Tietoja OS X Yosemite 10.10.5:n ja suojauspäivitys 2015-006:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Yosemite 10.10.5:n ja suojauspäivitys 2015-006:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

OS X Yosemite 10.10.5 ja suojauspäivitys 2015-006

  • apache

    Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.

    Vaikutus: Apache 2.4.16:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.

    Kuvaus: Apache 2.4.16:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Apache versioon 2.4.16.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.

    Vaikutus: PHP 5.5.20:ssä oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: PHP 5.5.20:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä PHP versioon 5.5.27.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID:n OD-liitännäinen

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä vaihtamaan paikallisen käyttäjän salasanan.

    Kuvaus: Salasanatodennuksessa oli joissain olosuhteissa tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-3799: HP:n Zero Day Initiativen parissa työskentelevä nimetön tutkija

  • AppleGraphicsControl

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: AppleGraphicsControlissa oli ongelma, joka saattoi aiheuttaa kernel-muistin asettelun paljastumisen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5768: KeenTeamin JieTao Yang

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOBluetoothHCIControllerissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3779: Facebook Securityn Teddy Reed

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernel-muistin asettelu saattoi paljastua muistinhallintaongelman vuoksi. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3780: Emaze Networksin Roberto Paleari ja Aristide Fattori

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi päästä muiden iCloudia käyttävien laitteiden ilmoituksin.

    Kuvaus: Jos Macista tai iOS-laitteesta oli muodostettu laitepari Bluetoothin avulla, haittaohjelma saattoi päästä ilmoituksiin, jotka olivat sen Ilmoituskeskuksessa. Ongelma koski laitteita, jotka käyttivät Handoffia ja jotka olivat kirjautuneena samalle iCloud-tilille. Ongelma on ratkaistu kumoamalla pääsy Applen ilmoituskeskuspalveluun.

    CVE-ID

    CVE-2015-3786: Xiaolong Bai (Tsinghuan yliopisto), System Security Lab (Indianan yliopisto), Tongxin Li (Pekingin yliopisto) ja XiaoFeng Wang (Indianan yliopisto)

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan palvelunestohyökkäyksen käyttämällä väärin muotoiltuja Bluetooth-paketteja.

    Kuvaus: Bluetoothin ACL-pakettien jäsentämisessä oli syötön tarkistusongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: bluedin tavassa käsitellä XPC-viestejä oli useita puskurin ylivuoto-ongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2015-3777: [PDX]:n mitp0sh

  • bootp

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallinen Wi-Fi-verkko saattoi pystyä selvittämään verkot, joita laitteesta oli aiemmin käytetty.

    Kuvaus: Kun laite yhdistettiin Wi-Fi-verkkoon, iOS saattoi lähettää aiemmin käytettyjen verkkojen MAC-osoitteet DNAv4-protokollan kautta. Ongelma on ratkaistu poistamalla DNAv4 käytöstä salaamattomissa Wi-Fi-verkoissa.

    CVE-ID

    CVE-2015-3778: Oxfordin yliopiston Oxford Internet Instituten Piers O'Hanlon (EPSRC Being There -hankkeen puitteissa)

  • CloudKit

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi päästä aiemmin kirjautuneena olleen käyttäjän iCloud-käyttäjätietoihin.

    Kuvaus: CloudKitissä oli tilan ristiriitaisuus käyttäjien uloskirjaamisessa. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-3782: Toronton yliopiston Deepkanwal Plaha

  • CoreMedian toisto-ominaisuudet

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen elokuvatiedoston katsominen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreMedian toisto-ominaisuuksissa oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-5761: John Villamil (@day6reak) ja Yahoo Pentest Team

  • CoreText

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak) ja Yahoo Pentest Team

  • curl

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: cURL ja libcurl 7.38.0:aa edeltävissä versioissa oli useita haavoittuvuuksia, joista yksi saattoi johtaa siihen, että etähyökkääjä pystyi ohittamaan samaa alkuperää koskevan käytännön.

    Kuvaus: cURL ja libcurl 7.38.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä cURL versioon 7.43.0.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Unicode-merkkisarjan käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Unicode-merkkien käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5750: Safeye Teamin (www.safeye.org) M1x7e1

  • Päivämäärä ja aika -asetuspaneeli

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Järjestelmän aikaa käyttävät ohjelmat saattoivat toimia odottamattomalla tavalla.

    Kuvaus: Järjestelmän päivämäärä- ja kellonaika-asetusten muokkaamisessa oli valtuutusongelma. Ongelma on ratkaistu lisäämällä valtuutustarkistuksia.

    CVE-ID

    CVE-2015-3757: Mark S C Smith

  • Sanakirja-ohjelma

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan käyttäjän Sanakirja-ohjelmassa tekemät kyselyt.

    Kuvaus: Sanakirja-ohjelmassa oli ongelma, jonka vuoksi käyttäjän tietoliikennettä ei suojattu asianmukaisesti. Ongelma on ratkaistu asettamalla Sanakirja-kyselyt käyttämään HTTPS:ää.

    CVE-ID

    CVE-2015-3774: EEQJ:n Jeffrey Paul ja Google Security Teamin Jan Bee

  • Levytiedostot

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.

    Kuvaus: Väärin muotoiltujen DMG-kuvien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3800: Yahoo Pentest Teamin Frank Graziano 

  • dyld

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: dyldissä oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.

    CVE-ID

    CVE-2015-3760: grayhashin beist sekä Stefan Esser

  • FontParser

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-5756: John Villamil (@day6reak) ja Yahoo Pentest Team

  • groff

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: pdfroffissa oli useita ongelmia.

    Kuvaus: pdfroffissa oli useita ongelmia, joista vakavin saattoi mahdollistaa tiedostojärjestelmän mielivaltaisen muokkaamisen. Ongelmat on ratkaistu poistamalla pdfroff.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen TIFF-kuvan käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: TIFF-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Vierailu haitallisella verkkosivustolla saattoi aiheuttaa prosessimuistin paljastumisen.

    Kuvaus: ImageIO-komponentin tavassa käsitellä PNG- ja TIFF-kuvia oli alustamattoman muistin käyttöön liittyvä ongelma. Vierailu haitallisella verkkosivustolla saattoi aiheuttaa sen, että verkkosivustolle lähetettiin tietoja prosessimuistista. Ongelma on ratkaistu parantamalla muistin alustamista sekä suorittamalla PNG- ja TIFF-kuvien lisätarkistus.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework (vanha)

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: Install.frameworkin runner-binäärin tavassa luopua käyttöoikeuksista oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeuksien hallintaa.

    CVE-ID

    CVE-2015-5784: Google Project Zeron Ian Beer

  • Install Framework (vanha)

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Install.frameworkin runner-binäärissä oli kilpailutilanne, jonka vuoksi se luopui käyttöoikeuksista virheellisesti. Ongelma on ratkaistu parantamalla objektien lukitusta.

    CVE-ID

    CVE-2015-5754: Google Project Zeron Ian Beer

  • IOFireWireFamily

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOFireWireFamilyssa oli muistin vioittumisongelmia. Ongelmat on ratkaistu suorittamalla tekstin syötön lisätarkistus.

    CVE-ID

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOGraphicsissa oli muistin vioittumisongelma. Ongelma on ratkaistu suorittamalla tekstin syötön lisätarkistus.

    CVE-ID

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: mach_port_space_info-liitännässä oli ongelma, jonka vuoksi kernel-muistin asettelu saattoi paljastua. Ongelma on ratkaistu poistamalla mach_port_space_info-liitäntä käytöstä.

    CVE-ID

    CVE-2015-3766: Alibaba Mobile Security Teamin Cererdlong sekä @PanguTeam

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOKit-funktioiden käsittelyssä oli kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla IOKit API-argumenttien tarkistusta.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: Fasttrap-ajurissa oli resurssien loppumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5747: m00nbsd:n Maxime Villard

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: HFS-taltioiden tuomisessa näkyviin oli tarkistusongelma. Ongelma on ratkaistu lisätarkistuksilla.

    CVE-ID

    CVE-2015-5748: m00nbsd:n Maxime Villard

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan allekirjoittamatonta koodia.

    Kuvaus: Allekirjoittamattoman koodin laajentaminen allekirjoitetuksi koodiksi oli mahdollista erityisesti luodussa suoritustiedostossa. Ongelma on ratkaistu parantamalla koodin allekirjoituksen tarkistusta.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Erityisesti luotu suoritustiedosto saattoi sallia allekirjoittamattoman haittakoodin suorittamisen.

    Kuvaus: Eri arkkitehtuureja tukevien suoritustiedostojen arviointitavassa oli virhe, jonka vuoksi allekirjoittamattoman koodin suorittaminen saatettiin sallia. Ongelma on ratkaistu parantamalla suoritustiedostojen tarkistusta.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan allekirjoittamatonta koodia.

    Kuvaus: Mach-O-tiedostojen käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu lisätarkistuksilla.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen plistin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.

    Kuvaus: Väärin muotoiltujen plistien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3776: Facebook Securityn Teddy Reed ja Jinx Germanyn Patrick Stein (@jollyjinx)

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Järjestelmässä oli polun tarkistamisongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.

    CVE-ID

    CVE-2015-3761: Apple

  • Libc

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen säännöllisen lausekkeen käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: TRE-kirjastossa oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-3796: Google Project Zeron Ian Beer

    CVE-2015-3797: Google Project Zeron Ian Beer

    CVE-2015-3798: Google Project Zeron Ian Beer

  • Libinfo

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: AF_INET6-socketien käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Syscallien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

    CVE-ID

    CVE-2015-5757: Qihoo 360:n Lufeng Li

  • libxml2

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Kuvaus: libxml2 2.9.2:ta edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.

    Kuvaus: libxml2 2.9.2:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä libxml2 versioon 2.9.2.

    CVE-ID

    CVE-2012-6685: Googlen Felix Groebert

    CVE-2014-0191: Googlen Felix Groebert

  • libxml2

    Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: libxml2:ssa oli muistin käyttöongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2014-3660: Googlen Felix Groebert

  • libxml2

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: XML-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3807: Apple

  • libxpc

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Väärin muotoiltujen XPC-viestien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaisia komentotulkkikomentoja.

    Kuvaus: Sähköpostiosoitteiden mailx-jäsentämisessä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla siivoamista.

    CVE-ID

    CVE-2014-7844

  • OS X:n Ilmoituskeskus

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haittaohjelma saattoi päästä kaikkiin ilmoituksiin, jotka oli aiemmin näytetty käyttäjille.

    Kuvaus: Ilmoituskeskuksessa oli ongelma, jonka vuoksi käyttäjäilmoituksia ei poistettu asianmukaisesti. Ongelma on ratkaistu poistamalla käyttäjien sulkemat ilmoitukset oikein.

    CVE-ID

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: NTFS:ssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5763: Emaze Networksin Roberto Paleari ja Aristide Fattori

  • OpenSSH

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etähyökkääjät saattoivat pystyä kiertämään epäonnistuneiden kirjautumisyritysten aikaviiveen ja suorittamaan väsytyshyökkäyksiä.

    Kuvaus: Näppäimistöä käyttävien laitteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla todentamispyyntöjen tarkistamista.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.

    Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen säännöllisen lausekkeen jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen paljastumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Perlin tavassa jäsentää säännöllisiä lausekkeita oli kokonaisluvun alivuoto-ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan ohjelman odottamattoman sulkeutumisen tai saada pääsyn tietoihin ilman asianmukaista todentamista.

    Kuvaus: PostgreSQL 9.2.4:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä PostgreSQL versioon 9.2.13.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Python 2.7.6:ssa oli useita haavoittuvuuksia, joista vakavin saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Python 2.7.6:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Python versioon 2.7.10.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Office-dokumenttien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5773: Apple

  • QL Office

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen XML-tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: XML-tiedostojen jäsentämisessä oli ulkoiseen entiteettiin liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-ID

    CVE-2015-3784: INTEGRITY S.A.:n Bruno Morisson

  • Quartz Composer -sovelluskehys

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen QuickTime-tiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTime-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5771: Apple

  • Pikakatselu

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Kuvaus: Aiemmin tarkastellun verkkosivuston hakeminen saattoi käynnistää verkkoselaimen ja näyttää kyseisen verkkosivuston.

    Kuvaus: Pikakatselussa oli ongelma, jonka vuoksi siinä pystyttiin suorittamaan JavaScript-koodia. Ongelma on ratkaistu estämällä JavaScriptin suorittaminen.

    CVE-ID

    CVE-2015-3781: Facebookin Andrew Pouliot ja Qubolen Anto Loyola

  • QuickTime 7

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: QuickTimessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-3765: Audio Poisonin Joe Burnett

    CVE-2015-3788: Cisco Talosin Ryan Pentney ja Richard Johnson

    CVE-2015-3789: Cisco Talosin Ryan Pentney ja Richard Johnson

    CVE-2015-3790: Cisco Talosin Ryan Pentney ja Richard Johnson

    CVE-2015-3791: Cisco Talosin Ryan Pentney ja Richard Johnson

    CVE-2015-3792: Cisco Talosin Ryan Pentney ja Richard Johnson

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen Collada-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: SceneKitin tavassa käsitellä Collada-tiedostoja oli kekopuskurin ylivuoto. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-5772: Apple

  • SceneKit

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: SceneKitissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3783: Google Security Teamin Haris Andrianakis

  • Suojaus

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Tavallinen käyttäjä saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.

    Kuvaus: Käyttäjien todentamisessa oli ongelma. Ongelma on ratkaistu parantamalla todentamistarkistuksia.

    CVE-ID

    CVE-2015-3775: [Eldon Ahrold]

  • SMB-asiakas

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: SMB-asiakkaassa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3773: Ilja van Sprundel

  • Puhekäyttöliittymä

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen unicode-merkkijonon jäsentäminen puheilmoitusten ollessa käytössä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: Unicode-merkkijonojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-3794: Refinitiven Adam Greenbaum

  • sudo

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: sudo 1.7.10p9:ää edeltävissä versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että hyökkääjä pääsi mielivaltaisiin tiedostoihin.

    Kuvaus: sudo 1.7.10p9:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä sudo versioon 1.7.10p9.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Kuvaus: tcpdump 4.7.3:ssa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa siihen, että etähyökkääjä pystyi aiheuttamaan palvelun eston.

    Kuvaus: tcpdump 4.7.3:a edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä tcpdump versioon 4.7.3.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Tekstimuodot

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: TeXturin jäsentämisessä oli ulkoiseen XML-entiteettiin liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-ID

    CVE-2015-3762: Evernote Security Teamin Xiaoyong Wu

  • udf

    Saatavuus: OS X Yosemite 10.10–10.10.4.

    Vaikutus: Haitallisen DMG-tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen järjestelmän käyttöoikeuksilla.

    Kuvaus: Väärin muotoiltujen DMG-kuvien jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-3767: grayhashin beist

OS X Yosemite 10.10.5:ssä on Safari 8.0.8:n turvallisuussisältö.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: