Az OS X Yosemite 10.10.2 és a 2015-001-es biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Yosemite 10.10.2 és a 2015-001-es biztonsági frissítés biztonsági tartalmát ismerteti

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Az OS X Yosemite 10.10.2 és a 2015-001-es biztonsági frissítés

  • AFP-kiszolgáló

    A következőkhöz érhető el: OS X Mavericks 10.9.5

    Érintett terület: Előfordult, hogy a távoli támadók meg tudták határozni a rendszer összes hálózati címét.

    Leírás: Az AFP fájlkiszolgáló támogatott egy olyan parancsot, amellyel listázható volt a rendszer összes hálózati címe. A problémát azáltal küszöbölték ki, hogy eltávolították a címeket az eredményből.

    CVE-azonosító

    CVE-2014-4426 : Craig Young (Tripwire VERT)

  • bash

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Több biztonsági rés állt fenn a bash esetén, amelyek közül az egyik lehetőséget adott a helyi támadóknak tetszőleges kód végrehajtására.

    Leírás: Több biztonsági rés állt fenn a bash esetén. A bash 57-es javítási szintre való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-aláírási hiba állt fenn az IOBluetoothFamily esetén, ami lehetőséget adott a kernelmemória manipulálására. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát. Ez a hiba az OS X Yosemite rendszereket nem érinti.

    CVE-azonosító

    CVE-2014-4497

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hiba lépett fel a Bluetooth-illesztőprogrammal, ami lehetőséget adott a rosszindulatú alkalmazásoknak a kernelmemóriába való írás méretének vezérlésére. A bemenő adatok hatékonyabb ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-8836: Ian Beer (Google Project Zero)

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több biztonsági hiba lépett fel a Bluetooth-illesztőprogrammal, ami lehetőséget adott a rosszindulatú alkalmazásoknak a rendszerengedéllyel való tetszőleges kódvégrehajtásra. A bemenő adatok hatékonyabb ellenőrzésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-8837 : Roberto Paleari és Aristide Fattori (Emaze Networks)

  • CFNetwork Cache

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A webhelygyorsítótár nem mindig törlődött teljesen a privát böngészés befejezésekor.

    Leírás: Egy adatvédelmi probléma miatt a böngészési adatok időnként a gyorsítótárban maradtak a privát böngészés befejezésekor. A gyorsítótárazás működésének módosításával hárították el a hibát.

    CVE-azonosító

    CVE-2014-4460

  • CoreGraphics

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Egészszám-túlcsordulási probléma állt fenn a PDF-fájlok kezelésével összefüggésben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4481 : Felipe Andres Manzano (Binamuse VRT), az iSIGHT Partners GVP program keretében

  • CPU szoftver

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1, MacBook Pro Retina, MacBook Air (2013 közepe és újabb), iMac (2013 vége és újabb), Mac Pro (2013 vége)

    Érintett terület: A rosszindulatú Thunderbolt-eszközök befolyást tudtak gyakorolni a firmware-telepítésre.

    Leírás: A Thunderbolt-eszközök módosítani tudták a gazda firmware-t, ha EFI-frissítés közben csatlakoztatták őket. Annak beállításával hárították el a hibát, hogy ne töltődjenek be az eszközspecifikus ROM-ok a frissítés során.

    CVE-azonosító

    CVE-2014-4498 : Trammell Hudson (Two Sigma Investments)

  • CommerceKit Framework

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerhez hozzáféréssel rendelkező támadók meg tudták szerezni az Apple ID hitelesítő adatait.

    Leírás: Hiba lépett fel az App Store-naplófájlok kezelésekor. Az App Store folyamat rögzíteni tudta az Apple ID hitelesítő adatait a naplóban, amikor engedélyezve volt kiegészítő naplózás. A problémát azáltal küszöbölték ki, hogy letiltották a hitelesítő adatok naplózását.

    CVE-azonosító

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Néhány, nem biztonságos szövegbevitelt és egéreseményeket alkalmazó külső fejlesztésű alkalmazás naplózni tudta az eseményeket.

    Leírás: Egy nem inicializált változó és egy alkalmazás egyéni foglalójának kombinációja lehetőséget adott a nem biztonságos szövegbevitel és egéresemények naplózására. Annak biztosításával hárították el a problémát, hogy a naplózás alapértelmezés szerint ki legyen kapcsolva. A probléma nem érinti az OS X Yosemite előtti rendszereket.

    CVE-azonosító

    CVE-2014-1595 : Steven Michaud (Mozilla) együttműködésben Kent Howarddal

  • CoreGraphics

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülési hiba lépett fel a PDF-fájlok kezelésekor. A problémát a határérték-ellenőrzés javítása révén küszöbölték ki. Ez a hiba az OS X Yosemite rendszereket nem érinti.

    CVE-azonosító

    CVE-2014-8816 : Mike Myers (Digital Operatives LLC)

  • CoreSymbolication

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több típustévesztési hiba állt fenn az XPC-üzenetek coresymbolicationd általi kezelésekor. Hatékonyabb típusellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-8817: Ian Beer (Google Project Zero)

  • FontParser

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott .dfont fájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülési hiba lépett fel a .dfont fájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4484: Gaurav Baruah, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • FontParser

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott PDF-fájlok megnyitása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4483 : Apple

  • Foundation

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott XML-fájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az XML-elemzőben. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4485 : Apple

  • Intel grafikus illesztőprogram

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Több biztonsági rés állt fenn az Intel grafikus illesztőprogram esetén.

    Leírás: Több biztonsági rés állt fenn az Intel grafikus illesztőprogram esetén, amelyek közül a legsúlyosabb tetszőleges programkód végrehajtását tette lehetővé rendszerengedélyek mellett. A frissítés a határérték-ellenőrzés javításával küszöböli ki a hibákat.

    CVE-azonosító

    CVE-2014-8819: Ian Beer (Google Project Zero)

    CVE-2014-8820: Ian Beer (Google Project Zero)

    CVE-2014-8821: Ian Beer (Google Project Zero)

  • IOAcceleratorFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba állt fenn bizonyos IOService felhasználókliens-típusok IOAcceleratorFamily általi kezelésekor. Az IOAcceleratorFamily-környezetek további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4486: Ian Beer (Google Project Zero)

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az IOHIDFamily esetén. Hatékonyabb határérték-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel az erőforrássor metaadatainak IOHIDFamily általi kezelésekor. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

    CVE-azonosító

    CVE-2014-4488 : Apple

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel az eseménysorok IOHIDFamily általi kezelésekor. Az IOHIDFamily-eseménysorok inicializálásának hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-4489 : @beist

  • IOHIDFamily

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Egy rosszindulatú alkalmazás futtatása tetszőleges kódvégrehajtást tett lehetővé a kernelben.

    Leírás: Határérték-ellenőrzési probléma lépett fel az IOHIDFamily illesztőprogram által átadott felhasználókliensben, ami lehetőséget adott a rosszindulatú alkalmazásoknak arra, hogy felülírják a kernelcímtér tetszőleges részeit. A sebezhető felhasználókliens metódus eltávolításával hárították el a problémát.

    CVE-azonosító

    CVE-2014-8822: Vitaliy Toropov, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • IOKit

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-túlcsordulási probléma állt fenn az IOKit függvények kezelésével összefüggésben. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-4389 : Ian Beer (Google Project Zero)

  • IOUSBFamily

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy az engedélyekkel rendelkező alkalmazások tetszőleges adatokat tudtak olvasni a kernelmemóriából.

    Leírás: Memória-hozzáféréssel kapcsolatos probléma lépett fel az IOUSB vezérlő felhasználókliens-funkcióinak kezelésekor. Hatékonyabb argumentum-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8823: Ian Beer (Google Project Zero)

  • Kerberos

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: A Kerberos libgssapi könyvtára értékhiányos mutatóval rendelkező környezeti tokent adott vissza. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-5352

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egyéni gyorsítótárazási mód megadásakor lehetőség nyílt a kernel írásvédett, megosztott memóriaszegmenseibe való írásra. Annak megakadályozásával hárították el a problémát, hogy az írási engedélyek megadása legyen a mellékhatás bizonyos egyéni gyorsítótárazási módok esetén.

    CVE-azonosító

    CVE-2014-4495: Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hitelesítési hiba lépett fel az IODataQueue-objektumok bizonyos metaadatmezőinek kezelésekor. A problémát a metaadatok hitelesítésének javítása révén szüntették meg.

    CVE-azonosító

    CVE-2014-8824 : @PanguTeam

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A helyi támadók meg tudták hamisítani a címtárszolgáltatás kernelnek adott válaszait, magasabb szintű jogosultságokat tudtak szerezni, illetve át tudták venni az irányítást a kernel fölött.

    Leírás: Probléma lépett fel a címtárszolgáltatás feloldási folyamatának, jelölőkezelésének és hibakezelésének identitysvc általi ellenőrzésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8825 : Alex Radocea (CrowdStrike)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Több, nem inicializált memóriával kapcsolatos probléma állt fenn a hálózati statisztikai interfészben, ami a kernelmemória tartalmának közzétételéhez vezetett. A problémát a memória inicializálásának javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2014-4371 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4419 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4420 : Fermin J. Serna (a Google biztonsági csapatának tagja)

    CVE-2014-4421 : Fermin J. Serna (a Google biztonsági csapatának tagja)

  • Kernel

    A következőkhöz érhető el: OS X Mavericks 10.9.5

    Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Versenyhelyzeti probléma állt fenn az IPv6 csomagok kezelésével összefüggésben. A problémát a zárolási állapot kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2011-2391

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Az ártó szándékkal létrehozott vagy feltört alkalmazások meg tudták állapítani a kernelben található címeket.

    Leírás: Probléma állt fenn a kernelbővítményekhez kapcsolódó API felületek kezelésével összefüggésben, ami az adatok közzétételét eredményezte. Az OSBundleMachOHeaders kulcsot tartalmazó válaszok kernelbeli címeket tartalmazhattak, amelyek segítségével megkerülhető volt a véletlenszerű címtér-elrendezéses védelem. A probléma megszüntetése érdekében a rendszer most már a válaszok visszaadása előtt eltávolítja belőlük a címeket.

    CVE-azonosító

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Érvényesítési hiba történt az IOSharedDataQueue objektumok bizonyos metaadatmezőinek kezelésekor. A metaadatok áthelyezésével hárították el a hibát.

    CVE-azonosító

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rosszindulatú JAR-fájlok meg tudták kerülni a Gatekeeper ellenőrzéseit.

    Leírás: Probléma lépett fel az alkalmazásindítások kezelésekor, ami lehetőséget adott bizonyos rosszindulatú JAR-fájloknak a Gatekeeper ellenőrzéseinek megkerülésére. A fájltípus-metaadatok hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-8826 : Hernan Ochoa (Amplia Security)

  • libnetcore

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A rosszindulatú, sandboxban lévő alkalmazások fel tudták törni a networkd démont.

    Leírás: Több típustévesztési hiba állt fenn a folyamatközi kommunikáció networkd általi kezelésekor. Ártó szándékkal formázott üzenet networkd felé történő elküldésekor lehetőség nyílt a networkd folyamatként való tetszőleges kódvégrehajtás. További típusellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-4492: Ian Beer (Google Project Zero)

  • Bejelentkezési ablak

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy a Mac nem zárolta magát azonnal a felébredést követően.

    Leírás: Probléma lépett fel a zárolt képernyő renderelésekor. A zárolt képernyő hatékonyabb renderelésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-8827 : Xavier Bertels (Mono) és több OS X seedtesztelő

  • lukemftp

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Ha a parancssoros ftp-eszközzel rosszindulatú http-kiszolgálón lévő fájlokat gyűjtöttek be, tetszőleges kód végrehajtására kerülhetett sor.

    Leírás: Parancsbeszúrási hiba lépett fel a HTTP-átirányítások kezelésekor. A különleges karakterek hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-8517

  • ntpd

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Az ntp démon kriptografikus hitelesítéssel való használata információkiszivárgást tett lehetővé.

    Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn az ntpd esetén. Hatékonyabb adatellenőrzéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2014-9297

  • OpenSSL

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Több biztonsági rés állt fenn az OpenSSL 0.9.8za esetén, amelyek egyike lehetőséget adott a támadóknak a kapcsolatok lefokozására, és ezáltal gyengébb titkosító csomagok használatára a könyvtárt használó alkalmazásokban.

    Leírás: Több biztonsági rés állt fenn az OpenSSL 0.9.8za esetén. Az OpenSSL 0.9.8zc verziójára való frissítéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

    Leírás: Tervezési hiba lépett fel a sandbox-profilok gyorsítótárazása során, amely lehetőséget adott a sandboxban lévő alkalmazásoknak arra, hogy írási jogosultságot szerezzenek a gyorsítótárhoz. Azáltal hárították el a problémát, hogy korlátozták az írási jogosultságot az olyan útvonalak esetén, amelyek a „com.apple.sandbox” szegmenst tartalmazzák. A probléma nem érinti az OS X Yosemite 10.10-es és újabb verzióját futtató rendszereket.

    CVE-azonosító

    CVE-2014-8828 : Apple

  • SceneKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Érintett terület: A rosszindulatú alkalmazások tetszőleges kódot tudtak végrehajtani, aminek következtében jogosulatlanul hozzá tudtak férni a felhasználói információkhoz.

    Leírás: Több, határértéket túllépő írási probléma állt fenn a SceneKit esetén. A hibákat további határérték-ellenőrzéssel küszöbölték ki.

    CVE-azonosító

    CVE-2014-8829 : Jose Duart (a Google biztonsági csapatának tagja)

  • SceneKit

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy ártó szándékkal létrehozott Collada-fájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Halompuffer-túlcsordulás okozó probléma lépett fel a Collada-fájlok SceneKit általi kezelésekor. Az ártó szándékkal létrehozott Collada-fájlok megtekintésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására kerülhetett sor. A leíró elemek további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2014-8830 : Jose Duart (a Google biztonsági csapatának tagja)

  • Biztonság

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Ha a letöltött alkalmazás visszavont fejlesztői azonosítóval ellátott tanúsítvánnyal volt aláírva, esetenként meg tudta kerülni a Gatekeeper ellenőrzéseit.

    Leírás: Probléma állt fenn a gyorsítótárazott alkalmazástanúsítvány adatainak kiértékelésével. A gyorsítótárlogika fejlesztésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-8838 : Apple

  • security_taskgate

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy egy alkalmazás hozzá tudott férni más alkalmazásokhoz tartozó kulcskarikához.

    Leírás: Hozzáférés-vezérléssel kapcsolatos probléma állt fenn a Kulcskarikában. A saját aláírású, illetve a fejlesztői azonosítóval aláírt tanúsítványok hozzá tudtak férni azokhoz a kulcskarika-elemekhez, amelyeknek a hozzáférés-kezelési listái kulcskarika-csoportokon alapultak. Annak beállításával hárították el a problémát, hogy végbemenjen az aláírás azonosságának hitelesítése a kulcskarika-csoportokhoz való hozzáférés megadásakor.

    CVE-azonosító

    CVE-2014-8831 : Apple

  • Spotlight

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Az e-mail feladója meg tudta határozni a címzett IP-címét.

    Leírás: A Spotlight nem ellenőrizte a Mail „Távoli tartalom betöltése az üzenetekben” beállításának állapotát. A konfigurációellenőrzés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-8839 : John Whitehead (The New York Times), Frode Moe (LastFriday.no)

  • Spotlight

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy a Spotlight nemkívánatos információkat mentett a külső merevlemezre.

    Leírás: Egy hiba állt fenn a Spotlightban, ami miatt a memória tartalma a külső merevlemezre kerülhetett az indexelés során. A memóriakezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy a Spotlight olyan fájlokat is megjelenített, amelyek nem a felhasználóhoz tartoztak.

    Leírás: Deszerializálási probléma lépett fel az engedély-gyorsítótár Spotlight általi kezelésekor. A Spotlight-lekérdezést végrehajtó felhasználónak olyan fájlokra való hivatkozások is megjelentek a keresési találatok között, amelyekhez nem rendelkezett olvasási engedéllyel. Hatékonyabb határérték-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8833 : David J Peacock, független technológiai tanácsadó

  • sysmond

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10 és 10.10.1

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Típustévesztési biztonsági rés állt fenn a sysmond esetén, ami lehetőséget adott a helyi alkalmazásoknak magasabb jogosultságok megszerzésére. Hatékonyabb típusellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8835: Ian Beer (Google Project Zero)

  • UserAccountUpdater

    A következőkhöz érhető el: OS X Yosemite 10.10 és 10.10.1

    Érintett terület: Előfordult, hogy a nyomtatáshoz kapcsolódó beállításfájlok tartalmazták a PDF-dokumentumok bizalmas információit.

    Leírás: Az OS X Yosemite 10.10 elhárította azt a hibát, amely miatt jelszavak kerülhettek a nyomtatási beállításfájlokba a Nyomtatás párbeszédpanelen létrehozott jelszóval védett PDF-fájlok kezelésekor. A frissítés eltávolítja azokat a felesleges információkat, amelyek helyet kaptak a nyomtatási beállításfájlokban.

    CVE-azonosító

    CVE-2014-8834 : Apple

Megjegyzés: Az OS X Yosemite 10.10.2 magában foglalja a Safari 8.0.3 biztonsági tartalmát.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: