Az OS X Yosemite 10.10.5 és a 2015-006-os biztonsági frissítés biztonsági tartalma

Ez a dokumentum az OS X Yosemite 10.10.5 és a 2015-006-os biztonsági frissítés biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

Az OS X Yosemite 10.10.5 és a 2015-006-os biztonsági frissítés

  • apache

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn az Apache 2.4.16-os verziójában, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő.

    Leírás: Több biztonsági rés állt fenn az Apache 2.4.16-osnál korábbi verzióiban. Az Apache 2.4.16-os verzióra való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a PHP 5.5.20-as verziójában, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé.

    Leírás: Több biztonsági rés állt fenn a PHP 5.5.20-asnál korábbi verzióiban. Az Apache 5.5.27-es verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD bővítmény

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rosszindulatú alkalmazások módosítani tudták a helyi felhasználók jelszavát.

    Leírás: Bizonyos körülmények között egy állapotkezeléssel összefüggő probléma lépett fel a jelszó-hitelesítés során. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3799 : Anonim kutató, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • AppleGraphicsControl

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az AppleGraphicsControl esetén, ami miatt felfedhető volt a kernelmemória felépítése. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5768 : JieTao Yang (KeenTeam)

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOBluetoothHCIController esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3779 : Teddy Reed (Facebook Security)

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: Egy memóriakezelési hiba miatt fel lehetett fedni a kernelmemória felépítését. Hatékonyabb memóriakezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3780 : Roberto Paleari és Aristide Fattori (Emaze Networks)

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni az értesítésekhez más iCloud-készülékekről.

    Leírás: Egy hiba miatt a rosszindulatú alkalmazások hozzá tudtak férni a Bluetooth segítségével párosított Mac vagy iOS-készülék Értesítési központjában található értesítésekhez az Apple Notification Center Service révén. A probléma azokat a készülékeket érintette, amelyek a Handoff funkciót használták, és ugyanabba az iCloud-fiókba voltak bejelentkezve. Az Apple Notification Center Service szolgáltatáshoz való hozzáférés visszavonásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3786 : Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni hibás formázású Bluetooth-csomagok segítségével.

    Leírás: Bemenethitelesítési probléma lépett fel a Bluetooth ACL-csomagok elemzésekor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3787 : Trend Micro

  • Bluetooth

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több, puffertúlcsordulást okozó probléma lépett fel az XPC-üzenetek blued általi kezelésekor. További határérték-ellenőrzéssel küszöbölték ki a hibákat.

    CVE-azonosító

    CVE-2015-3777 : mitp0sh ([PDX])

  • bootp

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A kártékony Wi-Fi hálózatok meg tudták határozni, hogy a készülék előzőleg milyen hálózatokhoz csatlakozott.

    Leírás: Előfordult, hogy a Wi-Fi hálózatra való csatlakozás után az iOS a DNAv4 protokollon keresztül közzétette azoknak a hálózatoknak a MAC-címét, amelyekhez a készülék korábban csatlakozott. Azáltal küszöbölték ki a problémát, hogy letiltották a DNAv4 protokoll használatát a titkosítatlan Wi-Fi hálózatokon.

    CVE-azonosító

    CVE-2015-3778 : Piers O'Hanlon (Oxford Internet Institute), University of Oxford (az EPSRC Being There projekt keretében)

  • CloudKit

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni egy korábban bejelentkezett felhasználó iCloud-felhasználói rekordjához.

    Leírás: Az állapot inkonzisztenssé vált a CloudKitben a felhasználók kiléptetésekor. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3782 : Deepkanwal Plaha (University of Toronto)

  • CoreMedia Playback

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok megtekintése esetén váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn a CoreMedia Playback esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a cURL és a libcurl 7.38.0-snál korábbi verzióiban, amelyek egyike lehetővé tette, hogy a távoli támadók megkerüljék az azonos eredetre vonatkozó irányelvet (Same Origin Policy).

    Érintett terület: Több biztonsági rés állt fenn a cURL és a libcurl 7.38.0-snál korábbi verzióiban. A cURL 7.43.0-s verzióra való frissítésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy Unicode-karakterek egy sorozatának feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a Unicode-karakterek feldolgozásakor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5750 : M1x7e1 (Safeye Team; www.safeye.org)

  • Dátum és idő beállítási ablaktábla

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy a rendszeridőt felhasználó alkalmazások rendellenesen működtek.

    Leírás: Hitelesítési hiba lépett fel a dátum és az idő beállításainak módosításakor. Hatékonyabb jogosultságellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3757 : Mark S C Smith

  • Szótár alkalmazás

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A magas hálózati jogosultságú támadók hozzá tudtak férni a felhasználók Szótár alkalmazásban megadott lekérdezéseihez.

    Leírás: Egy hiba állt fenn a Szótár alkalmazásban, aminek következtében nem ment végbe megfelelően a felhasználói kommunikáció védelmének biztosítása. Azáltal hárították el a hibát, hogy a Szótár-lekérdezéseket HTTPS-be helyezték.

    CVE-azonosító

    CVE-2015-3774 : Jeffrey Paul (EEQJ), Jan Bee (Google Security Team)

  • DiskImages

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DMG-fájlok feldolgozásakor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal tetszőleges kód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású DMG-képek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3800 : Frank Graziano (Yahoo Pentest Team) 

  • dyld

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Útvonal-érvényesítési hiba állt fenn a dyld kezelésével összefüggésben. Hatékonyabb környezettisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-3760 : beist (grayhash), Stefan Esser

  • FontParser

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3804 : Apple

    CVE-2015-5775 : Apple

  • FontParser

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több hiba is fennállt a pdfroff esetén.

    Leírás: Több hiba is fennállt a pdfroff esetén, amelyek közül a legsúlyosabb lehetővé tette a fájlrendszer tetszőleges módosítását. A pdfroff eltávolításával hárították el a hibákat.

    CVE-azonosító

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott TIFF-képek feldolgozása váratlan alkalmazásleálláshoz vagy tetszőleges programkód végrehajtásához vezetett.

    Leírás: Memóriasérülést okozó hiba lépett fel a TIFF-fájlok kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5758 : Apple

  • ImageIO

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatása lehetőséget adott a folyamatmemória közzétételére.

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma lépett fel a PNG- és TIFF-képek ImageIO általi kezelésekor. Az ártó szándékkal létrehozott webhelyek meglátogatásakor továbbítani lehetett az adatokat a folyamatmemóriából a webhelynek. Hatékonyabb memóriainicializálással, valamint a PNG- és TIFF-képek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5781 : Michal Zalewski

    CVE-2015-5782 : Michal Zalewski

  • Install Framework Legacy

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több probléma is fennállt azzal, ahogyan az Install.framework „runner” binárisa megvonta a jogosultságokat. A jogosultságok hatékonyabb kezelésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5784 : Ian Beer (Google Project Zero)

  • Install Framework Legacy

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Versenyhelyzeti probléma állt fenn az Install.framework „runner” binárisa esetén, ami miatt tévesen ment végbe a jogosultságok megvonása. Hatékonyabb objektumzárolással küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5754 : Ian Beer (Google Project Zero)

  • IOFireWireFamily

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOFireWireFamily esetén. Hatékonyabb bevitelellenőrzéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2015-3769 : Ilja van Sprundel

    CVE-2015-3771 : Ilja van Sprundel

    CVE-2015-3772 : Ilja van Sprundel

  • IOGraphics

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az IOGraphics esetén. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3770 : Ilja van Sprundel

    CVE-2015-5783 : Ilja van Sprundel

  • IOHIDFamily

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Puffertúlcsordulást okozó probléma állt fenn az IOHIDFamily esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5774 : TaiG Jailbreak Team

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn a mach_port_space_info felületen, aminek következtében felfedhető volt a kernelmemória elrendezése. A mach_port_space_info felület letiltásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3766 : Cererdlong (Alibaba Mobile Security Team), @PanguTeam

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egészszám-túlcsordulási probléma lépett fel az IOKit-függvények kezelésekor. Az IOKit API-argumentumok további hitelesítésével küszöbölték ki a hibát.

    CVE-azonosító

    CVE-2015-3768 : Ilja van Sprundel

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Egy erőforrásfogyással kapcsolatos hiba állt fenn a fasttrap illesztőprogramban. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5747 : Maxime VILLARD (m00nbsd)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Érvényesítési hiba lépett fel a HFS-kötetek felcsatolásakor. További ellenőrzések beállításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5748 : Maxime VILLARD (m00nbsd)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rosszindulatú alkalmazások végre tudtak hajtani aláíratlan kódot.

    Leírás: Egy hiba miatt hozzá lehetett fűzni aláíratlan kódot az aláírt kódhoz egy egyedileg kialakított futtatható fájlban. A kódaláírás hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-3806 : TaiG Jailbreak Team

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Egy egyedileg kialakított futtatható fájl lehetővé tette az aláíratlan, rosszindulatú kód végrehajtását.

    Leírás: Egy hiba állt fenn azzal kapcsolatban, ahogy végbement a többrétegű architektúrával rendelkező futtatható fájlok kiértékelése, aminek következtében lehetőség nyílt aláíratlan kód végrehajtására is. A futtatható fájlok hatékonyabb hitelesítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2015-3803 : TaiG Jailbreak Team

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók aláíratlan kódot tudtak végrehajtani.

    Leírás: Érvényesítési hiba lépett fel a Mach-O fájlok kezelésekor. További ellenőrzések beállításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3802 : TaiG Jailbreak Team

    CVE-2015-3805 : TaiG Jailbreak Team

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott plist-fájlok elemzésekor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal történő tetszőleges kódvégrehajtásra került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3776 : Teddy Reed (Facebook Security), Patrick Stein (@jollyjinx; Jinx Germany)

  • Kernel

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Egy útvonal-érvényesítési hiba állt fenn. Hatékonyabb környezettisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-3761 : Apple

  • Libc

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott reguláris kifejezések feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hibák álltak fenn a TRE-könyvtárban. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3796 : Ian Beer (Google Project Zero)

    CVE-2015-3797 : Ian Beer (Google Project Zero)

    CVE-2015-3798 : Ian Beer (Google Project Zero)

  • Libinfo

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel az AF_INET6 csatornák kezelésekor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-5776 : Apple

  • libpthread

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel a rendszerhívások kezelésekor. A problémát a zárolási állapot kezelésének javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2015-5757 : Lufeng Li (Qihoo 360)

  • libxml2

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verzióiban, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő.

    Leírás: Több biztonsági rés állt fenn a libxml2 2.9.2-esnél korábbi verziói esetén. A libxml2 2.9.2-es verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2012-6685 : Felix Groebert (Google)

    CVE-2014-0191 : Felix Groebert (Google)

  • libxml2

    A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Egy memória-hozzáféréssel kapcsolatos probléma állt fenn a libxml2 esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-3660 : Felix Groebert (Google)

  • libxml2

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Memóriasérülést okozó hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3807 : Apple

  • libxpc

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel az XPC-üzenetek kezelésekor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3795 : Mathew Rowley

  • mail_cmds

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A helyi felhasználók végre tudtak hajtani tetszőleges rendszerhéjparancsokat.

    Leírás: Érvényesítési hiba lépett fel az e-mail címek mailx-elemzésekor. Hatékonyabb tisztítással hárították el a hibát.

    CVE-azonosító

    CVE-2014-7844

  • Értesítési központ – OSX

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználó által korábban megjelenített összes értesítéshez.

    Leírás: Egy hiba állt fenn az Értesítési központban, aminek következtében nem törlődtek megfelelően a felhasználói értesítések. A felhasználó által bezárt értesítések megfelelő törlésével hárították el a hibát.

    CVE-azonosító

    CVE-2015-3764 : Jonathan Zdziarski

  • ntfs

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az NTFS esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5763 : Roberto Paleari és Aristide Fattori (Emaze Networks)

  • OpenSSH

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A távoli támadók meg tudták kerülni a sikertelen bejelentkezési kísérletek során aktiválódó késleltetési időt, és találgatásos támadásokat tudtak végrehajtani.

    Leírás: Egy hiba lépett fel a billentyűzet-interaktív készülékek feldolgozásakor. A hitelesítési kérelmek hatékonyabb igazolásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5600

  • OpenSSL

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a 0.9.8zg előtti OpenSSL-verziókban, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő.

    Érintett terület: Több biztonsági rés állt fenn a 0.9.8zg előtti OpenSSL-verziókban. Az OpenSSL 0.9.8zg verziójára való frissítéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott reguláris kifejezések elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Egy egészszám-alulcsordulást okozó probléma lépett fel a reguláris kifejezések Perl általi elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2013-7422

  • PostgreSQL

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve hozzá tudtak férni az adatokhoz megfelelő hitelesítés nélkül is.

    Leírás: Több hiba is fennállt a PostgreSQL 9.2.4-es verziójában. A PostgreSQL 9.2.13-as verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a Python 2.7.6-os verziójában, amelyek közül a legsúlyosabb tetszőleges kódvégrehajtást tett lehetővé.

    Leírás: Több biztonsági rés állt fenn a Python 2.7.6-osnál korábbi verzióiban. A Python 2.7.10-es verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel az Office-dokumentumok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5773 : Apple

  • QL Office

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott XML-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Külső entitáshivatkozási hiba lépett fel az XML-fájlok elemzésekor. Hatékonyabb elemzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3784 : Bruno Morisson (INTEGRITY S.A.)

  • Quartz Composer Framework

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QuickTime-fájlok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel a QuickTime-fájlok elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5771 : Apple

  • Gyorsnézet

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy egy előzőleg megtekintett webhely megkeresésekor a webböngésző elindult, és megjelenítette az adott webhelyet.

    Leírás: Egy hiba miatt a Gyorsnézet futtatni tudta a JavaScriptet. A JavaScript futtatásának letiltásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-3781 : Andrew Pouliot (Facebook), Anto Loyola (Qubole)

  • QuickTime 7

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a QuickTime esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753 : Apple

    CVE-2015-5779 : Apple

  • QuickTime 7

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a QuickTime esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-3765 : Joe Burnett (Audio Poison)

    CVE-2015-3788 : Ryan Pentney és Richard Johnson (Cisco Talos)

    CVE-2015-3789 : Ryan Pentney és Richard Johnson (Cisco Talos)

    CVE-2015-3790 : Ryan Pentney és Richard Johnson (Cisco Talos)

    CVE-2015-3791 : Ryan Pentney és Richard Johnson (Cisco Talos)

    CVE-2015-3792 : Ryan Pentney és Richard Johnson (Cisco Talos)

    CVE-2015-5751 : WalkerFuz

  • SceneKit

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Collada-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.

    Leírás: Halompuffer-túlcsordulás okozó probléma lépett fel a Collada-fájlok SceneKit általi kezelésekor. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5772 : Apple

  • SceneKit

    A következőkhöz érhető el: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.4.

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn a SceneKit esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3783 : Haris Andrianakis (Google Security Team)

  • Biztonság

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A normál felhasználók rendszergazdai jogosultságokat tudtak szerezni megfelelő hitelesítés nélkül is.

    Leírás: Hiba lépett fel a felhasználói hitelesítés során. Hatékonyabb hitelesítéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3775 : [Eldon Ahrold]

  • SMBClient

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn az SMB-kliensben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3773 : Ilja van Sprundel

  • Szóbeli figyelmeztetések felhasználói felülete

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor olyan ártó szándékkal létrehozott Unicode-stringek elemzésekor, amelyek esetén engedélyezve voltak a szóbeli figyelmeztetések.

    Leírás: Memóriasérülést okozó hiba lépett fel a Unicode karakterláncok kezelésekor. Hatékonyabb memóriakezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-3794 : Adam Greenbaum (Refinitive)

  • sudo

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a sudo 1.7.10p9-esnél korábbi verzióiban, amelyek közül a legsúlyosabb lehetővé tette, hogy a támadók tetszőleges fájlokhoz hozzáférhessenek.

    Leírás: Több biztonsági rés állt fenn a sudo 1.7.10p9-esnél korábbi verzióiban. A sudo 1.7.10p9 verzióra való frissítésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Több biztonsági rés állt fenn a tcpdump 4.7.3-as verziójában, amelyek közül a legsúlyosabb lehetővé tette, hogy a távoli támadók szolgáltatásmegtagadást idézzenek elő.

    Leírás: Több biztonsági rés állt fenn a tcpdump 4.7.3-asnál korábbi verziói esetén. A tcpdump 4.7.3-as verzióra való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Szövegformátumok

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Az ártó szándékkal létrehozott szövegfájlok elemzésekor felfedhetők voltak a felhasználói adatok.

    Leírás: Külső XML-entitáshivatkozási hiba lépett fel a Szövegszerkesztő-elemzések során. Hatékonyabb elemzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3762 : Xiaoyong Wu (Evernote Security Team)

  • udf

    A következőkhöz érhető el: OS X Yosemite 10.10–10.10.4.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott DMG-fájlok feldolgozásakor váratlan alkalmazásleállásra vagy rendszerjogosultságokkal tetszőleges kód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású DMG-képek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-3767 : beist (grayhash)

Az OS X Yosemite 10.10.5 magában foglalja a Safari 8.0.8 biztonsági tartalmát.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: