Az OS X Yosemite 10.10 biztonsági tartalma

Ez a dokumentum az OS X Yosemite 10.10 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

OS X Yosemite 10.10

• 802.1X

  Érintett terület: A támadók meg tudták szerezni a Wi-Fi hálózat hitelesítési adatait.

  Leírás: A támadók meg tudták szerezni a Wi-Fi hozzáférési pont adatait, a LEAP segítségével tudtak hitelesítést végezni, fel tudták törni az MS-CHAPv1 kivonatot, és a megszerzett hitelesítő adatok segítségével hitelesíteni tudták az adott hozzáférési pontot akkor is, ha az erősebb hitelesítési módszereket támogatott. A problémát a LEAP alapértelmezés szerinti letiltásával küszöbölték ki.

  CVE-azonosító

  CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax és Wim Lamotte (Universiteit Hasselt)

• AFP fájlkiszolgáló

  Érintett terület: A távoli támadók meg tudták határozni a rendszer összes hálózati címét.

  Leírás: Az AFP fájlkiszolgáló támogatott egy olyan parancsot, amellyel listázható volt a rendszer összes hálózati címe. A problémát azáltal küszöbölték ki, hogy eltávolították a címeket az eredményből.

  CVE-azonosító

  CVE-2014-4426 : Craig Young (Tripwire VERT)

• apache

  Érintett terület: Több biztonsági rés az Apache alkalmazásban.

  Leírás: Több biztonsági rés volt az Apache alkalmazásban, amelyek közül a legsúlyosabb a szolgáltatás megtagadását idézhette elő. A hibákat az Apache 2.4.9-es verzióra való frissítése küszöböli ki.

  CVE-azonosító

  CVE-2013-6438

  CVE-2014-0098

• Sandbox alkalmazás

  Érintett terület: A sandbox-korlátozások által gátolt alkalmazások vissza tudtak élni a kisegítő lehetőségek API-jával.

  Leírás: A sandboxba helyezett alkalmazások vissza tudtak élni a kisegítő lehetőségek API-jával a felhasználó tudta nélkül. A problémát a kisegítő lehetőségek API-jának használatához alkalmazásonként igénylendő rendszergazdai jóváhagyás bevezetése küszöbölte ki.

  CVE-azonosító

  CVE-2014-4427 : Paul S. Ziegler (Reflare UG)

• Bash

  Érintett terület: Bizonyos konfigurációk esetén távoli támadók végre tudtak hajtani tetszőleges rendszerhéjparancsokat.

  Leírás: A Bash hibásan elemezte a környezeti változókat. A hibát a környezeti változók hatékonyabb elemzésével küszöbölték ki, ami a függvényutasítás végének eredményesebb észlelése révén valósul meg.

  A frissítés magában foglalja a javasolt CVE-2014-7169 számú módosítást, amely alaphelyzetbe állítja az elemző állapotát.

  Ezenkívül a frissítés új névtérrel bővíti az exportált függvényeket egy „decorator” függvényelem létrehozásával, ami megakadályozza a fejlécek Bashon történő véletlen áthaladását. A függvénydefiníciókat bevezető összes környezeti változó nevében szerepelnie kell a „__BASH_FUNC<” előtagnak és a „>()” utótagnak, hogy a függvény véletlenül ne legyen átadva a HTTP-fejléceken keresztül.

  CVE-azonosító

  CVE-2014-6271 : Stephane Chazelas

  CVE-2014-7169 : Tavis Ormandy

• Bluetooth

  Érintett terület: A rosszindulatú Bluetooth-alapú beviteli eszközök meg tudták kerülni a párosítást.

  Leírás: A HID (külső kezelőeszköz) típusú, kis fogyasztású Bluetooth-eszközöktől érkező, nem titkosított kapcsolatok engedélyezettek voltak. Ha a Mac párosult egy ilyen eszközzel, a támadó rá tudta venni a megbízható eszközt kapcsolat létesítésére. A hibát a nem titkosított HID-kapcsolatok elutasításával hárították el.

  CVE-azonosító

  CVE-2014-4428 : Mike Ryan (iSEC Partners)

• CFPreferences

  Érintett terület: A „Jelszó igénylése alvás után vagy a képernyővédő indulásakor” beállítás csak újraindítás után érvényesült.

  Leírás: Munkamenet-felügyeleti hiba állt fenn a rendszerbeállítások kezelésével összefüggésben. A hibát a munkafolyamatok hatékonyabb követésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4425

• Megbízható tanúsítványok házirendje

  Érintett terület: A megbízható tanúsítványok házirendjének frissítése

  Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: http://support.apple.com/kb/HT6005?viewlocale=hu_HU.

• CoreStorage

  Érintett terület: Előfordult, hogy kiadáskor a tikosított kötetek zárolás nélkül maradtak.

  Leírás: Amikor egy titkosított kötetet logikailag kiadtak felcsatolás után, a rendszer leválasztotta a kötetet, de a kulcsok nem törlődtek, így jelszó nélkül ismét fel lehetett csatolni a kötetet. A hibát a kulcsok kiadáskor történő törlésével hárították el.

  CVE-azonosító

  CVE-2014-4430 : Benjamin King (See Ben Click Computer Services LLC), Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi és egyéb anonim kutatók

• CUPS

  Érintett terület: Helyi felhasználó rendszerszintű jogosultsággal tetszőleges programkódot tudott végrehajtani.

  Leírás: Amikor a CUPS webes felület fájlokat szolgált ki, szimbolikus hivatkozásokat követett. Helyi felhasználó tetszőleges fájlokra mutató szimbolikus hivatkozásokat tudott létrehozni, és be tudta olvasni őket a webes felületen keresztül. A problémát azáltal küszöbölték ki, hogy letiltották a szimbolikus hivatkozások CUPS webes felületen keresztül történő kiszolgálását.

  CVE-azonosító

  CVE-2014-3537

• Dock

  Érintett terület: Bizonyos körülmények között az ablakokat látni lehetett akkor is, amikor a képernyő zárolva volt.

  Leírás: A kijelzőzár kezelésének egy állapotkezeléssel összefüggő problémája volt. A problémát az állapot hatékonyabb nyomon követésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4431 : Emil Sjölander (Umeå University)

• fdesetup

  Érintett terület: Előfordult, hogy az fdesetup parancs félrevezető információt nyújtott a lemez titkosítási állapotáról.

  Leírás: A beállítások frissítése után, de még az újraindítás előtt az fdesetup parancs félrevezető állapotinformációt nyújtott. A problémát hatékonyabb állapotjelentés révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4432

• iCloud – Mac keresése

  Érintett terület: Lehetőség volt találgatásos („bruteforce”) támadásra az iCloud Elveszett mód PIN kódja esetén.

  Leírás: A sebességkorlátozásban fennálló állapot-megőrzési hiba találgatásos támadásra adott az lehetőséget iCloud Elveszett mód PIN kódjának esetén. A hibát azáltal hárították el, hogy javították az állapotmegőrzést az újraindítások során.

  CVE-azonosító

  CVE-2014-4435 : knoy

• IOAcceleratorFamily

  Érintett terület: Alkalmazások szolgáltatásmegtagadást tudtak előidézni.

  Leírás: Címke nélküli mutató-feloldási hiba állt fenn az IntelAccelerator illesztőprogramban. A problémát hatékonyabb hibakezeléssel küszöbölték ki.

  CVE-azonosító

  CVE-2014-4373 : cunzhang (Adlab of Venustech)

• IOHIDFamily

  Érintett terület: Rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges programkódot tudtak végrehajtani.

  Leírás: Címke nélküli mutató-feloldási hiba állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát azzal küszöbölték ki, hogy javították az IOHIDFamily billentyű-hozzárendelések hitelesítését.

  CVE-azonosító

  CVE-2014-4405 : Ian Beer (Google Project Zero)

• IOHIDFamily

  Érintett terület: Rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges programkódot tudtak végrehajtani.

  Leírás: Puffertúlcsordulást okozó probléma állt fenn a billentyű-hozzárendelések IOHIDFamily általi kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4404 : Ian Beer (Google Project Zero)

• IOHIDFamily

  Érintett terület: Alkalmazások szolgáltatásmegtagadást tudtak előidézni.

  Leírás: Határértéket túllépő memóriaolvasási probléma állt fenn az IOHIDFamily illesztőprogramban. A problémát a bemenő adatok hatékonyabb ellenőrzésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4436 : cunzhang (Adlab of Venustech)

• IOHIDFamily

  Érintett terület: Felhasználók tetszőleges programkódot tudtak végrehajtani rendszerszintű jogosultsággal.

  Leírás: Határértéket túllépő memóriaírási probléma állt fenn az IOHIDFamily illesztőprogramban. A problémát a bemenő adatok hatékonyabb ellenőrzésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4380 : cunzhang (Adlab of Venustech)

• IOKit

  Érintett terület: Rosszindulatú alkalmazások nem inicializált adatokat tudtak olvasni a kernelmemóriából.

  Leírás: Az IOKit függvények kezelésében nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn. A problémát a memória inicializálásának javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4407 : @PanguTeam

• IOKit

  Érintett terület: Rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges programkódot tudtak végrehajtani.

  Leírás: Hitelesítési hiba állt fenn az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésével összefüggésben. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

  CVE-azonosító

  CVE-2014-4388 : @PanguTeam

• IOKit

  Érintett terület: Rosszindulatú alkalmazások rendszerszintű jogosultsággal tetszőleges programkódot tudtak végrehajtani.

  Leírás: Hitelesítési hiba állt fenn az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésével összefüggésben. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

  CVE-azonosító

  CVE-2014-4418 : Ian Beer (Google Project Zero)

• Kernel

  Érintett terület: Helyi felhasználó meg tudta állapítani a kernelmemória felépítését.

  Leírás: Több, nem inicializált memóriával kapcsolatos probléma állt fenn a hálózati statisztikai interfészben, ami a kernelmemória tartalmának közzétételéhez vezetett. A problémát a memória inicializálásának javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4371 : Fermin J. Serna (a Google biztonsági csapatának tagja)

  CVE-2014-4419 : Fermin J. Serna (a Google biztonsági csapatának tagja)

  CVE-2014-4420 : Fermin J. Serna (a Google biztonsági csapatának tagja)

  CVE-2014-4421 : Fermin J. Serna (a Google biztonsági csapatának tagja)

• Kernel

  Érintett terület: Ártó szándékkal létrehozott fájlrendszer váratlan rendszerleállást, illetve tetszőleges programkód-végrehajtást tudott előidézni.

  Leírás: Halommemória-alapú puffer-túlcsordulási hiba állt fenn a HFS erőforrás-elágazások kezelésével összefüggésben. Ártó szándékkal létrehozott fájlrendszer kernelszintű jogosultsággal váratlan rendszerleállást, illetve tetszőleges programkód-végrehajtást tudott előidézni. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4433 : Maksymilian Arciemowicz

• Kernel

  Érintett terület: Ártó szándékkal létrehozott fájlrendszer váratlan rendszerleállást tudott előidézni.

  Leírás: Null dereferencia állt fenn a HFS fájlnevek kezelésével összefüggésben. Ártó szándékkal létrehozott fájlrendszer váratlan rendszerleállást tudott előidézni. A problémát a NULL dereferencia kiküszöbölésével oldották meg.

  CVE-azonosító

  CVE-2014-4434 : Maksymilian Arciemowicz

• Kernel

  Érintett terület: Helyi felhasználó a rendszer váratlan leállását okozhatta, illetve tetszőleges kódot tudott végrehajtani a kernelben.

  Leírás: Kétszeres felszabadítást előidéző hiba állt fenn a Mach-portok kezelésében. A problémát a Mach-portok érvényességének javított ellenőrzésével szüntették meg.

  CVE-azonosító

  CVE-2014-4375: névtelen kutató

• Kernel

  Érintett terület: Magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

  Leírás: Versenyhelyzeti probléma állt fenn az IPv6 csomagok kezelésével összefüggésben. A problémát a zárolási állapot kezelésének javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2011-2391 : Marc Heuse

• Kernel

  Érintett terület: Helyi felhasználó a rendszer váratlan leállását okozhatta, illetve tetszőleges kódot tudott végrehajtani a kernelben.

  Leírás: Határérték-olvasási hiba állt fenn az rt_setgate esetén. A hiba a memória tartalmának közzétételéhez vagy memóriasérüléshez vezethetett. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4408

• Kernel

  Érintett terület: Helyi felhasználók váratlan rendszerleállást tudtak kiváltani.

  Leírás: Elérhető pánik állt fenn a rendszer vezérlő szoftvercsatornáiba küldött üzenetek kezelésével összefüggésben. A problémát az üzenetek megerősített hitelesítésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4442 : Darius Davis (VMware)

• Kernel

  Érintett terület: A kernelre vonatkozó néhány korlátozási óvintézkedést meg lehetett kerülni.

  Leírás: Titkosítási szempontból nem volt biztonságos a véletlenszám-generáló, amelyet a rendszer a kernelre vonatkozó korlátozási óvintézkedésekhez használt az indítási folyamat korai szakaszában. A kimenet egy részét ki lehetett nyerni a felhasználótérből, ami lehetővé tette a korlátozási óvintézkedések megkerülését. A problémát egy biztonságos titkosítású algoritmus használatával küszöbölték ki.

  CVE-azonosító

  CVE-2014-4422 : Tarjei Mandt (Azimuth Security)

• LaunchServices

  Érintett terület: Helyi alkalmazások meg tudták kerülni a sandbox-korlátozásokat.

  Leírás: A tartalomtípus-kezelők beállítására szolgáló LaunchServices felület lehetővé tette a sandboxban lévő alkalmazásoknak, hogy meghatározzák a meglévő tartalomtípusok kezelőit. A hiba miatt a feltört alkalmazások meg tudták kerülni a sandbox-korlátozásokat. A hibát azáltal küszöbölték ki, hogy a sandboxban lévő alkalmazásoknak megtiltották a tartalomtípus-kezelők meghatározását.

  CVE-azonosító

  CVE-2014-4437 : Meder Kydyraliev (a Google biztonsági csapatának tagja)

• Bejelentkezési ablak

  Érintett terület: Időnként előfordult, hogy a rendszer nem zárolta a képernyőt.

  Leírás: Versenyhelyzeti probléma állt fenn a bejelentkezési ablakban, amely miatt a rendszer időnként nem zárolta a képernyőt. A hibát a műveletek sorrendjének módosításával küszöbölték ki.

  CVE-azonosító

  CVE-2014-4438 : Harry Sintonen of nSense, Alessandro Lobina (Helvetia Insurances), Patryk Szlagowski (Funky Monkey Labs)

• Mail

  Érintett terület: Előfordult, hogy a Mail nem a megfelelő címzetteknek küldte el az e-maileket.

  Leírás: A felhasználói felület Mail alkalmazásban fennálló inkonzisztenciája miatt az alkalmazás a címzettlistáról már eltávolított címekre küldte el az e-maileket. A problémát a felhasználói felület konzisztenciájának hatékonyabb ellenőrzésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4439 : Patrick J Power (Ausztrália, Melbourne)

• MCX asztali konfigurációs profilok

  Érintett terület: Amikor eltávolították a mobil konfigurációs profilokat, a beállításaik nem törlődtek.

  Leírás: Nem törlődtek a mobil konfigurációs profilok által telepített webes proxybeállítások, amikor a profilt eltávolították. A problémát a profileltávolítás hatékonyabb kezelésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4440 : Kevin Koster (Cloudpath Networks)

• NetFS ügyfélkeretrendszer

  Érintett terület: Előfordult, hogy a Fájlmegosztás olyan állapotba lépett, amelyben nem lehetett letiltani.

  Leírás: Állapotfelügyelettel kapcsolatos hiba állt fenn a Fájlmegosztás keretrendszerében. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2014-4441 : Eduardo Bonsi (BEARTCOMMUNICATIONS)

• QuickTime

  Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott m4a-fájlok lejátszása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

  Leírás: Puffertúlcsordulást okozó probléma állt fenn a hangfájlok kezelésével összefüggésben. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki.

  CVE-azonosító

  CVE-2014-4351 : Karl Smith (NCC Group)

• Safari

  Érintett terület: A megnyitott fülön legutóbb meglátogatott oldalak előzménye az előzmények törlése után is megmaradt.

  Leírás: A Safari előzményeinek törlése nem törölte a megnyitott füleken a vissza/előre mutató előzményeket. Ezt a problémát a vissza/előre mutató előzmények törlése oldotta meg.

  CVE-azonosító

  CVE-2013-5150

• Safari

  Érintett terület: Ha a felhasználó push értesítéseket engedélyezett egy rosszindulatú webhelyen, előfordult, hogy a későbbiekben nem érkeztek meg a Safari push értesítései.

  Leírás: Nem kezelt kivétellel kapcsolatos hiba állt fenn a Safari push értesítések SafariNotificationAgent általi kezelésével összefüggésben. A hibát a Safari push értesítéseinek hatékonyabb kezelésével hárították el.

  CVE-azonosító

  CVE-2014-4417 : Marek Isalski (Faelix Limited)

• Biztonságos átvitel

  Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

  Leírás: Az SSL 3.0 titkosítása megtámadható volt, amikor egy rejtjelcsomag blokkrejtjelet használt CBC-módban. A TLS 1.0-s és magasabb verziószámú protokollal való kapcsolódási kísérletek blokkolásával a támadók kényszeríteni tudták az SSL 3.0 használatát akkor is, ha a kiszolgáló jobb TLS-verziót is támogatott. A hibát azáltal hárították el, hogy TLS-kapcsolat létesítésének sikertelensége esetén letiltották a CBC-rejtjelcsomagokat.

  CVE-azonosító

  CVE-2014-3566 : Bodo Moeller, Thai Duong és Krzysztof Kotowicz (a Google biztonsági csapatának tagjai)

• Biztonság

  Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

  Leírás: Null dereferencia állt fenn az ASN.1 adatok kezelésével összefüggésben. A problémát az ASN.1 adatok megerősített hitelesítésével küszöbölték ki.

  CVE-azonosító

  CVE-2014-4443 : Coverity

• Biztonság

  Érintett terület: Helyi felhasználók hozzá tudtak férni egy másik felhasználó Kerberos-jegyeihez.

  Leírás: Állapotkezelési hiba állt fenn a SecurityAgent esetén. A Gyors felhasználóváltás használata során előfordult, hogy az előző felhasználó gyorsítótárába került annak a felhasználónak a Kerberos-jegye, akire átváltottak. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

  CVE-azonosító

  CVE-2014-4444 : Gary Simon (Sandia National Laboratories), Ragnar Sundblad (KTH Royal Institute of Technology), Eugene Homyakov (Kaspersky Lab)

• Biztonság – kódaláírás

  Érintett terület: Előfordult, hogy a rendszer nem akadályozta meg az illetéktelenül módosított alkalmazások futtatását.

  Leírás: Az OS X Mavericks 10.9 előtti OS X rendszerben aláírt alkalmazások, illetve az egyéni erőforrásszabályokat használó alkalmazások illetéktelenül módosíthatók voltak anélkül, hogy ez aláírásuk érvénytelenítéséhez vezetett volna. Azokban a rendszerekben, amelyeket úgy állítottak be, hogy csak a Mac App Store áruházból és az azonosított fejlesztőktől származó alkalmazásokat engedélyezzék, a letöltött és módosított alkalmazások is engedélyt kaptak a futásra, mintha megbízható alkalmazások lettek volna. A hibát az olyan csomagok aláírásának figyelmen kívül hagyásával hárították el, amelyek olyan erőforrás-borítékokkal rendelkeznek, amelyek kihagyják a végrehajtást befolyásolni képes erőforrásokat. Az OS X Mavericks 10.9.5 és az OS X Mountain Lion 10.8.5 2014-004-es biztonsági frissítése már magában foglalja ezeket a módosításokat.

  CVE-azonosító

  CVE-2014-4391: Christopher Hickstein a HP Zero Day Initiative kezdeményezésének közreműködőjeként

Megjegyzés: Az OS X Yosemite magában foglalja a Safari 8.0-s verzióját, amely tartalmazza a Safari 7.1-es biztonsági tartalmát. További tudnivalókért olvassa el a következő cikket: A Safari 7.1 biztonsági tartalma.