Az OS X El Capitan 10.11 biztonsági tartalma

Ez a dokumentum az OS X El Capitan 10.11 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcsának használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

OS X El Capitan 10.11

  • Címtár

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi támadók tetszőleges kódot tudtak beszúrni a Címtár-keretrendszert betöltő folyamatokba.

    Leírás: Hiba lépett fel a környezeti változók Címtár-keretrendszer általi kezelésekor. A környezeti változók hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5897 : Dan Bastone (Gotham Digital Science)

  • AirScan

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A magas hálózati jogosultságú támadók ki tudtak vonni payloadot a biztonságos kapcsolaton keresztül továbbított eSCL-csomagokból.

    Leírás: Hiba lépett fel az eSCL-csomagok feldolgozásakor. Hatékonyabb hitelesítési ellenőrzések beállításával küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-5853 : anonim kutató

  • apache_mod_php

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A PHP több biztonsági rése

    Leírás: Több biztonsági rés állt fenn a PHP 5.5.27-esnél korábbi verzióiban, amelyek közül az egyik tetszőleges kódvégrehajtást tett lehetővé. A PHP 5.5.27-es verzióra való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a felhasználói kulcskarika elemeihez.

    Leírás: Hiba lépett fel az iCloud-kulcskarikához kapcsolódó hozzáférés-kezelési listák hitelesítésekor. A hozzáférés-kezelési listák hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5836 : XiaoFeng Wang (Indiana University), Luyi Xing (Indiana University), Tongxin Li (Peking University), Tongxin Li (Peking University), Xiaolong Bai (Tsinghua University)

  • AppleEvents

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A képernyőmegosztás révén kapcsolódó felhasználók Apple-eseményeket tudtak küldeni a helyi felhasználók munkamenetébe.

    Leírás: Hiba lépett fel az Apple-események szűrésekor, ami miatt néhány felhasználó eseményeket tudott küldeni más felhasználóknak. Az Apple-események hatékonyabb kezelésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5849 : Jack Lawrence (@_jackhl)

  • Hang

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy egy rosszindulatú hangfájl lejátszásakor váratlan alkalmazásleállásra került sor.

    Leírás: Memóriasérülési hiba lépett fel a hangfájlok kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5862 : YoungJin Yoon (Information Security Lab; tan.: Prof. Taekyoung Kwon), Korea, Szöul, Yonsei University

  • bash

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A bash több biztonsági rése

    Érintett terület: Több biztonsági rés állt fenn a 3.2-es (57-es javítási szint) előtti bash-verziókban. A bash 3.2-es verziójának 57-es javítási szintre való frissítésével hárították el a problémát.

    CVE-azonosító

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Megbízható tanúsítványok házirendje

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A megbízható tanúsítványok házirendjének frissítése

    Leírás: Frissült a megbízható tanúsítványok házirendje. A tanúsítványok teljes listája a következő weboldalon tekinthető meg: https://support.apple.com/hu-hu/HT202858.

  • CFNetwork cookie-k

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.

    Leírás: Tartományközi, sütikkel kapcsolatos probléma lépett fel a legfelső szintű tartományok kezelésekor. A sütik létrehozásának hatékonyabb korlátozásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5885 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork FTPProtocol

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú FTP-kiszolgálók el tudták érni, hogy a kliens felderítést hajtson végre egyéb hosztokon.

    Leírás: Hiba lépett fel az FTP-csomagok kezelésekor a PASV parancs használatakor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5912 : Amit Klein

  • CFNetwork HTTPProtocol

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az ártó szándékkal létrehozott URL-ek meg tudták kerülni a HSTS-t, és ki tudták szivárogtatni a bizalmas jellegű adatokat.

    Leírás: Egy URL-elemzési biztonsági rés keletkezett a HSTS kezelésekor. Hatékonyabb URL-elemzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5858 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork HTTPProtocol

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A magas hálózati jogosultságú támadók be tudtak férkőzni a hálózati forgalomba.

    Leírás: Egy hiba lépett fel a HSTS előbetöltési lista bejegyzéseinek kezelésekor a Safari privát böngészési módjában. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5859 : Rosario Giustolisi (University of Luxembourg)

  • CFNetwork HTTPProtocol

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat a Safari privát böngészési módjában.

    Leírás: Egy hiba lépett fel a HSTS-állapot kezelésekor a Safari privát böngészési módjában. Az állapotkezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5860 : Sam Greenhalgh (RadicalResearch Ltd)

  • CFNetwork proxyk

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy egy rosszindulatú webproxyhoz való kapcsolódás során rosszindulatú sütik jöttek létre a webhelyhez kapcsolódóan.

    Leírás: Hiba lépett fel a proxykapcsolódási válaszok kezelésekor. Azáltal hárították el a problémát, hogy eltávolították a „set-cookie” fejlécet a kapcsolódási válasz elemzésekor.

    CVE-azonosító

    CVE-2015-5841 : Xiaofeng Zheng (Blue Lotus Team), Tsinghua University

  • CFNetwork SSL

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A magas hálózati jogosultságú támadók be tudtak férkőzni az SSL-/TLS-kapcsolatokba.

    Leírás: Tanúsítványhitelesítési probléma lépett fel az NSURL esetén, amikor egy tanúsítvány módosult. Hatékonyabb tanúsítvány-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5824 : Timothy J. Wood (The Omni Group)

  • CFNetwork SSL

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A támadók vissza tudták fejteni az SSL-protokollal védett adatok titkosítását.

    Leírás: Az RC4 titkosítását érintő támadások A támadók kényszeríteni tudták az RC4 használatát akkor is, ha a kiszolgáló jobb rejtjelezést részesített előnyben. Ezt úgy tudták elérni, hogy blokkolták a TLS 1.0-s és újabb verziójú kapcsolatokat addig, amíg a CFNetwork megpróbálkozott az SSL 3.0 használatával, amely csak az RC4 alkalmazását engedélyezi. Az SSL 3.0-s verziójához való visszatérés megakadályozásával hárították el a problémát.

  • CoreCrypto

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a támadók meg tudták határozni a magánkulcsokat.

    Leírás: Számos aláírási és titkosításfeloldási kísérlet megfigyelésével a támadók meg tudták határozni az RSA-magánkulcsot. Hatékonyabb titkosítási algoritmusokkal hárították el a problémát.

  • CoreText

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Fejlesztői eszközök

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn a dyld esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5876 : beist (grayhash)

  • Fejlesztői eszközök

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az alkalmazások meg tudták kerülni a kódaláírást.

    Leírás: Hiba lépett fel a végrehajtható fájlok kódaláírásával. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5839 : @PanguTeam

  • Lemezképek

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülést okozó hiba állt fenn a DiskImages esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az alkalmazások meg tudták kerülni a kódaláírást.

    Leírás: Hiba lépett fel a végrehajtható fájlok kódaláírásával. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5839 : TaiG Jailbreak Team

  • EFI

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú alkalmazások néhány rendszer esetén meg tudták akadályozni a rendszerindítást.

    Leírás: Egy probléma állt fenn a védett tartomány regiszterében tárolt címekkel. A védett tartomány módosításával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5900 : Xeno Kovah és Corey Kallenberg (LegbaCore)

  • EFI

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú Apple Ethernet Thunderbolt-adapterek befolyást tudtak gyakorolni a firmware-telepítésre.

    Leírás: Az Apple Ethernet Thunderbolt-adapterek módosítani tudták a gazda firmware-t, ha EFI-frissítés közben csatlakoztatták őket. Annak beállításával hárították el a hibát, hogy ne töltődjenek be az eszközspecifikus ROM-ok a frissítés során.

    CVE-azonosító

    CVE-2015-5914 : Trammell Hudson (Two Sigma Investments) és snare

  • Finder

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A „Kuka biztonságos ürítése” funkció nem mindig törölte biztonságos módon a Kukába helyezett fájlokat.

    Leírás: Néhány rendszerben – például a flashtárólóval rendelkezők esetén – egy probléma áll fenn a Kukában lévő fájlok biztonságos törlésének garantálásával. A „Kuka biztonságos ürítése” funkció eltávolításával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5901 : Apple

  • Game Center

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rosszindulatú Game Center-alkalmazások hozzá tudtak férni a játékos e-mail címéhez.

    Leírás: Hiba lépett fel a játékos e-mail címének Game Center általi kezelésekor. Hatékonyabb hozzáférés-korlátozással hárították el a problémát.

    CVE-azonosító

    CVE-2015-5855 : Nasser Alnasser

  • Heimdal

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A támadók vissza tudták játszani a Kerberos hitelesítő adatait az SMB-kiszolgálónak.

    Leírás: Egy hitelesítési probléma áll fenn a Kerberos hitelesítő adatokkal. Azáltal hárították el a problémát, hogy a hitelesítő adatokat további ellenőrzés alá vetették egy olyan lista segítségével, amely a nemrég látott hitelesítő adatokat tartalmazza.

    CVE-azonosító

    CVE-2015-5913 : Tarun Chopra (Microsoft Corporation, Egyesült Államok) és Yu Fan (Microsoft Corporation, Kína)

  • ICU

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Több biztonsági rés állt fenn az ICU esetén.

    Leírás: Több biztonsági rés állt fenn az ICU 53.1.0-snál korábbi verzióiban. Az ICU 55.1-es verziójára való frissítéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand (Google Project Zero)

  • Install Framework Legacy

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a helyi felhasználók gyökérszintű jogosultságokat tudtak szerezni.

    Leírás: Egy korlátozással kapcsolatos hiba állt fenn a privilegizált végrehajtható fájlt tartalmazó Install magánkeretrendszerben. A végrehajtható fájl eltávolításával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5888 : Apple

  • Intel grafikus illesztőprogram

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az Intel grafikus illesztőprogramban. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5830 : Yuki MIZUNO (@mzyy94)

    CVE-2015-5877 : Camillus Gerard Cai

  • IOAudioFamily

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az IOAudioFamily esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A kernelmutatók permutálásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5864 : Luca Todesco

  • IOGraphics

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5871 : Ilja van Sprundel (IOActive)

    CVE-2015-5872 : Ilja van Sprundel (IOActive)

    CVE-2015-5873 : Ilja van Sprundel (IOActive)

    CVE-2015-5890 : Ilja van Sprundel (IOActive)

  • IOGraphics

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az IOGraphics esetén, ami miatt felfedhető volt a kernelmemória felépítése. A memóriakezelés javításával küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5865 : Luca Todesco

  • IOHIDFamily

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az IOHIDFamily esetén. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5866 : Apple

    CVE-2015-5867 : moony li (Trend Micro)

  • IOStorageFamily

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a helyi támadók olvasni tudták a kernelmemóriát.

    Leírás: Memóriainicializálási hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5863 : Ilja van Sprundel (IOActive)

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5868 : Cererdlong (Alibaba Mobile Security Team)

    CVE-2015-5896 : Maxime Villard (m00nbsd)

    CVE-2015-5903 : CESG

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi folyamatok jogosultsági ellenőrzések nélkül is módosítani tudtak más folyamatokat.

    Leírás: Egy hiba állt fenn, amely miatt a processor_set_tasks API-t használó gyökérfolyamatok be tudták olvasni más folyamatok feladatportjait. A jogosultsági ellenőrzések fejlesztésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5882 : Pedro Vilaça (Ming-chieh Pan és Sung-ting Tsai eredeti kutatási anyagának felhasználásával); Jonathan Levin

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi támadók szabályozni tudták a veremsütiket.

    Leírás: Több gyenge pontja volt a felhasználói térben lévő veremsütik generálásának. A veremsütik hatékonyabb generálásával hárították el a problémákat.

    CVE-azonosító

    CVE-2013-3951 : Stefan Esser

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A támadók szolgáltatásmegtagadást célzó támadásokat tudtak indítani a célzott TCP-kapcsolatokon a megfelelő sorszám ismerete nélkül.

    Leírás: Hiba lépett fel a TCP-csomagfejlécek xnu általi hitelesítésekor. A TCP-csomagfejlécek hatékonyabb hitelesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5879 : Jonathan Looney

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi LAN-szegmensben elhelyezkedő támadók le tudták tiltani az IPv6-útválasztást.

    Leírás: Egy elégtelen hitelesítéssel kapcsolatos hiba lépett fel az IPv6-routerhirdetmények kezelésekor, ami lehetővé tette a támadóknak, hogy tetszőleges értéket állítsanak be az ugrásszámhoz. Egy minimális ugrásszám érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba miatt felfedhető volt a kernelmemória felépítése. A kernelmemória szerkezetének hatékonyabb inicializálásával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5842 : beist (grayhash)

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn a hibakeresési interfészekben, ami a memória tartalmának közzétételéhez vezetett. A hibakeresési interfészek kimenetének megtisztításával hárították el a problémát.

    CVE-azonosító

    CVE-2015-5870 : Apple

  • Kernel

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Állapotkezelési hiba állt fenn a hibakeresési funkcióban. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5902 : Sergi Alvarez (pancake; NowSecure Research Team)

  • libc

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

    Leírás: Memóriasérülést okozó hiba állt fenn az fflush függvényben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2014-8611 : Adrian Chadd és Alfred Perlstein (Norse Corporation)

  • libpthread

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5899 : Lufeng Li (Qihoo 360 Vulcan Team)

  • libxpc

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Sok SSH-kapcsolat szolgáltatásmegtagadást tudott előidézni.

    Leírás: A launchd esetén nem volt korlátozva a hálózati kapcsolat által elindítható folyamatok száma. Azáltal hárították el a problémát, hogy 40-re korlátozták az SSH-folyamatok számát.

    CVE-azonosító

    CVE-2015-5881 : Apple

  • Bejelentkezési ablak

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A kijelzőzár nem kapcsolódott be a megadott időtartam lejártakor.

    Leírás: Egy probléma állt fenn a rögzített kijelzőzárolással. A problémát a zárkezelés javítása révén küszöbölték ki.

    CVE-azonosító

    CVE-2015-5833 : Carlos Moreira, Rainer Dorau (rainer dorau informationsdesign), Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera és Jon Hall (Asynchrony)

  • lukemftpd

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A távoli támadók meg tudták tagadni a szolgáltatást az FTP-kiszolgálónak.

    Leírás: Egy glob-feldolgozási hiba állt fenn a tnftpd esetén. Hatékonyabb glob-hitelesítéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5917 : Maksymilian Arciemowicz (cxsecurity.com)

  • Mail

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy az e-mailek kinyomtatásakor kiszivárogtak bizalmas jellegű felhasználói adatok.

    Leírás: Egy probléma állt fenn a Mailben, amely miatt megkerülhetők voltak a felhasználói beállítások az e-mailek kinyomtatásakor. A felhasználói beállítások hatékonyabb érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5881 : Owen DeLong (Akamai Technologies), Noritaka Kamiya, Dennis Klein (Németország, Eschenburg), Jeff Hammett (Systim Technology Partners)

  • Mail

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A magas hálózati jogosultságú támadók hozzá tudtak férni az S/MIME-titkosítású e-mailek mellékleteihez a Mail Drop révén.

    Leírás: Hiba lépett fel a titkosítási paraméterek kezelésekor a Mail Drop segítségével küldött nagyméretű e-mail mellékletek esetén. Úgy hárították el a problémát, hogy letiltották a Mail Drop lehetőséget titkosított e-mailek küldésekor.

    CVE-azonosító

    CVE-2015-5884 : John McCombs (Integrated Mapping Ltd)

  • Multipeer Connectivity

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi támadók meg tudták figyelni a védelem nélküli „multipeer” adatokat.

    Leírás: Egy hiba lépett fel a kényelmi inicializáló kezelésekor, amely miatt aktív módon le tudták fokozni a titkosítást nem titkosított munkamenetre. Annak beállításával hárították el a problémát, hogy a kényelmi inicializáló titkosítást igényeljen.

    CVE-azonosító

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3, Data Theorem)

  • NetworkExtension

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták állapítani a kernelmemória felépítését.

    Leírás: A kernelben egy nem inicializált memóriával kapcsolatos probléma miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb memória-inicializálással küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-5831 : Maxime Villard (m00nbsd)

  • Megjegyzések

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

    Leírás: Hiba lépett fel a hivatkozások elemzésekor a Jegyzetek alkalmazásban. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-5878 : Craig Young (Tripwire VERT), egy anonim kutató

  • Megjegyzések

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

    Leírás: Webhelyek közötti, parancsfájlokkal kapcsolatos probléma lépett fel a szövegek Jegyzetek alkalmazás általi elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

    CVE-azonosító

    CVE-2015-5875 : xisigr (Tencent, Xuanwu LAB; www.tencent.com)

  • OpenSSH

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az OpenSSH több biztonsági rése

    Leírás: Több biztonsági rés állt fenn az OpenSSH 6.9-esnél korábbi verzióiban. Az OpenSSH 6.9-es verzióra való frissítésével hárították el a problémákat.

    CVE-azonosító

    CVE-2014-2532

  • OpenSSL

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az OpenSSL több biztonsági réssel rendelkezett.

    Érintett terület: Több biztonsági rés állt fenn a 0.9.8zg előtti OpenSSL-verziókban. Az OpenSSL 0.9.8zg verziójára való frissítéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A procmail több biztonsági rése

    Leírás: Több biztonsági rés állt fenn a procmail 3.22-esnél korábbi verzióiban. A procmail eltávolításával hárították el a problémákat.

    CVE-azonosító

    CVE-2014-3618

  • remote_cmds

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi felhasználók tetszőleges programkódot tudtak végrehajtani.

    Leírás: Hiba lépett fel a környezeti változók rsh bináris általi használatakor. A setuid-jogosultságok rsh binárisból való törlésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5889 : Philip Pettersson

  • removefile

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a rosszindulatú adatok feldolgozásakor váratlan alkalmazásleállásra került sor.

    Leírás: Egy túlcsordulási hiba állt fenn a „checkint” elválasztási rutinokban. Hatékonyabb elválasztási rutinokkal hárították el a problémát.

    CVE-azonosító

    CVE-2015-5840 : anonim kutató

  • Ruby

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A Ruby több biztonsági réssel rendelkezett.

    Leírás: Több biztonsági rés állt fenn a Ruby 2.0.0p645-ösnél korábbi verzióiban. A Ruby 2.0.0p645-ös verzióra való frissítésével küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Biztonság

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy tévesen az jelent meg a felhasználó számára, hogy a kulcskarika zárolva van.

    Leírás: Egy állapotkezeléssel összefüggő probléma lépett fel azzal összefüggésben, ahogy a kulcskarika zárolt állapotának nyomon követése zajlott. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5915 : Peter Walz (University of Minnesota), David Ephron, Eric E. Lawrence, Apple

  • Biztonság

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a visszavonás-ellenőrzés megkövetelésére konfigurált megbízhatóság-kiértékelés akkor is sikeres volt, ha nem teljesültek a visszavonás-ellenőrzés feltételei.

    Leírás: A kSecRevocationRequirePositiveResponse jelölő meghatározásra került, de nem ment végbe az érvényesítése. A jelölő érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5894 : Hannes Oud (kWallet GmbH)

  • Biztonság

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a távoli kiszolgálók tanúsítványt kértek, mielőtt azonosították volna magukat.

    Leírás: A Secure Transport elfogadta a CertificateRequest-üzenetet a ServerKeyExchange-üzenet előtt. Azáltal küszöbölték ki a problémát, hogy kötelezővé tették a ServerKeyExchange elsőbbségét.

    CVE-azonosító

    CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti és Jean Karim Zinzindohoue (INRIA Paris-Rocquencourt), valamint Cedric Fournet és Markulf Kohlweiss (Microsoft Research), Pierre-Yves Strub (IMDEA Software Institute)

  • SMB

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-5891 : Ilja van Sprundel (IOActive)

  • SMB

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi felhasználók meg tudták határozni a kernelmemória felépítését.

    Leírás: Egy hiba állt fenn az SMBClient esetén, ami a kernelmemória tartalmának közzétételéhez vezetett. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-5893 : Ilja van Sprundel (IOActive)

  • SQLite

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Több biztonsági rés állt fenn az SQLite 3.8.5-ös verziójában.

    Leírás: Több biztonsági rés állt fenn az SQLite 3.8.5-ös verziójában. Az SQLite 3.8.10.2-es verziójára való frissítéssel hárították el a problémákat.

    CVE-azonosító

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonálás

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: A helyi támadók a felhasználó tudta nélkül telefonhívásokat tudtak kezdeményezni az Átjárhatóság használatakor.

    Leírás: Hiba lépett fel a telefonhívások kezdeményezéskor végzett jogosultsági ellenőrzések során. Hatékonyabb jogosultság-ellenőrzéssel küszöböltük ki a problémát.

    CVE-azonosító

    CVE-2015-3785 : Dan Bastone (Gotham Digital Science)

  • Terminal

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Az ártó szándékkal létrehozott szövegek félre tudták vezetni a felhasználót a Terminalban.

    Leírás: A Terminal nem ugyanolyan módon kezelte a kétirányú „override” karaktereket a szövegek megjelenítésekor és a szövegek kijelölésekor. Azáltal hárították el a problémát, hogy elnyomták a kétirányú „override” karaktereket a Terminalban.

    CVE-azonosító

    CVE-2015-5883 : Lukas Schauer (@lukas2511)

  • tidy

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a tidy esetén. Hatékonyabb memóriakezeléssel küszöböltük ki a problémákat.

    CVE-azonosító

    CVE-2015-5522 : Fernando Muñoz (NULLGroup.com)

    CVE-2015-5523 : Fernando Muñoz (NULLGroup.com)

  • Time Machine

    A következőkhöz érhető el: Mac OS X 10.6.8 és újabb verziók.

    Érintett terület: Előfordult, hogy a helyi támadók hozzá tudtak férni a kulcskarikán tárolt elemekhez.

    Leírás: Egy hiba állt fenn a Time Machine keretrendszer által létrehozott biztonsági mentések vonatkozásában. A Time Machine által létrehozott biztonsági mentések hatékonyabb védelmével hárították el a problémát.

    CVE-azonosító

    CVE-2015-5854 : Jonas Magazinius (Assured AB)

Megjegyzés: Az OS X El Capitan 10.11 magában foglalja a Safari 9 biztonsági tartalmát.

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: