Tietoja OS X El Capitan 10.11:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X El Capitan 10.11:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.

OS X El Capitan 10.11

  • Osoitekirja

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä lisäämään mielivaltaista koodia prosesseihin, jotka latasivat Osoitekirja-sovelluskehyksen.

    Kuvaus: Osoitekirja-sovelluskehyksen tavassa käsitellä ympäristömuuttujaa oli ongelma. Ongelma on ratkaistu parantamalla ympäristömuuttujien käsittelyä.

    CVE-ID

    CVE-2015-5897: Gotham Digital Sciencen Dan Bastone

  • AirScan

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä saamaan suojatun yhteyden kautta lähetettyjen eSCL-pakettien tietosisällön.

    Kuvaus: eSCL-pakettien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointitarkistuksia.

    CVE-ID

    CVE-2015-5853: nimetön tutkija

  • apache_mod_php

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP 5.5.27:ää edeltävissä versioissa oli useita haavoittuvuuksia, joista yksi saattoi aiheuttaa koodin suorittamisen etänä. Ongelma on ratkaistu päivittämällä PHP versioon 5.5.27.

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

    Kuvaus: iCloud-avainnipun kohteiden pääsynhallintaluetteloiden validoinnissa oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden tarkistusta.

    CVE-ID

    CVE-2015-5836: Indianan yliopiston XiaoFeng Wang ja Luyi Xing, Pekingin yliopiston Tongxin Li ja Tsinghuan yliopiston Xiaolong Bai

  • AppleEvents

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Näytönjaon kautta yhteydessä ollut käyttäjä pystyi lähettämään Apple Eventejä paikallisen käyttäjän istuntoon.

    Kuvaus: Apple Eventien suodatuksessa oli ongelma, jonka vuoksi jotkin käyttäjät pystyivät lähettämään komentoja toisille käyttäjille. Ongelma on ratkaistu parantamalla Apple Eventien käsittelyä.

    CVE-ID

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Ääni

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)

  • bash

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: bashissa oli useita haavoittuvuuksia.

    Kuvaus: bash 3.2:n korjaustiedostotaso 57:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä bash 3.2 korjaustiedostotasolle 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Varmenteiden luottamuskäytäntö

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT202858.

  • CFNetwork Cookies

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.

    Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.

    CVE-ID

    CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork FTPProtocol

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitalliset FTP-palvelimet saattoivat saada asiakkaan suorittamaan tiedustelua muissa palvelimissa.

    Kuvaus: FTP-pakettien käsittelyssä oli ongelma käytettäessä PASV-komentoa. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallinen URL-osoite saattoi pystyä ohittamaan HSTS:n ja vuotamaan arkaluontoisia tietoja.

    Kuvaus: HSTS:n käsittelyssä oli URL-osoitteen jäsentämishaavoittuvuus. Ongelma on ratkaistu parantamalla URL-osoitteiden jäsentämistä.

    CVE-ID

    CVE-2015-5858: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork HTTPProtocol

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan verkkoliikennettä.

    Kuvaus: Esiladatun HSTS-luettelon kohtien käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-5859: Luxemburgin yliopiston Rosario Giustolisi

  • CFNetwork HTTPProtocol

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.

    Kuvaus: HSTS-tilan käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-5860: RadicalResearch Ltd:n Sam Greenhalgh

  • CFNetwork-välipalvelimet

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.

    Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.

    CVE-ID

    CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork SSL

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.

    Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.

    CVE-ID

    CVE-2015-5824: Omni Groupin Timothy J. Wood

  • CFNetwork SSL

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.

    Kuvaus: RC4:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä. Hyökkääjä saattoi pakottaa RC4:n käytön, vaikka palvelin suosi parempaa salausmenetelmää, estämällä TLS 1.0:aa ja sitä uudempaa TLS-versiota käyttävät yhteydet, kunnes CFNetwork kokeili SSL 3.0:aa, joka mahdollistaa vain RC4:n. Ongelma on ratkaistu poistamalla mahdollisuus käyttää SSL 3.0:aa varamenetelmänä.

  • CoreCrypto

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.

    Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamisen tai salauksen purkamisen yrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.

  • CoreText

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team

  • Dev Tools

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5876: grayhashin beist

  • Dev Tools

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5839: @PanguTeam

  • Levykuvat

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella ja Luca Todesco

  • dyld

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haittaohjelma saattoi estää joidenkin järjestelmien käynnistymisen.

    Kuvaus: Suojatun aluerekisterin kattamissa osoitteissa oli ongelma. Ongelma on ratkaistu muuttamalla suojattua aluetta.

    CVE-ID

    CVE-2015-5900: LegbaCoren Xeno Kovah ja Corey Kallenberg

  • EFI

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallinen Applen Ethernet–Thunderbolt-sovitin saattoi pystyä häiritsemään laiteohjelmiston päivittämistä.

    Kuvaus: Applen Ethernet–Thunderbolt-sovitin saattoi muokata isäntälaiteohjelmistoa ollessaan liitettynä tietokoneeseen EFI-päivityksen aikana. Ongelma on ratkaistu olemalla lataamatta valinnaisia ROM-muisteja päivitysten aikana.

    CVE-ID

    CVE-2015-5914: Two Sigma Investmentsin Trammell Hudson sekä snare

  • Finder

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Roskakorin turvallinen tyhjennystoiminto ei välttämättä poistanut tiedostoja roskakorista turvallisesti.

    Kuvaus: Roskakorissa olevien tiedostojen turvallisen poistamisen varmistamisessa oli ongelma joissakin (esimerkiksi flash-muistia käyttävissä) järjestelmissä. Ongelma on ratkaistu poistamalla roskakorin turvallinen tyhjennysvaihtoehto.

    CVE-ID

    CVE-2015-5901: Apple

  • Game Center

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallinen Game Center -ohjelma saattoi saada pelaajan sähköpostiosoitteen.

    Kuvaus: Game Centerin tavassa käsitellä pelaajan sähköpostiosoitetta oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä toistamaan Kerberos-tunnistetiedot uudelleen SMB-palvelimelle.

    Kuvaus: Kerberos-tunnistetiedoissa oli todentamisongelma. Ongelma on ratkaistu tunnistetietojen lisävalidoinnilla käyttämällä äskettäin nähtyjen tunnistetietojen luetteloa.

    CVE-ID

    CVE-2015-5913: Microsoft Corporationin (Yhdysvallat) Tarun Chopra ja Microsoft Corporationin (Kiina) Yu Fan

  • ICU

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: ICU:ssa oli useita haavoittuvuuksia.

    Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Google Project Zeron Mark Brand

  • Install Framework (vanha)

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

    Kuvaus: Etuoikeutetun suoritettavan tiedoston sisältävässä yksityisessä Install-sovelluskehyksessä oli rajoitusongelma. Ongelma on ratkaistu poistamalla suoritettava tiedosto.

    CVE-ID

    CVE-2015-5888: Apple

  • Intelin grafiikkaohjain

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Intelin grafiikkaohjaimessa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: IOAudioFamilyssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu ottamalla permutaatiot kernel-osoittimista.

    CVE-ID

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5871: IOActiven Ilja van Sprundel

    CVE-2015-5872: IOActiven Ilja van Sprundel

    CVE-2015-5873: IOActiven Ilja van Sprundel

    CVE-2015-5890: IOActiven Ilja van Sprundel

  • IOGraphics

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: IOGraphicsissa oli ongelma, joka saattoi aiheuttaa kernel-muistin asettelun paljastumisen. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5866: Apple

    CVE-2015-5867: Trend Micron moony li

  • IOStorageFamily

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5863: IOActiven Ilja van Sprundel

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong

    CVE-2015-5896: m00nbsd:n Maxime Villard

    CVE-2015-5903: CESG

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.

    Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.

    CVE-ID

    CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.

    Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Nämä ongelmat on ratkaistu parantamalla pinoevästeiden luomista.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Hyökkääjä saattoi pystyä käynnistämään palvelunestohyökkäyksiä kohdistettuihin TCP-yhteyksiin tietämättä oikeaa järjestysnumeroa.

    Kuvaus: xnu:n tavassa validoida TCP-pakettiotsakkeet oli ongelma. Ongelma on ratkaistu parantamalla TCP-pakettiotsakkeiden validointia.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.

    Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernel-muistin asettelu saattoi paljastua ongelman vuoksi. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.

    CVE-ID

    CVE-2015-5842: grayhashin beist

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Virheenkorjausliittymissä oli ongelma, joka aiheutti muistisisällön paljastumisen. Ongelma on ratkaistu puhdistamalla virheenkorjausliittymien tuloste.

    CVE-ID

    CVE-2015-5870: Apple

  • Kernel

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: Virheenkorjaustoiminnallisuudessa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2015-5902: NowSecure Research Teamin Sergi Alvarez (pancake)

  • libc

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: fflush-toiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2014-8611: Norse Corporationin Adrian Chadd ja Alfred Perlstein

  • libpthread

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li

  • libxpc

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Useat SSH-yhteydet saattoivat aiheuttaa palveluneston.

    Kuvaus: launchd ei rajoittanut verkkoyhteyden käynnistämien prosessien määrää. Ongelma on ratkaistu rajoittamalla SSH-prosessien määrä 40:een.

    CVE-ID

    CVE-2015-5881: Apple

  • Kirjautumisikkuna

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Näytön lukitus ei joskus mennyt päälle määritetyn ajanjakson jälkeen.

    Kuvaus: Kaapatussa näytön lukituksessa oli ongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.

    CVE-ID

    CVE-2015-5833: Carlos Moreira, rainer dorau informationsdesignin Rainer Dorau, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera sekä Asynchronyn Jon Hall

  • lukemftpd

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etähyökkääjä saattoi luoda FTP-palvelinta koskevan palveluneston.

    Kuvaus: tnftpd:ssä oli globin prosessointiongelma. Ongelma on ratkaistu parantamalla globin validointia.

    CVE-ID

    CVE-2015-5917: cxsecurity.comin Maksymilian Arciemowicz

  • Mail

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Sähköpostiviestin tulostaminen saattoi aiheuttaa arkaluontoisten käyttäjätietojen paljastumisen.

    Kuvaus: Mailissa oli ongelma, jonka vuoksi käyttäjäasetukset ohitettiin tulostettaessa sähköpostiviestiä. Ongelma on ratkaistu parantamalla käyttäjäasetusten toimeenpanoa.

    CVE-ID

    CVE-2015-5881: Akamai Technologiesin Owen DeLong, Noritaka Kamiya, Saksan Eschenburgista kotoisin oleva Dennis Klein sekä Systim Technology Partnersin Jeff Hammett

  • Mail

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa Mail Dropin kautta lähetettyjen S/MIME-salattujen sähköpostiviestien liitteitä.

    Kuvaus: Mail Dropin kautta lähetettyjen suurten sähköpostin liitetiedostojen salausparametrien käsittelyssä oli ongelma. Ongelma on ratkaistu olemalla tarjoamatta Mail Dropia lähetettäessä salattuja sähköpostiviestejä.

    CVE-ID

    CVE-2015-5884: Integrated Mapping Ltd:n John McCombs

  • Multipeer-yhteydet

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä tarkkailemaan suojaamattomia multipeer-tietoja.

    Kuvaus: Convenience-alustajan käsittelyssä oli ongelma, jonka vuoksi salattu istunto pystyttiin aktiivisesti heikentämään salaamattomaksi. Ongelma on ratkaistu muuttamalla convenience-alustaja vaatimaan salausta.

    CVE-ID

    CVE-2015-5851: Data Theoremin Alban Diquet (@nabla_c0d3)

  • NetworkExtension

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernelissä ollut alustamattoman muistin ongelma aiheutti kernel-muistin sisällön paljastumisen. Ongelma on korjattu parantamalla muistin alustamista.

    CVE-ID

    CVE-2015-5831: m00nbsd:n Maxime Villard

  • Muistiinpanot

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

    Kuvaus: Linkkien jäsentämisessä oli ongelma Muistiinpanot-ohjelmassa. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-5878: Tripwire VERTin Craig Young sekä nimetön tutkija

  • Muistiinpanot

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

    Kuvaus: Tekstin jäsentämisessä oli sivustojen välinen komentosarjaongelma Muistiinpanot-ohjelmassa. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-5875: Tencentin Xuanwu LABin (www.tencent.com) xisigr

  • OpenSSH

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: OpenSSH:ssa oli useita haavoittuvuuksia.

    Kuvaus: OpenSSH 6.9:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSH versioon 6.9.

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.

    Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: procmailissa oli useita haavoittuvuuksia.

    Kuvaus: procmail 3.22:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu poistamalla procmail.

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: rsh-binäärin tavassa käyttää ympäristömuuttujia oli ongelma. Ongelma on ratkaistu poistamalla setuid-oikeudet rsh-binääriltä.

    CVE-ID

    CVE-2015-5889: Philip Pettersson

  • removefile

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.

    CVE-ID

    CVE-2015-5840: nimetön tutkija

  • Ruby

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Rubyssa oli useita haavoittuvuuksia.

    Kuvaus: Ruby 2.0.0p645:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Ruby versioon 2.0.0p645.

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Suojaus

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Avainnipun lukitustila saattoi näkyä käyttäjälle virheellisesti.

    Kuvaus: Avainnipun lukitustilan seurantatavassa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-5915: Minnesotan yliopiston Peter Walz sekä David Ephron, Eric E. Lawrence ja Apple

  • Suojaus

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Hylkäämistarkistusta vaatimaan määritetty luottamusarviointi saattoi onnistua, vaikka hylkäämistarkistus epäonnistui.

    Kuvaus: kSecRevocationRequirePositiveResponse-lippu oli määritetty, mutta sitä ei toimeenpantu. Ongelma on ratkaistu toimeenpanemalla lippu.

    CVE-ID

    CVE-2015-5894: kWallet GmbH:n Hannes Oud

  • Suojaus

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Etäpalvelin saattoi pyytää varmennetta ennen tunnistautumistaan.

    Kuvaus: Secure Transport hyväksyi CertificateRequest-viestin ennen ServerKeyExchange-viestiä. Ongelma on ratkaistu vaatimalla ServerKeyExchange-viesti ensin.

    CVE-ID

    CVE-2015-5887: INRIA Paris-Rocquencourtin Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti ja Jean Karim Zinzindohoue, Microsoft Researchin Cedric Fournet ja Markulf Kohlweiss sekä IMDEA Software Instituten Pierre-Yves Strub

  • SMB

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5891: IOActiven Ilja van Sprundel

  • SMB

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: SMBClientissa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5893: IOActiven Ilja van Sprundel

  • SQLite

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.

    Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Puhelinliikenne

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi soittaa puheluita käyttäjän tietämättä käytettäessä jatkuvuustoimintoja.

    Kuvaus: Puheluiden soittamisen valtuutustarkistuksissa oli ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.

    CVE-ID

    CVE-2015-3785: Gotham Digital Sciencen Dan Bastone

  • Terminal

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallinen teksti saattoi johtaa käyttäjän harhaan Päätteessä.

    Kuvaus: Pääte ei käsitellyt kaksisuuntaisia ohitusmerkkejä samalla tavalla näytettäessä tekstiä ja valittaessa tekstiä. Ongelma on ratkaistu estämällä kaksisuuntaiset ohitusmerkit Päätteessä.

    CVE-ID

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: tidyssa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5522: NULLGroup.comin Fernando Muñoz

    CVE-2015-5523: NULLGroup.comin Fernando Muñoz

  • Time Machine

    Saatavuus: Mac OS X 10.6.8 tai uudempi.

    Vaikutus: Paikallinen hyökkääjä saattoi saada pääsyn avainnippukohteisiin.

    Kuvaus: Time Machine -sovelluskehyksen ottamissa varmuuskopioissa oli ongelma. Ongelma on ratkaistu parantamalla Time Machine -varmuuskopioiden kattavuutta.

    CVE-ID

    CVE-2015-5854: Assured AB:n Jonas Magazinius

Huomautus: OS X El Capitan 10.11:ssä on Safari 9:n turvallisuussisältö.

 

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: