Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
OS X Yosemite 10.10
-
802.1X
Vaikutus: Hyökkääjä saattoi saada Wi-Fi-tunnistetiedot.
Kuvaus: Hyökkääjä saattoi esiintyä Wi-Fi-yhteyspisteenä, tarjota LEAP-todentamista, rikkoa MS-CHAPv1-hajautuksen ja käyttää saamiaan tunnistetietoja haluttuun yhteyspisteeseen todentautumisessa, vaikka se tuki vahvempia todentamismenetelmiä. Ongelma on ratkaistu poistamalla LEAP oletusarvoisesti käytöstä.
CVE-ID
CVE-2014-4364: Universiteit Hasseltin Pieter Robyns, Bram Bonne, Peter Quax ja Wim Lamotte
-
AFP-tiedostopalvelin
Vaikutus: Etähyökkääjä pystyi selvittämään kaikki järjestelmän verkko-osoitteet.
Kuvaus: AFP-tiedostopalvelin tuki komentoa, joka palautti kaikki järjestelmän verkko-osoitteet. Ongelma on ratkaistu poistamalla osoitteet tuloksesta.
CVE-ID
CVE-2014-4426: Tripwire VERTin Craig Young
-
apache
Vaikutus: Useita haavoittuvuuksia Apachessa.
Kuvaus: Apachessa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa palvelunestoon. Ongelmat on ratkaistu päivittämällä Apache versioon 2.4.9.
CVE-ID
CVE-2013-6438
CVE-2014-0098
-
App Sandbox
Vaikutus: Eristämisrajoitusten rajoittama ohjelma saattoi väärinkäyttää käyttöavun API:a.
Kuvaus: Eristetty ohjelma saattoi väärinkäyttää käyttöavun API:a käyttäjän tietämättä. Ongelma on ratkaistu vaatimalla ylläpitäjältä ohjelmakohtainen lupa käyttöavun API:n käyttöön.
CVE-ID
CVE-2014-4427: Reflare UG:n Paul S. Ziegler
-
Bash
Vaikutus: Joissakin kokoonpanoissa etähyökkääjä saattoi pystyä suorittamaan mielivaltaisia shell-komentoja.
Kuvaus: Bashin tavassa jäsentää ympäristömuuttujia oli ongelma. Ongelma on ratkaistu parantamalla ympäristömuuttujien jäsentämistä tunnistamalla funktiolausekkeen loppu paremmin.
Päivitykseen sisältyy myös ehdotettu CVE-2014-7169-muutos, joka nollaa jäsentimen tilan.
Lisäksi päivitys lisää uuden nimitilan viedyille funktioille luomalla funktion decorator-elementin, joka estää otsakkeen tahattoman välittymisen Bashille. Kaikkien funktiomäärityksiä lisäävien ympäristömuuttujien nimissä tulee olla etuliite "__BASH_FUNC<" ja pääte ">()", jotta funktiot eivät välity tahattomasti HTTP-otsakkeiden kautta.
CVE-ID
CVE-2014-6271: Stephane Chazelas
CVE-2014-7169: Tavis Ormandy
-
Bluetooth
Vaikutus: Haitallinen Bluetooth-syöttölaite saattoi ohittaa parinmuodostuksen.
Kuvaus: HID-luokan Bluetooth LE -laitteiden sallittiin muodostaa salaamaton yhteys. Jos Macista oli muodostettu pari tällaisen laitteen kanssa, hyökkääjä saattoi tekeytyä asianmukaiseksi laitteeksi ja muodostaa yhteyden. Ongelma on ratkaistu estämällä salaamattomat HID-yhteydet.
CVE-ID
CVE-2014-4428: iSEC Partnersin Mike Ryan
-
CFPreferences
Vaikutus: Vaadi salasanaa heräämisen jälkeen tai näytönsäästäjän käynnistyttyä -asetusta ei noudatettu ennen uudelleenkäynnistystä.
Kuvaus: Järjestelmäasetusten käsittelyssä oli istunnon hallintaongelma. Ongelma on ratkaistu parantamalla istunnon seurantaa.
CVE-ID
CVE-2014-4425
-
Varmenteiden luottamuskäytäntö
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa http://support.apple.com/kb/HT6005?viewlocale=fi_FI.
-
CoreStorage
Vaikutus: Salaamaton taltio saattoi pysyä lukitsemattomana, kun se poistettiin näkyvistä.
Kuvaus: Kun salattu taltio poistettiin loogisesti näkyvistä, avaimet säilyivät, joten se saatettiin tuoda uudelleen näkyviin antamatta salasanaa. Ongelma on ratkaistu poistamalla avaimet, kun taltio poistetaan näkyvistä.
CVE-ID
CVE-2014-4430: See Ben Click Computer Services LLC:n Benjamin King sekä Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi ja muut nimettömät tutkijat
-
CUPS
Vaikutus: Paikallinen käyttäjä saattoi suorittaa mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: CUPS-verkkoliittymä seurasi symbolisia linkkejä, kun tiedostoja käytettiin sen kautta. Paikallinen käyttäjä pystyi luomaan symbolisia linkkejä mielivaltaisiin tiedostoihin ja noutamaan niitä verkkoliittymän kautta. Ongelma on ratkaistu estämällä symbolisten linkkien käyttäminen CUPS-verkkoliittymän kautta.
CVE-ID
CVE-2014-3537
-
Dock
Vaikutus: Ikkunat saattoivat joskus näkyä, vaikka näyttö oli lukittu.
Kuvaus: Näytön lukituksen käsittelyssä oli tilan hallintaan liittyvä ongelma. Ongelma on ratkaistu parantamalla tilan seurantaa.
CVE-ID
CVE-2014-4431: Uumajan yliopiston Emil Sjölander
-
fdesetup
Vaikutus: fdesetup-komento saattoi ilmoittaa levyn salauksen tilan harhaanjohtavasti.
Kuvaus: fdesetup-komento ilmoitti harhaanjohtavan tilan, kun asetukset oli päivitetty, mutta järjestelmää ei oltu käynnistetty uudelleen. Ongelma on ratkaistu parantamalla tilan ilmoittamista.
CVE-ID
CVE-2014-4432
-
iCloudin Etsi Macini
Vaikutus: iCloudin Kadonnut-tilan PIN-koodi saatettiin selvittää raa'an voiman tekniikalla.
Kuvaus: Tilan pysyvyysongelma nopeuden rajoittamisessa mahdollisti iCloudin Kadonnut-tilan PIN-koodiin kohdistuvat raa'an voiman hyökkäykset. Ongelma on ratkaistu parantamalla tilan pysyvyyttä uudelleenkäynnistysten välillä.
CVE-ID
CVE-2014-4435: knoy
-
IOAcceleratorFamily
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: IntelAccelerator-ohjaimessa oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla virheiden käsittelyä.
CVE-ID
CVE-2014-4373: Venustechin Adlabin cunzhang
-
IOHIDFamily
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.
CVE-ID
CVE-2014-4405: Google Project Zeron Ian Beer
-
IOHIDFamily
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4404: Google Project Zeron Ian Beer
-
IOHIDFamily
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: IOHIDFamily-ohjaimessa oli rajojen ulkopuolisen muistin lukuongelma. Ongelma on ratkaistu parantamalla syötön tarkistusta.
CVE-ID
CVE-2014-4436: Venustechin Adlabin cunzhang
-
IOHIDFamily
Vaikutus: Käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamily-ohjaimessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla syötön tarkistusta.
CVE-ID
CVE-2014-4380: Venustechin Adlabin cunzhang
-
IOKit
Vaikutus: Haittaohjelma saattoi pystyä lukemaan alustamattomia tietoja kernel-muistista.
Kuvaus: IOKit-funktioiden käsittelyssä oli alustamattoman muistin käyttöongelma. Ongelma on korjattu parantamalla muistin alustamista.
CVE-ID
CVE-2014-4407: @PanguTeam
-
IOKit
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4388: @PanguTeam
-
IOKit
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-ID
CVE-2014-4418: Google Project Zeron Ian Beer
-
Kernel
Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Verkkotilastoliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.
CVE-ID
CVE-2014-4371: Google Security Teamin Fermin J. Serna
CVE-2014-4419: Google Security Teamin Fermin J. Serna
CVE-2014-4420: Google Security Teamin Fermin J. Serna
CVE-2014-4421: Google Security Teamin Fermin J. Serna
-
Kernel
Vaikutus: Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: HFS-resurssihaarojen käsittelyssä oli kekopuskurin ylivuotoon liittyvä ongelma. Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen tai mielivaltaisen koodin suorittamisen kernel-käyttöoikeuksilla. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4433: Maksymilian Arciemowicz
-
Kernel
Vaikutus: Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen.
Kuvaus: HFS-tiedostonimien käsittelyssä oli tyhjän epäviittauksen ongelma. Haitallinen tiedostojärjestelmä saattoi aiheuttaa järjestelmän odottamattoman sammumisen. Ongelma on ratkaistu estämällä tyhjä epäviittaus.
CVE-ID
CVE-2014-4434: Maksymilian Arciemowicz
-
Kernel
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: Mach-porttien käsittelyssä oli double free -ongelma. Ongelma on ratkaistu parantamalla Mach-porttien tarkistamista.
CVE-ID
CVE-2014-4375: nimetön tutkija
-
Kernel
Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.
Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.
CVE-ID
CVE-2011-2391: Marc Heuse
-
Kernel
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: rt_setgatessa oli rajojen ulkopuolisen muistin lukuongelma. Tämä saattoi johtaa muistin paljastumiseen tai vioittumiseen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4408
-
Kernel
Vaikutus: Paikallinen käyttäjä saattoi aiheuttaa järjestelmän odottamattoman sammumisen.
Kuvaus: Järjestelmänhallintavastakkeisiin lähetettyjen viestien käsittelyssä oli tavoitettavissa oleva paniikki. Ongelma on ratkaistu viestien lisätarkistuksella.
CVE-ID
CVE-2014-4442: VMwaren Darius Davis
-
Kernel
Vaikutus: Jotkin kernelin lisäturvatoimet saatettiin ohittaa.
Kuvaus: Laitteen käynnistyksen alkuvaiheissa kernelin lisäturvatoimia varten käytetty satunnaislukugeneraattori ei ollut kryptografisesti turvallinen. Jotkin sen tulokset pystyi päättelemään käyttäjätilasta käsin, mikä mahdollisti lisäturvatoimien ohittamisen. Ongelma on ratkaistu käyttämällä kryptografisesti turvallista algoritmia.
CVE-ID
CVE-2014-4422: Azimuth Securityn Tarjei Mandt
-
LaunchServices
Vaikutus: Paikallinen ohjelma saattoi ohittaa eristysrajoitukset.
Kuvaus: Sisältötyypin käsittelijöiden asettamiseen käytetty LaunchServices-liitäntä salli eristettyjen ohjelmien määrittää käsittelijöitä nykyisille sisältötyypeille. Vaarantunut ohjelma saattoi käyttää tätä eristysrajoitusten ohittamiseen. Ongelma on ratkaistu estämällä eristettyjä ohjelmia määrittämästä sisältötyypin käsittelijöitä.
CVE-ID
CVE-2014-4437: Google Security Teamin Meder Kydyraliev
-
LoginWindow
Vaikutus: Näyttö ei joskus lukittunut.
Kuvaus: LoginWindowissa oli kilpailutilanne, joka joskus esti näytön lukitsemisen. Ongelma on ratkaistu muuttamalla toimenpiteiden järjestystä.
CVE-ID
CVE-2014-4438: nSensen Harry Sintonen, Helvetia Insurancesin Alessandro Lobina ja Funky Monkey Labsin Patryk Szlagowski
-
Mail
Vaikutus: Mail saattoi lähettää sähköpostia väärille vastaanottajille.
Kuvaus: Mail-ohjelman käyttöliittymän epäyhdenmukaisuus aiheutti sähköpostin lähettämisen osoitteisiin, jotka oli poistettu vastaanottajaluettelosta. Ongelma on ratkaistu parantamalla käyttöliittymän yhdenmukaisuustarkistuksia.
CVE-ID
CVE-2014-4439: Patrick J Power (Melbourne, Australia)
-
MCX Desktop -asetusprofiilit
Vaikutus: Kun mobiiliasetusprofiili poistettiin, sen asetuksia ei poistettu.
Kuvaus: Mobiiliasetusprofiilin asentamia verkkovälipalvelinasetuksia ei poistettu, kun profiili poistettiin. Ongelma on ratkaistu parantamalla profiilin poistamisen käsittelyä.
CVE-ID
CVE-2014-4440: Cloudpath Networksin Kevin Koster
-
NetFS Client Framework
Vaikutus: Tiedostonjako saattoi siirtyä tilaan, jossa sitä ei voitu poistaa käytöstä.
Kuvaus: Tiedostonjakokehyksessä oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2014-4441: BEARTCOMMUNICATIONSin Eduardo Bonsi
-
QuickTime
Vaikutus: Haitallisen m4a-tiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Ääninäytteiden käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2014-4351: NCC Groupin Karl Smith
-
Safari
Vaikutus: Avoimessa välilehdessä olevien äskettäin vierailtujen sivujen historia saattoi säilyä, vaikka historia tyhjennettiin.
Kuvaus: Safarin historian tyhjentäminen ei tyhjentänyt takaisin/eteenpäin-historiaa avoimien välilehtien osalta. Ongelma on ratkaistu tyhjentämällä takaisin/eteenpäin-historia.
CVE-ID
CVE-2013-5150
-
Safari
Vaikutus: Haitallisen verkkosivuston push-ilmoitusten vastaanottamisen hyväksyminen saattoi aiheuttaa Safarin tulevien push-ilmoitusten huomaamatta jäämisen.
Kuvaus: SafariNotificationAgentin tavassa käsitellä Safarin push-ilmoituksia oli käsittelemättömään poikkeukseen liittyvä ongelma. Ongelma on ratkaistu parantamalla Safarin push-ilmoitusten käsittelyä.
CVE-ID
CVE-2014-4417: Faelix Limitedin Marek Isalski
-
Secure Transport
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: SSL 3.0:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä, kun salausohjelmisto käyttää lohkosalausta CBC-tilassa. Hyökkääjä saattaa pakottaa SSL 3.0:n käytön estämällä yritykset muodostaa yhteys TLS 1.0:lla tai sitä korkeammalla suojauksella, vaikka palvelin tukisi parempaa TLS-versiota. Ongelma on ratkaistu poistamalla CBC-salausohjelmistot käytöstä, kun TLS-yhteyden muodostamisyritykset epäonnistuvat.
CVE-ID
CVE-2014-3566: Google Security Teamin Bodo Möller, Thai Duong ja Krzysztof Kotowicz
-
Suojaus
Vaikutus: Etähyökkääjä saattaa pystyä aiheuttamaan palvelun eston.
Kuvaus: ASN.1-tietojen käsittelyssä oli tyhjä epäviittaus. Ongelma on ratkaistu ASN.1-tietojen lisätarkistuksella.
CVE-ID
CVE-2014-4443: Coverity
-
Suojaus
Vaikutus: Paikallinen käyttäjä saattoi päästä toisen käyttäjän Kerberos-lippuihin.
Kuvaus: SecurityAgentissa oli tilanhallintaongelma. Nopean käyttäjän vaihdon aikana kohteena olevan käyttäjän Kerberos-lippu sijoitettiin joskus edellisen käyttäjän välimuistiin. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2014-4444: Sandia National Laboratoriesin Gary Simon, Tukholman kuninkaallisen teknillisen korkeakoulun Ragnar Sundblad ja Kaspersky Labin Eugene Homyakov
-
Suojaus – koodin allekirjoitus
Vaikutus: Peukaloituja ohjelmia ei estetty käynnistymästä.
Kuvaus: Ohjelmat, jotka oli allekirjoitettu OS X:ssä ennen OS X Mavericks 10.9:ää, sekä muokattuja resurssisääntöjä käyttävät ohjelmat saattoivat olla alttiita peukaloinnille, joka ei mitätöinyt allekirjoitusta. Käyttäjän lataaman muokatun ohjelman suorittaminen saatettiin sallia asianmukaisen ohjelman tapaan järjestelmissä, jotka oli asetettu sallimaan vain Mac App Storesta ja tunnetuilta kehittäjiltä peräisin olevat ohjelmat. Ongelma on ratkaistu jättämällä huomiotta sellaisten nippujen allekirjoitukset, joiden resurssikirjekuorissa ei ole suorittamiseen mahdollisesti vaikuttavia resursseja. OS X Mavericks 10.9.5 ja OS X Mountain Lion 10.8.5:n suojauspäivitys 2014-004 sisältävät jo nämä muutokset.
CVE-ID
CVE-2014-4391: HP:n Zero Day Initiativen parissa työskentelevä Christopher Hickstein
Huomautus: OS X Yosemitessa on Safari 8.0, johon sisältyy Safari 7.1:n turvallisuussisältö. Lisätietoja on artikkelissa Tietoja Safari 7.1:n turvallisuussisällöstä.