Tietoja OS X Yosemite 10.10.2:n ja suojauspäivitys 2015-001:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Yosemite 10.10.2:n ja suojauspäivitys 2015-001:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Yosemite 10.10.2 ja suojauspäivitys 2015-001

  • AFP-palvelin

    Saatavuus: OS X Mavericks 10.9.5.

    Vaikutus: Etähyökkääjä saattoi pystyä selvittämään järjestelmän kaikki verkko-osoitteet.

    Kuvaus: AFP-tiedostopalvelin tuki komentoa, joka palautti järjestelmän kaikki verkko-osoitteet. Ongelma on ratkaistu poistamalla osoitteet tuloksesta.

    CVE-ID

    CVE-2014-4426: Tripwire VERTin Craig Young

  • bash

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Bashissa oli useita haavoittuvuuksia, mukaan lukien sellainen, jonka vuoksi paikalliset hyökkääjät saattoivat pystyä suorittamaan mielivaltaista koodia.

    Kuvaus: Bashissa oli useita haavoittuvuuksia. Nämä ongelmat on ratkaistu päivittämällä bash korjaustiedostotasolle 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOBluetoothFamilyssa oli kokonaisluvun etumerkillisyyteen liittyvä virhe, joka salli kernel-muistin manipuloinnin. Ongelma on ratkaistu parantamalla rajojen tarkistamista. Tämä ongelma ei koskenut OS X Yosemite -järjestelmiä.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Bluetooth-ohjaimessa oli virhe, jonka vuoksi haittaohjelma pystyi hallitsemaan kernel-muistiin kirjoitettujen tietojen kokoa. Ongelma on ratkaistu lisäämällä syötön tarkistamista.

    CVE-ID

    CVE-2014-8836: Google Project Zeron Ian Beer

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Bluetooth-ohjaimessa oli useita tietoturvaongelmia, joiden vuoksi haittaohjelma pystyi suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla. Ongelmat on ratkaistu lisäämällä syötön tarkistamista.

    CVE-ID

    CVE-2014-8837: Emaze Networksin Roberto Paleari ja Aristide Fattori

  • CFNetwork Cache

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Verkkosivustovälimuistia ei joskus tyhjennetty kokonaan yksityisestä selauksesta poistumisen jälkeen.

    Kuvaus: Tietosuojaongelman vuoksi selaustiedot saattoivat jäädä välimuistiin yksityisestä selauksesta poistumisen jälkeen. Ongelma on ratkaistu muuttamalla välimuistin toimintaa.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4481: Binamuse VRT:n Felipe Andres Manzano iSIGHT Partners GVP Programin kautta

  • Prosessoriohjelmisto

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1. Kohdelaitteet: MacBook Pro (Retina), MacBook Air (vuoden 2013 puoliväli tai uudempi), iMac (loppuvuosi 2013 tai uudempi) ja Mac Pro (loppuvuosi 2013).

    Vaikutus: Haitallinen Thunderbolt-laite saattoi pystyä vaikuttamaan laiteohjelmiston päivittämiseen.

    Kuvaus: Thunderbolt-laite saattoi muokata isäntälaiteohjelmistoa ollessaan liitettynä tietokoneeseen EFI-päivityksen aikana. Ongelma on ratkaistu olemalla lataamatta valinnaisia ROM-muisteja päivitysten aikana.

    CVE-ID

    CVE-2014-4498: Two Sigma Investmentsin Trammell Hudson

  • CommerceKit-sovelluskehys

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Hyökkääjä, jolla oli pääsy järjestelmään, saattoi saada haltuunsa Apple ID -tunnistetietoja.

    Kuvaus: App Store -lokien käsittelyssä oli ongelma. App Store -prosessi saattoi kirjata Apple ID -tunnistetiedot lokiin, kun lisätietojen kirjaaminen lokiin oli käytössä. Ongelma on ratkaistu estämällä tunnistetietojen kirjaaminen lokiin.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Jotkin muun valmistajan ohjelmat, joissa tekstinsyöttöä ja hiiritapahtumia ei ollut suojattu, saattoivat kirjata ne lokiin.

    Kuvaus: Suojaamattomat tekstinsyötöt ja hiiritapahtumat saatettiin kirjata lokiin alustamattoman muuttujan ja ohjelman mukautetun varaajan vuoksi. Ongelma on ratkaistu varmistamalla, että lokiin kirjaaminen on oletusarvoisesti pois päältä. Tämä ongelma ei koskenut OS X Yosemitea vanhempia järjestelmiä.

    CVE-ID

    CVE-2014-1595: Kent Howardin kanssa työskentelevä Mozillan Steven Michaud

  • CoreGraphics

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: PDF-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistamista. Tämä ongelma ei koskenut OS X Yosemite -järjestelmiä.

    CVE-ID

    CVE-2014-8816: Digital Operatives LLC:n Mike Myers

  • CoreSymbolication

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Coresymbolicationdin tavassa käsitellä XPC-viestejä oli useita tyyppisekaannusongelmia. Ongelmat on ratkaistu parantamalla tyypin tarkistamista.

    CVE-ID

    CVE-2014-8817: Google Project Zeron Ian Beer

  • FontParser

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen .dfont-tiedoston käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: .dfont-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4484: HP:n Zero Day Initiativen parissa työskentelevä Gaurav Baruah

  • FontParser

    Saatavuus: OS X Mountain Lion 10.8.5. OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Saatavuus: OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen XML-tiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: XML-jäsentimessä oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4485: Apple

  • Intelin grafiikkaohjain

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Intelin grafiikkaohjaimessa oli useita haavoittuvuuksia.

    Kuvaus: Intelin grafiikkaohjaimessa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla. Ongelmat on ratkaistu tässä päivityksessä lisäämällä rajojen tarkistamista.

    CVE-ID

    CVE-2014-8819: Google Project Zeron Ian Beer

    CVE-2014-8820: Google Project Zeron Ian Beer

    CVE-2014-8821: Google Project Zeron Ian Beer

  • IOAcceleratorFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyn tavassa käsitellä tiettyjä IOService-käyttäjäasiakasohjelmatyyppejä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOAcceleratorFamilyn kontekstien tarkistamista.

    CVE-ID

    CVE-2014-4486: Google Project Zeron Ian Beer

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä resurssijonon metadataa oli tarkistusongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä tapahtumajonoja oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn tapahtumajonon alustamisen tarkistamista.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen ohjelman suorittaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen kernelissä.

    Kuvaus: IOHIDFamily-ohjaimen toimittamassa käyttäjäasiakasohjelmassa oli rajojen tarkistamisongelma, jonka vuoksi haittaohjelma saattoi korvata mielivaltaisia osioita kernel-osoitetilassa. Ongelma on ratkaistu poistamalla haavoittuvainen käyttäjäasiakasohjelmamenetelmä.

    CVE-ID

    CVE-2014-8822: HP:n Zero Day Initiativen parissa työskentelevä Vitaliy Toropov

  • IOKit

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu IOKit API-argumenttien parannetulla tarkistuksella.

    CVE-ID

    CVE-2014-4389: Google Project Zeron Ian Beer

  • IOUSBFamily

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Etuoikeutettu ohjelma saattoi pystyä lukemaan mielivaltaisia tietoja kernel-muistista.

    Kuvaus: IOUSB-ohjaimen käyttäjäasiakasohjelman toimintojen käsittelyssä oli muistin käyttöongelma. Ongelma on ratkaistu parantamalla argumenttien tarkistamista.

    CVE-ID

    CVE-2014-8823: Google Project Zeron Ian Beer

  • Kerberos

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kerberoksen libgssapi-kirjasto palautti kontekstitunnuksen irrallisen osoittimen kera. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Mukautetun välimuistitilan määrittäminen salli kirjoittamisen kernelin vain luku -tyyppisiin jaettuihin muistilohkoihin. Ongelma on ratkaistu olemalla antamatta kirjoitusoikeuksia joidenkin mukautettujen välimuistitilojen sivuvaikutuksena.

    CVE-ID

    CVE-2014-4495: Google Project Zeron Ian Beer

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IODataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla metadatan tarkistamista.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kernel

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Paikallinen hyökkääjä pystyi väärentämään hakemistopalveluvastauksia kernelille, hankkimaan laajemmat käyttöoikeudet tai suorittamaan koodia kernelin käyttöoikeuksilla.

    Kuvaus: Identitysvc:n tavassa tarkistaa hakemistopalvelun ratkaisemisprosessi, lipun käsittely ja virheiden käsittely oli ongelmia. Ongelma on ratkaistu parantamalla tarkistamista.

    CVE-ID

    CVE-2014-8825: CrowdStriken Alex Radocea

  • Kernel

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Verkkotilastoliittymässä oli useita alustamattomaan muistiin liittyviä ongelmia, mikä johti kernel-muistin sisällön paljastumiseen. Ongelma on ratkaistu muistin lisäalustamisella.

    CVE-ID

    CVE-2014-4371: Google Security Teamin Fermin J. Serna

    CVE-2014-4419: Google Security Teamin Fermin J. Serna

    CVE-2014-4420: Google Security Teamin Fermin J. Serna

    CVE-2014-4421: Google Security Teamin Fermin J. Serna

  • Kernel

    Saatavuus: OS X Mavericks 10.9.5.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut henkilö saattoi aiheuttaa palveluneston.

    Kuvaus: IPv6-pakettien käsittelyssä oli kilpailutilanneongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitalliset tai vaarantuneet ohjelmat saattoivat pystyä selvittämään osoitteita kernelissä.

    Kuvaus: Kernel-laajennuksiin liittyvien API-ohjelmointirajapintojen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. OSBundleMachOHeaders-avaimen sisältävissä vastauksissa saattoi olla kernel-osoitteita, jotka voivat auttaa ohittamaan osoiteavaruuden asettelun satunnaistamissuojauksen. Ongelma on ratkaistu vapauttamalla osoitteet ennen niiden palauttamista.

    CVE-ID

    CVE-2014-4491: @PanguTeam ja Stefan Esser

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOSharedDataQueue-objektien joidenkin metadatakenttien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu siirtämällä metadata toiseen paikkaan.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallinen JAR-tiedosto saattoi ohittaa Gatekeeper-tarkistukset.

    Kuvaus: Ohjelmien käynnistämisen käsittelyssä oli ongelma, jonka vuoksi jotkin haitalliset JAR-tiedostot pystyivät ohittamaan Gatekeeper-tarkistukset. Ongelma on ratkaistu parantamalla tiedostotyyppimetadatan käsittelyä.

    CVE-ID

    CVE-2014-8826: Amplia Securityn Hernan Ochoa

  • libnetcore

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallinen eristetty ohjelma saattoi vaarantaa networkd-daemonin.

    Kuvaus: Networkdin tavassa käsitellä prosessien välistä kommunikaatiota oli useita tyyppisekaannusongelmia. Haitallisesti muotoillun viestin lähettäminen networkdiin saattoi mahdollistaa mielivaltaisen koodin suorittamisen networkd-prosessina. Ongelma on ratkaistu parantamalla tyypin tarkistamista.

    CVE-ID

    CVE-2014-4492: Google Project Zeron Ian Beer

  • LoginWindow

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Mac ei joskus lukittunut herättäessä välittömästi.

    Kuvaus: Lukitun näytön hahmontamisessa oli ongelma. Ongelma on ratkaistu parantamalla näytön hahmontamista lukituksen aikana.

    CVE-ID

    CVE-2014-8827: Monon Xavier Bertels ja useat OS X:n betatestaajat

  • lukemftp

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Ftp-komentorivityökalun käyttäminen tiedostojen hakemiseen haitalliselta http-palvelimelta saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: HTTP-uudelleenohjausten käsittelyssä oli komennon lisäämisongelma. Ongelma on ratkaistu parantamalla erikoismerkkien tarkistamista.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Ntp-daemonin käyttäminen salaustodennuksen ollessa käytössä saattoi johtaa tietovuotoihin.

    Kuvaus: Ntdp:ssä oli useita syötön tarkistuksen ongelmia. Ongelmat on ratkaistu parantamalla tietojen tarkistamista.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: OpenSSL 0.9.8za:ssa oli useita haavoittuvuuksia, mukaan lukien haavoittuvuus, jonka vuoksi hyökkääjä saattoi pystyä muuttamaan yhteyksiä siten, että ne käyttivät heikompia salausohjelmistoja tätä kirjastoa käyttävissä ohjelmissa.

    Kuvaus: OpenSSL 0.9.8za:ssa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Eristys

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5.

    Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

    Kuvaus: Eristysprofiilien välimuistiin tallentamisessa oli suunnitteluongelma, jonka vuoksi eristetyt ohjelmat saattoivat saada kirjoitusoikeuden välimuistiin. Ongelma on ratkaistu rajoittamalla kirjoitusoikeudet polkuihin, joissa on com.apple.sandbox-segmentti. Tämä ongelma ei koskenut OS X Yosemite 10.10 -käyttöjärjestelmää ja sitä uudempia versioita.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5.

    Vaikutus: Haittaohjelma saattoi suorittaa mielivaltaista koodia, mikä vaaransi käyttäjätiedot.

    Kuvaus: SceneKitissä oli useita muistin rajojen ulkopuolelle kirjoittamiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-8829: Google Security Teamin Jose Duart

  • SceneKit

    Saatavuus: OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haitallisen Collada-tiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: SceneKitin tavassa käsitellä Collada-tiedostoja oli kekopuskurin ylivuoto. Haitallisen Collada-tiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla seuraajaelementtien tarkistamista.

    CVE-ID

    CVE-2014-8830: Google Security Teamin Jose Duart

  • Suojaus

    Saatavuus: OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Ladattu ohjelma, joka oli allekirjoitettu kumotulla kehittäjätunnusvarmenteella, saattoi ohittaa Gatekeeper-tarkistukset.

    Kuvaus: Välimuistiin tallennettujen ohjelman varmennetietojen arviointitavassa oli ongelma. Ongelma on ratkaistu parantamalla välimuistin logiikkaa.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    Saatavuus: OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Ohjelma saattoi käyttää muille ohjelmille kuuluvia avainnipun kohteita.

    Kuvaus: Avainnipussa oli käytönvalvontaongelma. Itse allekirjoitetuilla tai kehittäjätunnusvarmenteilla allekirjoitetut ohjelmat saattoivat käyttää avainnipun kohteita, joiden käytönvalvontaluettelot perustuivat avainnippuryhmiin. Ongelma on ratkaistu tarkistamalla allekirjoitusidentiteetti annettaessa pääsy avainnippuryhmiin.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Sähköpostin lähettäjä saattoi pystyä selvittämään vastaanottajan IP-osoitteen.

    Kuvaus: Spotlight ei tarkistanut Mailin Lataa viesteissä oleva etäsisältö -asetuksen tilaa. Ongelma on ratkaistu parantamalla määritysten tarkistamista.

    CVE-ID

    CVE-2014-8839: New York Timesin John Whitehead ja LastFriday.non Frode Moe

  • Spotlight

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Spotlight saattoi tallentaa odottamattomia tietoja ulkoiselle kovalevylle.

    Kuvaus: Spotlightissa oli ongelma, jossa muistin sisältöä saatettiin kirjoittaa ulkoisille kovalevyille indeksoinnin aikana. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Spotlight saattoi näyttää tuloksia tiedostoista, jotka eivät kuulu käyttäjälle.

    Kuvaus: Spotlightin tavassa käsitellä käyttöoikeusvälimuisteja oli sarjoituksen poisto-ongelma. Spotlight-kyselyn tehnyt käyttäjä saattoi nähdä hakutuloksia, joissa viitattiin tiedostoihin, joiden lukemiseen hänellä ei ollut riittäviä käyttöoikeuksia. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2014-8833: Riippumaton tekninen konsultti David J Peacock

  • sysmond

    Saatavuus: OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Sysmondissa oli tyyppisekaannushaavoittuvuus, jonka vuoksi paikallinen ohjelma pystyi hankkimaan laajemmat käyttöoikeudet. Ongelma on ratkaistu parantamalla tyypin tarkistamista.

    CVE-ID

    CVE-2014-8835: Google Project Zeron Ian Beer

  • UserAccountUpdater

    Saatavuus: OS X Yosemite 10.10 ja 10.10.1.

    Vaikutus: Tulostamiseen liittyvissä asetustiedostoissa saattoi olla PDF-dokumentteja koskevia arkaluontoisia tietoja.

    Kuvaus: OS X Yosemite 10.10 ratkaisi Tulosta-valintaikkunasta luotujen salasanasuojattujen PDF-tiedostojen käsittelyssä olleen ongelman, jossa salasanoja saatettiin sisällyttää tulostusasetustiedostoihin. Tämä päivitys poistaa tällaiset asiaankuulumattomat tiedot, joita saattoi olla tulostusasetustiedostoissa.

    CVE-ID

    CVE-2014-8834: Apple

Huomautus: OS X Yosemite 10.10.2:ssa on Safari 8.0.3:n turvallisuussisältö.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: