Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.
OS X El Capitan 10.11.2, suojauspäivitys 2015-005 Yosemite ja suojauspäivitys 2015-008 Mavericks
apache_mod_php
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: PHP:ssä oli useita haavoittuvuuksia.
Kuvaus: Versiota 5.5.29 vanhemmissa PHP-versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.5.30.
CVE-ID
CVE-2015-7803
CVE-2015-7804
Ohjelmien eristystoiminto (AppSandbox)
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haittaohjelma voi jatkaa yhteystietojen käyttöä, vaikka käyttöoikeus olisi kumottu.
Kuvaus: Ohjelmien eristystoiminnon kiinteiden linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla ohjelmien eristystoiminnon suojausta ja eristystä.
CVE-ID
CVE-2015-7001: Razvan Deaconescu ja Mihai Bucicoiu – University POLITEHNICA of Bucharest; Luke Deshotels ja William Enck – North Carolina State University; Lucas Vincenzo Davi ja Ahmad-Reza Sadeghi – TU Darmstadt
Bluetooth
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Bluetooth HCI -liittymässä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7108: Ian Beer – Google Project Zero
CFNetwork HTTPProtocol
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Oikeuksin varustetussa verkkosijainnissa toimiva hyökkääjä saattaa kyetä ohittamaan HSTS:n.
Kuvaus: URL-osoitteiden käsittelyssä oli annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistamista.
CVE-ID
CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) Gehirn Inc:istä ja Muneaki Nishimura (nishimunea)
Pakkaus
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Zlibissä oli alustamattoman muistin käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin alustamista sekä zlib-lisätarkistuksilla.
CVE-ID
CVE-2015-7054: j00ru
Määrittelyprofiilit
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen hyökkääjä saattoi kyetä asentamaan asetusprofiilin ilman ylläpitäjän oikeuksia.
Kuvaus: Asetusprofiilien asennuksessa oli ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.
CVE-ID
CVE-2015-7062 : David Mulder – Dell Software
CoreGraphics
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Väärin muotoiltujen mediatiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7074: Apple
CVE-2015-7075
Levykuvat
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Levytiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7110: Ian Beer – Google Project Zero
EFI
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Kernelin lataustoiminnossa oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.
CVE-ID
CVE-2015-7063: Apple
Tiedostokirjanmerkki
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Ohjelman määrittämissä kirjanmerkeissä oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.
CVE-ID
CVE-2015-7071: Apple
Hypervisor
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: VM-objektien käsittelyssä oli Use after free -ongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7078: Ian Beer – Google Project Zero
iBooks
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haitallisen iBooks-tiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: iBooksin jäsentämisessä oli ulkoiseen XML-kohteeseen liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.
CVE-ID
CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) ja Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ImageIO:ssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7053: Apple
Intelin grafiikkaohjain
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Nollaosoittimen epäviittausongelma korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-ID
CVE-2015-7076 : Juwei Lin – TrendMicro, beist ja ABH – BoB sekä JeongHoon Shin@A.D.D
Intelin grafiikkaohjain
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Intelin grafiikkaohjaimessa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7106: Ian Beer – Google Project Zero, Juwei Lin – TrendMicro, beist ja ABH – BoB sekä JeongHoon Shin@A.D.D
Intelin grafiikkaohjain
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Intelin grafiikkaohjaimessa oli rajojen ulkopuolisen muistin käyttöongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7077: Ian Beer – Google Project Zero
IOAcceleratorFamily
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7109: Juwei Lin – TrendMicro
IOHIDFamily
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyn ohjelmointirajapinnassa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7111: beist ja ABH – BoB
CVE-2015-7112: Ian Beer – Google Project Zero
IOKit SCSI
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Tietyn käyttäjäasiakastyypin käsittelyssä oli null-arvoinen dereference-osoitin. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2015-7068: Ian Beer – Google Project Zero
IOThunderboltFamily
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: IOThunderboltFamilyn tavassa käsitellä tiettyjä IOService-käyttäjäasiakastyyppejä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOThunderboltFamilyn kontekstien tarkistamista.
CVE-ID
CVE-2015-7067: Juwei Lin – TrendMicro
Kernel
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7040: Lufeng Li – Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li – Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li – Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7083: Ian Beer – Google Project Zero
CVE-2015-7084: Ian Beer – Google Project Zero
Kernel
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Mach-ilmoitusten jäsentämisessä oli ongelma. Ongelma on ratkaistu Mach-ilmoitusten lisätarkistuksella.
CVE-ID
CVE-2015-7047: Ian Beer – Google Project Zero
kext tools
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernel-laajennusten lataamisessa oli tarkistusongelma. Ongelma on ratkaistu lisäämällä tarkistuksia.
CVE-ID
CVE-2015-7052: Apple
Avainnipun käyttö
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haittaohjelma saattoi tekeytyä avainnipun palvelimeksi.
Kuvaus: Avainnipun käyttöoikeustoiminnon ja avainnippuagentin välisessä toiminnassa oli ongelma. Ongelma on ratkaistu poistamalla vanhentuneet toiminnot.
CVE-ID
CVE-2015-7045: Luyi Xing ja XiaoFeng Wang – Indiana University Bloomington, Xiaolong Bai – Indiana University Bloomington ja Tsinghua University, Tongxin Li – Peking University, Kai Chen – Indiana University Bloomington ja Institute of Information Engineering, Xiaojing Liao – Georgia Institute of Technology, Shi-Min Hu – Tsinghua University ja Xinhui Han – Peking University
libarchive
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Arkistojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2011-2895: @practicalswift
libc
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Haitallisen paketin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: C-vakiokirjastossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.
CVE-ID
CVE-2015-7038: Brian D. Wells (E. W. Scripps) ja Narayan Subramanian (Symantec Corporation / Veritas LLC)
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Kohta päivitetty 3.3.2017
libexpat
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: expatissa oli useita haavoittuvuuksia.
Kuvaus: Versiota 2.1.0 vanhemmissa expat-versioissa oli useita haavoittuvuuksia. Ne on korjattu päivittämällä expat versioon 2.1.0.
CVE-ID
CVE-2012-0876: Vincent Danen
CVE-2012-1147: Kurt Seifried
CVE-2012-1148: Kurt Seifried
libxml2
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: XML-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7115: Wei Lei ja Liu Yang (Nanyang Technological University)
CVE-2015-7116: Wei Lei ja Liu Yang (Nanyang Technological University)
OpenGL
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: OpenGL:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7064: Apple
CVE-2015-7065: Apple
CVE-2015-7066: Tongbo Luo ja Bo Qu – Palo Alto Networks
OpenLDAP
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Todentamaton etäasiakas saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: OpenLDAP:ssa oli useita annettujen tietojen tarkistuksen ongelmia. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.
CVE-ID
CVE-2015-6908
OpenSSH
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: LibreSSL:ssä oli useita haavoittuvuuksia
Kuvaus: versiota 2.1.8 vanhemmissa LibreSSL-versioissa oli useita haavoittuvuuksia. Ne korjattiin päivittämällä LibreSSL versioon 2.1.8.
CVE-ID
CVE-2015-5333
CVE-2015-5334
Pikakatselu
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haitallisen iWork-tiedoston avaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: iWork-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7107
Eristys
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Pääoikeudet omaava haittaohjelma voi ehkä ohittaa kernel-osoitetilan asettelun satunnaistamisen.
Kuvaus: Xnu:ssa oli ongelma, joka johtui oikeuksien riittämättömästä erottelusta. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.
CVE-ID
CVE-2015-7046: Apple
Suojaus
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: SSL-kättelyiden käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-7073: Benoit Foucher – ZeroC, Inc.
Suojaus
Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.5
Vaikutus: Haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ASN.1-koodipurkutoiminnossa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-7059: David Keeler – Mozilla
CVE-2015-7060: Tyson Smith – Mozilla
CVE-2015-7061: Ryan Sleevi – Google
Suojaus
Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.
Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.
Kuvaus: Avainnipun kohteiden käyttöoikeusluetteloiden tarkistamisessa oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden tarkistusta.
CVE-ID
CVE-2015-7058
Järjestelmän yhtenäisyyden suojaaminen
Saatavuus: OS X El Capitan 10.11 ja 10.11.1.
Vaikutus: Pääkäyttöoikeudet omaava haittaohjelma voi suorittaa satunnaista koodia järjestelmäoikeuksilla.
Kuvaus: Union Mount -käsittelyssä oli oikeuksien ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.
CVE-ID
CVE-2015-7044: MacDefender
Huomautukset
- Suojauspäivityksiä 2015-005 ja 2015-008 suositellaan kaikille käyttäjille OS X:n suojauksen parantamiseksi. Kun asennat tämän päivityksen, QuickTime 7 -selainliitännäinen ei ole enää oletusarvoisesti käytössä. Jos haluat edelleen käyttää tätä vanhaa liitännäistä, lue tarkempia ohjeita.
- OS X El Capitan 10.11.2 sisältää Safari 9.0.2:n suojaussisällön.