Az OS X Yosemite 10.10.3 rendszernek és 2015-004-es biztonsági frissítés biztonsági változásjegyzéke

Ez a dokumentum az OS X Yosemite 10.10.3 rendszer és a 2015-004-es biztonsági frissítés biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk a CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Az OS X Yosemite 10.10.3 és a 2015-004-es biztonsági frissítés

  • Admin Framework

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A folyamatok rendszergazdai jogosultságokat tudtak szerezni megfelelő hitelesítés nélkül.

    Leírás: Egy hiba lépett fel az XPC-jogosultságok ellenőrzésekor. Hatékonyabb jogosultságellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1130: Emil Kvarnhammar (TrueSec)

  • apache

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Több biztonsági rés az Apache Subversion rendszerben.

    Leírás: Több biztonsági rés állt fenn a 2.4.10-esnél és a 2.2.29-esnél korábbi Apache-verziók esetén, amelyek közül az egyik távoli támadóknak tetszőleges kódvégrehajtást tett lehetővé. Az Apache 2.4.10-es és 2.2.29-es verzióra való frissítésével küszöböltük ki a hibákat

    CVE-azonosító

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231

  • ATS

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több beviteli érvényesség-ellenőrzési hiba lépett fel a fontd folyamatban. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.

    CVE-azonosító

    CVE-2015-1131: Ian Beer (Google Project Zero)

    CVE-2015-1132: Ian Beer (Google Project Zero)

    CVE-2015-1133: Ian Beer (Google Project Zero)

    CVE-2015-1134: Ian Beer (Google Project Zero)

    CVE-2015-1135: Ian Beer (Google Project Zero)

  • Certificate Trust Policy

    Érintett terület: A megbízható tanúsítványok házirendjének frissítése.

    Leírás: Frissítették a megbízható tanúsítványok házirendjét. Tekintse át a tanúsítványok teljes listáját.

  • CFNetwork HTTPProtocol

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.

    Leírás: Tartományközi, sütikkel kapcsolatos probléma lépett fel az átirányítások kezelésekor. Az átirányítási válaszban beállított sütiket továbbítani lehetett egy másik eredethez tartozó átirányítási célhelyre. Az átirányítások hatékonyabb kezelésével hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1089: Niklas Keller (http://kelunik.com)

  • CFNetwork Session

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Át lehetett küldeni a hitelesítési adatokat egy másik eredeten lévő kiszolgálóra.

    Leírás: artományközi, HTTP-kérelemfejlécekkel kapcsolatos probléma lépett fel az átirányítások kezelésekor. Továbbítani lehetetett az áirányítási válaszban elküldött HTTP-kérelemfejléceket egy másik eredethez. Az átirányítások hatékonyabb kezelésével küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1091: Diego Torres (http://dtorres.me)

  • CFURL

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Beviteli érvényesség-ellenőrzési hiba lépett fel az URL-ek feldolgozásakor. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1088: Luigi Galli

  • CoreAnimation

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Kétszeres felszabadítást előidéző hiba lépett fel a CoreAnimation összetevőben. Hatékonyabb mutexkezeléssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1136: Apple

  • CUPS

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók gyökérszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Kétszeres felszabadítást előidéző hiba lépett fel a CUPS-ban az IPP-üzenetek kezelése kapcsán. A hivatkozások számolásának javításával küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1158: Neel Mehta (Google)

  • CUPS

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Bizonyos konfigurációk esetén távoli támadók tetszőleges nyomtatási feladatokat tudtak elküldeni.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma lépett fel a CUPS webes felületén. Hatékonyabb kimenettisztítással hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1159: Neel Mehta (Google)

  • FontParser

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

    Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok feldolgozásakor. Hatékonyabb határérték-ellenőrzéssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-1093: Marc Schoenefeld

  • Graphics Driver

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel bizonyos IOService userclient-típusok az NVIDIA grafikus illesztőprogramja általi kezelésekor. További környezetérvényesítés bevezetésével küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1137: Frank Graziano és John Villamil (Yahoo Pentest Team)

  • Hypervisor

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a hipervizor keretrendszerben. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1138: Izik Eidus és Alex Fishman

  • ImageIO

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az ártó szándékkal létrehozott .sgi fájlok feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

    Leírás: Memóriasérülési hiba lépett fel az .sgi fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1139: Apple

  • IOHIDFamily

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az ártó szándékú HID-eszközök tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba lépett fel egy IOHIDFamily API-ban. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1095: Andrew Church

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Puffertúlcsordulási hiba lépett fel az IOHIDFamily összetevőben. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1140: lokihardt@ASRT, a HP Zero Day Initiative kezdeményezésének közreműködőjeként, Luca Todesco, Vitaliy Toropov, a HP Zero Day Initiative (ZDI) kezdeményezésének közreműködőjeként

  • IOHIDFamily

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az IOHIDFamily esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A határérték-ellenőrzés javítása révén küszöböltük ki a problémát.

    CVE-azonosít

    CVE-2015-1096: Ilja van Sprundel (IOActive)

  • IOHIDFamily

    OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Érintett terület: A rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a billentyű-hozzárendelések IOHIDFamily általi kezelésekor. A határérték-ellenőrzés javítása révén küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Érintett terület: A rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Címke nélküli mutatófeloldási hiba állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát azzal küszöböltük ki, hogy javítottuk az IOHIDFamily billentyű-hozzárendelések hitelesítését.

    CVE-azonosító

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5.

    Érintett terület: A felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Határértéken kívüli írási hiba állt fenn az IOHIDFamily illesztőprogram. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2014-4380: cunzhang (Adlab of Venustech)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni.

    Leírás: Egy hiba állt fenn a virtuálismemória-műveletekkel a kernelben. A mach_vm_read művelet hatékonyabb kezelésével hárítottuk el a hibát.

    CVE-azonosító

    CVE-2015-1141: Ole Andre Vadla Ravnas (www.frida.re)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Versenyhelyzeti probléma lépett fel a setreuid rendszerhívás során. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1099: Mark Mentovai Google Inc.)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi alkalmazások, amelyeknek alacsonyabb jogosultságokkal kellett volna működniük, magasabb jogosultságokat tudtak szerezni egy sérült szolgáltatás segítségével.

    Leírás: A setreuid és a setregid rendszerhívás nem törölte véglegesen a jogosultságokat. A jogosultságok megfelelő törlésével hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1117: Mark Mentovai (Google Inc.)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A magas hálózati jogosultságú támadók át tudták irányítani a felhasználói forgalmat tetszőleges hosztokhoz.

    Leírás: Az OS X alapértelmezés szerint engedélyezte az ICMP-átirányításokat. Az ICMP-átirányítások letiltásával hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Az állapot inkonzisztenssé vált a TCP-fejlécek feldolgozásakor. Az állapotkezelés javításával küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1102: Andrey Khudyakov és Maxim Zhuravlev (Kaspersky Lab)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

    Leírás: Határértéket túllépő memóriaelérési probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1100: Maxime Villard (m00nbsd)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A távoli támadók meg tudták kerülni a hálózati szűrőket.

    Leírás: A rendszer néhány esetben a távoli hálózati interfészről származó IPv6-csomagokat helyi csomagokként kezelte. A csomagok elutasításával hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1104: Stephen Roettger (Google Security Team)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1101: lokihardt@ASRT, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Az állapot inkonzisztenssé vált a TCP sávon kívüli adatainak kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1105: Kenton Varda (Sandstorm.io)

  • LaunchServices

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók a Finder összeomlását tudták előidézni.

    Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel az alkalmazáslokalizációs adatok LaunchServices általi kezelésekor. A lokalizációs adatok hitelesítésének javítása révén szüntettük meg a problémát.

    CVE-azonosító

    CVE-2015-1142

  • LaunchServices

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Típustévesztési hiba lépett fel a lokalizált sztringek LaunchServices általi kezelésekor. További határérték-ellenőrzéssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1143: Apple

  • libnetcore

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott konfigurációs profilok feldolgozásakor váratlan alkalmazásleállásra került sor.

    Leírás: Memóriasérülési hiba lépett fel az konfigurációs profilok kezelésekor. A határérték-ellenőrzés javítása révén küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang és Tao Wei (FireEye, Inc.)

  • ntp

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: A távoli támadók fel tudták törni az ntpd hitelesítési kulcsokat.

    Leírás: Az ntpd config_auth funkciója alacsony biztonságú kulcsot generált, ha nem volt beállítva hitelesítési kulcs. Hatékonyabb kulcsgenerálással küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2014-9298

  • OpenLDAP

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A távoli, nem hitelesített támadók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Több beviteli érvényesség-ellenőrzési hiba lépett fel az OpenLDAP-ben. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.

    CVE-azonosító

    CVE-2015-1545: Ryan Tandy

    CVE-2015-1546: Ryan Tandy

  • OpenSSL

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az OpenSSL több biztonsági réssel rendelkezett.

    Leírás: Több biztonsági rés is keletkezett az OpenSSL 0.9.8zc esetén, amelyek egyike miatt a támadók hozzá tudtak férni az exportálási fokozatú rejtjeleket támogató kiszolgálók kapcsolataihoz. Az OpenSSL 0.9.8zd verziójára való frissítéssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Open Directory Client

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A jelszavak hálózati továbbítása titkosítatlanul történt az Open Directory OS X Serveren történő használatakor.

    Leírás: Ha egy Open Directory kliens egy OS X Serverhez csatlakozott, de nem telepítette az OS X Server tanúsítványait, majd a klienst használó felhasználók jelszót módosítottak, a rendszer titkosítás nélkül küldte el a jelszómódosítási kérelmet. A probléma megoldásaként a kliens mostantól kéri a titkosítást.

    CVE-azonosító

    CVE-2015-1147: Apple

  • PHP

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Több biztonsági rés volt a PHP esetén.

    Leírás: Több biztonsági rés állt fenn az 5.3.29-esnél, az 5.4.38-asnál és az 5.5.20-asnál korábbi PHP-verziók esetén, amelyek közül az egyik tetszőleges kódvégrehajtást tett lehetővé. Ez a frissítés a PHP 5.3.29, 5.4.38 és 5.5.20 verzióra való frissítéssel szünteti meg a problémát.

    CVE-azonosító

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

QuickLook

  • A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Az ártó szándékkal létrehozott iWork-fájlok megnyitásakor tetszőleges programkód végrehajtására nyílt lehetőség.

    Leírás: Memóriasérülési hiba lépett fel az iWork-fájlok kezelésekor. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1098: Christopher Hickstein

  • SceneKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5.

    Érintett terület: Az ártó szándékkal létrehozott Collada-fájlok megtekintésekor tetszőleges programkód végrehajtására nyílt lehetőség.

    Leírás: Halompuffer-túlcsordulás állt fenn a Collada-fájlok SceneKit általi kezelésében. Egy ártó szándékkal létrehozott Collada-fájl megnyitása tetszőleges kódvégrehajtást eredményezhetett. Az accessor elemek hatékonyabb hitelesítésével hárítottuk el a problémát.

    CVE-azonosító

    CVE-2014-8830: Jose Duart (Google Security Team)

  • Screen Sharing

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Helyi fájlba lehetett naplózni a felhasználói jelszavakat.

    Leírás: Bizonyos körülmények között a Képernyőmegosztás (Screen Sharing) naplózni tudta a felhasználók jelszavát egy olyan fájlba, amelyet a rendszer többi felhasználója nem tudott olvasni. A hitelesítési adatok naplózásának letiltásával hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1148: Apple

  • Secure Transport

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott X.509 tanúsítványok feldolgozásakor váratlan alkalmazásleállásra került sor.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel az X.509 tanúsítványok kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1160: Elisha Eshed, Roy Iarchy és Yair Amit (Skycure Security Research)

  • Security - Code Signing

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy a rendszer nem akadályozta meg az illetéktelenül módosított alkalmazások futtatását.

    Leírás: A különleges kialakítású csomagokat tartalmazó alkalmazások időnként hiteles aláírás hiányában is elindultak. További ellenőrzések beállításával küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-1145

    CVE-2015-1146

  • UniformTypeIdentifiers

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2.

    Érintett terület: A helyi felhasználók rendszerszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Puffertúlcsordulás lépett fel a Uniform Type azonosítók kezelésekor. Hatékonyabb határérték-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1144: Apple

  • WebKit

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.2.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: A WebKit egy memóriasérüléssel kapcsolatos problémát tartalmazott. Hatékonyabb memóriakezeléssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-1069: lokihardt@ASRT a HP Zero Day Initiative kezdeményezésének közreműködőjeként

Az OS X Mountain Lion 10.8.5-ös és az OS X Mavericks 10.9.5-ös verziójához elérhető 2015-004-es biztonsági frissítés a 2015-002-es biztonsági frissítés CVE-2015-1067 azonosítójú javítása okozta hibára is megoldást kínál. A hiba miatt a Távoli Apple-események kliensei egyik verzióban sem tudtak csatlakozni a Távoli Apple-események kiszolgálóhoz. Alapértelmezett konfiguráció mellett a Távoli Apple-események nincs engedélyezve.

Az OS X Yosemite 10.10.3 tartalmazza a Safari 8.0.5 biztonsági változásjegyzékét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: