Tietoja OS X El Capitan 10.11.2:n, suojauspäivitys 2015-005:n ja suojauspäivitys 2015-008 Mavericksin turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X El Capitan 10.11.2:n, suojauspäivitys 2015-005 Yosemiten ja suojauspäivitys 2015-008 Mavericksin turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.

OS X El Capitan 10.11.2, suojauspäivitys 2015-005 Yosemite ja suojauspäivitys 2015-008 Mavericks

  • apache_mod_php

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: Versiota 5.5.29 vanhemmissa PHP-versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu päivittämällä PHP versioon 5.5.30.

    CVE-ID

    CVE-2015-7803

    CVE-2015-7804

  • Ohjelmien eristystoiminto (AppSandbox)

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haittaohjelma voi jatkaa yhteystietojen käyttöä, vaikka käyttöoikeus olisi kumottu.

    Kuvaus: Ohjelmien eristystoiminnon kiinteiden linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla ohjelmien eristystoiminnon suojausta ja eristystä.

    CVE-ID

    CVE-2015-7001: Razvan Deaconescu ja Mihai Bucicoiu – University POLITEHNICA of Bucharest; Luke Deshotels ja William Enck – North Carolina State University; Lucas Vincenzo Davi ja Ahmad-Reza Sadeghi – TU Darmstadt

  • Bluetooth

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Bluetooth HCI -liittymässä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7108: Ian Beer – Google Project Zero

  • CFNetwork HTTPProtocol

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Oikeuksin varustetussa verkkosijainnissa toimiva hyökkääjä saattaa kyetä ohittamaan HSTS:n.

    Kuvaus: URL-osoitteiden käsittelyssä oli annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistamista.

    CVE-ID

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) Gehirn Inc:istä ja Muneaki Nishimura (nishimunea)

  • Pakkaus

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Zlibissä oli alustamattoman muistin käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin alustamista sekä zlib-lisätarkistuksilla.

    CVE-ID

    CVE-2015-7054: j00ru

  • Määrittelyprofiilit

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen hyökkääjä saattoi kyetä asentamaan asetusprofiilin ilman ylläpitäjän oikeuksia.

    Kuvaus: Asetusprofiilien asennuksessa oli ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.

    CVE-ID

    CVE-2015-7062 : David Mulder – Dell Software

  • CoreGraphics

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Väärin muotoiltujen mediatiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7074: Apple

    CVE-2015-7075

  • Levykuvat

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Levytiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7110: Ian Beer – Google Project Zero

  • EFI

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelin lataustoiminnossa oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.

    CVE-ID

    CVE-2015-7063: Apple

  • Tiedostokirjanmerkki

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

    Kuvaus: Ohjelman määrittämissä kirjanmerkeissä oli polun tarkistusongelma. Ongelma on ratkaistu parantamalla ympäristön siivoamista.

    CVE-ID

    CVE-2015-7071: Apple

  • Hypervisor

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: VM-objektien käsittelyssä oli Use after free -ongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7078: Ian Beer – Google Project Zero

  • iBooks

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haitallisen iBooks-tiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: iBooksin jäsentämisessä oli ulkoiseen XML-kohteeseen liittyvä viittausongelma. Ongelma on ratkaistu parantamalla jäsentämistä.

    CVE-ID

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) ja Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: ImageIO:ssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7053: Apple

  • Intelin grafiikkaohjain

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Nollaosoittimen epäviittausongelma korjattiin annettujen tietojen parannetulla tarkistuksella.

    CVE-ID

    CVE-2015-7076 : Juwei Lin – TrendMicro, beist ja ABH – BoB sekä JeongHoon Shin@A.D.D

  • Intelin grafiikkaohjain

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Intelin grafiikkaohjaimessa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7106: Ian Beer – Google Project Zero, Juwei Lin – TrendMicro, beist ja ABH – BoB sekä JeongHoon Shin@A.D.D

  • Intelin grafiikkaohjain

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Intelin grafiikkaohjaimessa oli rajojen ulkopuolisen muistin käyttöongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7077: Ian Beer – Google Project Zero

  • IOAcceleratorFamily

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7109: Juwei Lin – TrendMicro

  • IOHIDFamily

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn ohjelmointirajapinnassa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7111: beist ja ABH – BoB

    CVE-2015-7112: Ian Beer – Google Project Zero

  • IOKit SCSI

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Tietyn käyttäjäasiakastyypin käsittelyssä oli null-arvoinen dereference-osoitin. Ongelma on ratkaistu parantamalla validointia.

    CVE-ID

    CVE-2015-7068: Ian Beer – Google Project Zero

  • IOThunderboltFamily

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: IOThunderboltFamilyn tavassa käsitellä tiettyjä IOService-käyttäjäasiakastyyppejä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOThunderboltFamilyn kontekstien tarkistamista.

    CVE-ID

    CVE-2015-7067: Juwei Lin – TrendMicro

  • Kernel

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7040: Lufeng Li – Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li – Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li – Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7083: Ian Beer – Google Project Zero

    CVE-2015-7084: Ian Beer – Google Project Zero

  • Kernel

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Mach-ilmoitusten jäsentämisessä oli ongelma. Ongelma on ratkaistu Mach-ilmoitusten lisätarkistuksella.

    CVE-ID

    CVE-2015-7047: Ian Beer – Google Project Zero

  • kext tools

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernel-laajennusten lataamisessa oli tarkistusongelma. Ongelma on ratkaistu lisäämällä tarkistuksia.

    CVE-ID

    CVE-2015-7052: Apple

  • Avainnipun käyttö

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haittaohjelma saattoi tekeytyä avainnipun palvelimeksi.

    Kuvaus: Avainnipun käyttöoikeustoiminnon ja avainnippuagentin välisessä toiminnassa oli ongelma. Ongelma on ratkaistu poistamalla vanhentuneet toiminnot.

    CVE-ID

    CVE-2015-7045: Luyi Xing ja XiaoFeng Wang – Indiana University Bloomington, Xiaolong Bai – Indiana University Bloomington ja Tsinghua University, Tongxin Li – Peking University, Kai Chen – Indiana University Bloomington ja Institute of Information Engineering, Xiaojing Liao – Georgia Institute of Technology, Shi-Min Hu – Tsinghua University ja Xinhui Han – Peking University

  • libarchive

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Arkistojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Haitallisen paketin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: C-vakiokirjastossa oli useita puskurin ylivuotoja. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2015-7038: Brian D. Wells (E. W. Scripps) ja Narayan Subramanian (Symantec Corporation / Veritas LLC)

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Kohta päivitetty 3.3.2017
  • libexpat

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: expatissa oli useita haavoittuvuuksia.

    Kuvaus: Versiota 2.1.0 vanhemmissa expat-versioissa oli useita haavoittuvuuksia. Ne on korjattu päivittämällä expat versioon 2.1.0.

    CVE-ID

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

    Kuvaus: XML-tiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7115: Wei Lei ja Liu Yang (Nanyang Technological University)

    CVE-2015-7116: Wei Lei ja Liu Yang (Nanyang Technological University)

  • OpenGL

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: OpenGL:ssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo ja Bo Qu – Palo Alto Networks

  • OpenLDAP

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Todentamaton etäasiakas saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: OpenLDAP:ssa oli useita annettujen tietojen tarkistuksen ongelmia. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.

    CVE-ID

    CVE-2015-6908

  • OpenSSH

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: LibreSSL:ssä oli useita haavoittuvuuksia

    Kuvaus: versiota 2.1.8 vanhemmissa LibreSSL-versioissa oli useita haavoittuvuuksia. Ne korjattiin päivittämällä LibreSSL versioon 2.1.8.

    CVE-ID

    CVE-2015-5333

    CVE-2015-5334

  • Pikakatselu

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haitallisen iWork-tiedoston avaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: iWork-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7107

  • Eristys

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Pääoikeudet omaava haittaohjelma voi ehkä ohittaa kernel-osoitetilan asettelun satunnaistamisen.

    Kuvaus: Xnu:ssa oli ongelma, joka johtui oikeuksien riittämättömästä erottelusta. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.

    CVE-ID

    CVE-2015-7046: Apple

  • Suojaus

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

    Kuvaus: SSL-kättelyiden käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-7073: Benoit Foucher – ZeroC, Inc.

  • Suojaus

    Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10.5

    Vaikutus: Haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: ASN.1-koodipurkutoiminnossa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-7059: David Keeler – Mozilla

    CVE-2015-7060: Tyson Smith – Mozilla

    CVE-2015-7061: Ryan Sleevi – Google

  • Suojaus

    Saatavuus: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ja OS X El Capitan 10.11.1.

    Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.

    Kuvaus: Avainnipun kohteiden käyttöoikeusluetteloiden tarkistamisessa oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden tarkistusta.

    CVE-ID

    CVE-2015-7058

  • Järjestelmän yhtenäisyyden suojaaminen

    Saatavuus: OS X El Capitan 10.11 ja 10.11.1.

    Vaikutus: Pääkäyttöoikeudet omaava haittaohjelma voi suorittaa satunnaista koodia järjestelmäoikeuksilla.

    Kuvaus: Union Mount -käsittelyssä oli oikeuksien ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.

    CVE-ID

    CVE-2015-7044: MacDefender

Huomautukset

  • Suojauspäivityksiä 2015-005 ja 2015-008 suositellaan kaikille käyttäjille OS X:n suojauksen parantamiseksi. Kun asennat tämän päivityksen, QuickTime 7 -selainliitännäinen ei ole enää oletusarvoisesti käytössä. Jos haluat edelleen käyttää tätä vanhaa liitännäistä, lue tarkempia ohjeita.

  • OS X El Capitan 10.11.2 sisältää Safari 9.0.2:n suojaussisällön.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: