niitä verkkoliittymän kautta. Ongelma on ratkaistu estämällä symbolisten linkkien käyttäminen CUPS-verkkoliittymän kautta.

    CVE-ID

    CVE-2014-3537

  • Dock

    Vaikutus: Ikkunat saattoivat joskus näkyä, vaikka näyttö oli lukittu.

    Kuvaus: Näytön lukituksen käsittelyssä oli tilan hallintaan liittyvä ongelma. Ongelma on ratkaistu parantamalla tilan seurantaa.

    CVE-ID

    CVE-2014-4431: Uumajan yliopiston Emil Sjölander

  • fdesetup

    Vaikutus: fdesetup-komento saattoi ilmoittaa levyn salauksen tilan harhaanjohtavasti.

    Kuvaus: fdesetup-komento ilmoitti harhaanjohtavan tilan, kun asetukset oli päivitetty, mutta järjestelmää ei oltu käynnistetty uudelleen. Ongelma on ratkaistu parantamalla tilan ilmoittamista.

    CVE-ID

    CVE-2014-4432

  • iCloudin Etsi Macini

    Vaikutus: iCloudin Kadonnut-tilan PIN-koodi saatettiin selvittää raa'an voiman tekniikalla.

    Kuvaus: Tilan pysyvyysongelma nopeuden rajoittamisessa mahdollisti iCloudin Kadonnut-tilan PIN-koodiin kohdistuvat raa'an voiman hyökkäykset. Ongelma on ratkaistu parantamalla tilan pysyvyyttä uudelleenkäynnistysten välillä.

    CVE-ID

    CVE-2014-4435: knoy

  • IOAcceleratorFamily

    Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

    Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

    CVE-ID

    CVE-2014-4373: Venustechin Adlabin cunzhang

  • IOHIDFamily

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Google Project Zeron Ian Beer

  • IOHIDFamily

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Google Project Zeron Ian Beer

  • IOHIDFamily

    Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

    Kuvaus: IOHIDFamily-ohjaimessa oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla syötön tarkistusta.

    CVE-ID

    CVE-2014-4436: Venustechin Adlabin cunzhang

  • IOHIDFamily

    Vaikutus: Käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamily-ohjaimessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla syötön tarkistusta.

    CVE-ID

    CVE-2014-4380: Venustechin Adlabin cunzhang

  • IOKit

    Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.

    Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4418: Google Project Zeron Ian Beer

  • Kernel

    Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastoliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Google Security Teamin Fermin J. Serna

    CVE-2014-4419: Google Security Teamin Fermin J. Serna

    CVE-2014-4420: Google Security Teamin Fermin J. Serna

    CVE-2014-4421: Google Security Teamin Fermin J. Serna

  • Kernel

    Vaikutus: Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: HFS-resurssihaarojen käsittelyssä oli kekopuskurin ylivuotoon liittyvä ongelma. Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4433: Maksymilian Arciemowicz

  • Kernel

    Vaikutus: Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen.

    Kuvaus: HFS-tiedostonimien käsittelyssä oli tyhjän epäviittauksen ongelma. Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen. Ongelma on ratkaistu estämällä tyhjä epäviittaus.

    CVE-ID

    CVE-2014-4434: Maksymilian Arciemowicz

  • Kernel

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.

    CVE-ID

    CVE-2014-4375: nimetön tutkija

  • Kernel

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Vaikutus: Paikallinen käyttäjä saattoi aiheuttaa järjestelmän odottamattoman sammumisen.

    Kuvaus: Järjestelmänhallintavastakkeisiin lähetettyjen viestien käsittelyssä oli tavoitettavissa oleva paniikki. Ongelma on ratkaistu viestien lisätarkistuksella.

    CVE-ID

    CVE-2014-4442: VMwaren Darius Davis

  • Kernel

    Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.

    Kuvaus: Laitteen käynnistyksen alkuvaiheissa kernelin lisäturvatoimia varten käytetty satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset pystyi päättelemään käyttäjätilasta käsin, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu käyttämällä kryptografisesti turvallista algoritmia.

    CVE-ID

    CVE-2014-4422: Azimuth Securityn Tarjei Mandt

  • LaunchServices

    Vaikutus: Paikallinen ohjelma saattoi ohittaa eristysrajoitukset.

    Kuvaus: Sisältötyypin käsittelijöiden asettamiseen käytetty LaunchServices-liitäntä salli eristettyjen ohjelmien määrittää käsittelijöitä nykyisille sisältötyypeille. Vaarantunut ohjelma saattoi käyttää tätä eristysrajoitusten ohittamiseen. Ongelma on ratkaistu estämällä eristettyjä ohjelmia määrittämästä sisältötyypin käsittelijöitä.

    CVE-ID

    CVE-2014-4437: Google Security Teamin Meder Kydyraliev

  • LoginWindow

    Vaikutus: Näyttö ei joskus lukittunut.

    Kuvaus: LoginWindowissa oli kilpailutilanne, joka joskus esti näytön lukitsemisen. Ongelma on ratkaistu muuttamalla toimenpiteiden järjestystä.

    CVE-ID

    CVE-2014-4438: nSensen Harry Sintonen, Helvetia Insurancesin Alessandro Lobina ja Funky Monkey Labsin Patryk Szlagowski

  • Mail

    Vaikutus: Mail saattoi lähettää sähköpostia väärille vastaanottajille.

    Kuvaus: Mail-ohjelman käyttöliittymän epäyhdenmukaisuus aiheutti sähköpostin lähettämisen osoitteisiin, jotka oli poistettu vastaanottajaluettelosta. Ongelma on ratkaistu parantamalla käyttöliittymän yhdenmukaisuustarkistuksia.

    CVE-ID

    CVE-2014-4439: Patrick J Power (Melbourne, Australia)

  • MCX Desktop -asetusprofiilit

    Vaikutus: Kun mobiiliasetusprofiili poistettiin, sen asetuksia ei poistettu.

    Kuvaus: Mobiiliasetusprofiilin asentamia verkkovälipalvelinasetuksia ei poistettu, kun profiili poistettiin. Ongelma on ratkaistu parantamalla profiilin poistamisen käsittelyä.

    CVE-ID

    CVE-2014-4440: Cloudpath Networksin Kevin Koster

  • NetFS Client Framework

    Vaikutus: Tiedostonjako saattoi siirtyä tilaan, jossa sitä ei voitu poistaa käytöstä.

    Kuvaus: Tiedostonjakokehyksessä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-4441: BEARTCOMMUNICATIONSin Eduardo Bonsi

  • QuickTime

    Vaikutus: Haitallisen m4a-tiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Ääninäytteiden käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4351: NCC Groupin Karl Smith

  • Safari

    Vaikutus: Avoimessa välilehdessä olevien äskettäin vierailtujen sivujen historia saattoi säilyä, vaikka historia tyhjennettiin.

    Kuvaus: Safarin historian tyhjentäminen ei tyhjentänyt takaisin/eteenpäin-historiaa avoimien välilehtien osalta. Ongelma on ratkaistu tyhjentämällä takaisin/eteenpäin-historia.

    CVE-ID

    CVE-2013-5150

  • Safari

    Vaikutus: Haitallisen verkkosivuston push-ilmoitusten vastaanottamisen hyväksyminen saattoi aiheuttaa Safarin tulevien push-ilmoitusten huomaamatta jäämisen.

    Kuvaus: SafariNotificationAgentin tavassa käsitellä Safarin push-ilmoituksia oli käsittelemättömään poikkeukseen liittyvä ongelma. Ongelma on ratkaistu parantamalla Safarin push-ilmoitusten käsittelyä.

    CVE-ID

    CVE-2014-4417: Faelix Limitedin Marek Isalski

  • Secure Transport

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: SSL 3.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Hyökkääjä saattaa pakottaa SSL 3.0:n käytön estämällä yritykset muodostaa yhteys TLS 1.0:lla tai sitä korkeammalla suojauksella, vaikka palvelin tukisi parempaa TLS-versiota. Ongelma on ratkaistu poistamalla CBC-salausohjelmistot käytöstä, kun TLS-yhteyden muodostamisyritykset epäonnistuvat.

    CVE-ID

    CVE-2014-3566: Google Security Teamin Bodo Möller, Thai Duong ja Krzysztof Kotowicz

  • Suojaus

    Vaikutus: Etähyökkääjä saattaa pystyä aiheuttamaan palvelun eston.

    Kuvaus: ASN.1-tietojen käsittelyssä oli tyhjä epäviittaus. Ongelma on ratkaistu ASN.1-tietojen lisätarkistuksella.

    CVE-ID

    CVE-2014-4443: Coverity

  • Suojaus

    Vaikutus: Paikallinen käyttäjä saattoi päästä toisen käyttäjän Kerberos-lippuihin.

    Kuvaus: SecurityAgentissa oli tilanhallintaongelma. Nopean käyttäjän vaihdon aikana kohteena olevan käyttäjän Kerberos-lippu sijoitettiin joskus edellisen käyttäjän välimuistiin. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-4444: Sandia National Laboratoriesin Gary Simon, Tukholman kuninkaallisen teknillisen korkeakoulun Ragnar Sundblad ja Kaspersky Labin Eugene Homyakov

  • Suojaus – koodin allekirjoitus

    Vaikutus: Peukaloituja ohjelmia ei estetty käynnistymästä.

    Kuvaus: Ohjelmat, jotka oli allekirjoitettu OS X:ssä ennen OS X Mavericks 10.9:ää, sekä muokattuja resurssisääntöjä käyttävät ohjelmat saattoivat olla alttiita peukaloinnille, joka ei mitätöinyt allekirjoitusta. Käyttäjän lataaman muokatun ohjelman suorittaminen saatettiin sallia asianmukaisen ohjelman tapaan järjestelmissä, jotka oli asetettu sallimaan vain Mac App Storesta ja tunnetuilta kehittäjiltä peräisin olevat ohjelmat. Ongelma on ratkaistu jättämällä huomiotta sellaisten nippujen allekirjoitukset, joiden resurssikirjekuorissa ei ole suorittamiseen mahdollisesti vaikuttavia resursseja. OS X Mavericks 10.9.5 ja OS X Mountain Lion 10.8.5:n suojauspäivitys 2014-004 sisältävät jo nämä muutokset.

    CVE-ID

    CVE-2014-4391: HP:n Zero Day Initiativen parissa työskentelevä Christopher Hickstein

Huomautus: OS X Yosemitessa on Safari 8.0, johon sisältyy Safari 7.1:n turvallisuussisältö. Lisätietoja on artikkelissa Tietoja Safari 7.1:n turvallisuussisällöstä.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: