Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.
OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001
Server AFP
Tersedia untuk: OS X Mavericks v10.9.5
Dampak: Penyerang jarak jauh dapat menentukan semua alamat jaringan sistem
Deskripsi: Server file AFP mendukung perintah yang mengembalikan semua alamat jaringan sistem. Masalah ini telah diatasi dengan menghapus alamat dari hasil tersebut.
CVE-ID
CVE-2014-4426 : Craig Young dari Tripwire VERT
bash
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan di bash, termasuk salah satu yang dapat memungkinkan penyerang lokal mengeksekusi kode arbitrer
Deskripsi: Beberapa kerentanan terjadi di bash. Masalah ini telah diatasi dengan memperbarui bash ke level patch 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kesalahan penandatanganan bilangan bulat terjadi di IOBluetoothFamily yang memungkinkan manipulasi memori kernel. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas. Masalah ini tidak memengaruhi sistem OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kesalahan terjadi di driver Bluetooth yang memungkinkan aplikasi perusak yang berbahaya mengontrol ukuran tulisan ke memori kernel. Masalah tersebut telah diatasi melalui validasi masukan tambahan.
CVE-ID
CVE-2014-8836 : Ian Beer dari Google Project Zero
Bluetooth
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah keamanan terjadi di driver Bluetooth driver, memungkinkan aplikasi perusak yang berbahaya mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah telah diatasi melalui validasi masukan tambahan.
CVE-ID
CVE-2014-8837 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
Cache CFNetwork
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Cache situs web mungkin tidak sepenuhnya dibersihkan setelah menutup penelusuran pribadi.
Deskripsi: Masalah privasi muncul ketika data penelusuran tetap berada di cache setelah menutup penelusuran pribadi. Masalah ini telah diatasi melalui perubahan perilaku cache.
CVE-ID
CVE-2014-4460
CoreGraphics
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat terjadi saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano dari Binamuse VRT melalui iSIGHT Partners GVP Program
Perangkat lunak CPU
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1, untuk: MacBook Pro Retina, MacBook Air (Mid 2013 dan versi lebih baru), iMac (Late 2013 dan versi lebih baru), Mac Pro (Akhir 2013)
Dampak: Perangkat Thunderbolt perusak yang berbahaya dapat memengaruhi kilatan firmware
Deskripsi: Perangkat Thunderbolt dapat mengubah firmware host jika terhubung selama pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.
CVE-ID
CVE-2014-4498 : Trammell Hudson dari Two Sigma Investments
Kerangka CommerceKit
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Penyerang yang memiliki akses ke sistem dapat memulihkan pengesahan ID Apple
Deskripsi: Masalah terjadi saat menangani catatan App Store. Proses App Store dapat mencatat pengesahan ID Apple di catatan saat pencatatan tambahan diaktifkan. Masalah ini telah diatasi dengan menolak pencatatan pengesahan.
CVE-ID
CVE-2014-4499 : Sten Petersen
CoreGraphics
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa aplikasi pihak ketiga dengan acara entri teks dan tetikus yang tidak aman dapat mencatat acara tersebut
Deskripsi: Karena kombinasi dari variabel yang tidak berinisial dan pengalokasi khusus aplikasi, acara entri teks dan tetikus yang tidak aman mungkin telah dicatat. Masalah ini telah diatasi dengan memastikan bahwa pencatatan dimatikan secara default. Masalah ini tidak memengaruhi sistem sebelum OS X Yosemite.
CVE-ID
CVE-2014-1595 : Steven Michaud dari Mozilla bekerja dengan Kent Howard
CoreGraphics
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menangani file PDF. Masalah tersebut telah diatasi melalui pemeriksaan peningkatan batas. Masalah ini tidak memengaruhi sistem OS X Yosemite.
CVE-ID
CVE-2014-8816 : Mike Myers, dari Digital Operatives LLC
CoreSymbolication
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah ketidakjelasan jenis terjadi saat coresymbolicationd menangani pesan XPC. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan jenis.
CVE-ID
CVE-2014-8817 : Ian Beer dari Google Project Zero
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Membuka file .dfont perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat menangani file .dfont. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4484 : Gaurav Baruah bekerja dengan HP's Zero Day Initiative
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4483 : Apple
Foundation
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Melihat file XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer terjadi di parser XML. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4485 : Apple
Driver Intel Graphics
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan di driver grafis Intel
Deskripsi: Beberapa kerentanan terjadi di driver grafus Intel, masalah paling serius dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut dengan pemeriksaan batas tambahan.
CVE-ID
CVE-2014-8819 : Ian Beer dari Google Project Zero
CVE-2014-8820 : Ian Beer dari Google Project Zero
CVE-2014-8821 : Ian Beer dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk null terjadi di IOAcceleratorFamily saat menangani jenis klien pengguna IOService khusus. Masalah ini telah diatasi dengan peningkatan validasi konteks IOAcceleratorFamily.
CVE-ID
CVE-2014-4486 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan buffer terjadi di IOHIDFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4487 : Tim TaiG Jailbreak
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi terjadi di IOHIDFamily saat menangani metadata antrean sumber daya. Masalah ini telah diatasi dengan peningkatan validasi metadata.
CVE-ID
CVE-2014-4488 : Apple
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk null terjadi di IOHIDFamily saat menangani antrean acara. Masalah ini telah diatasi dengan peningkatan validasi inisialisasi antrean acara IOHIDFamily.
CVE-ID
CVE-2014-4489 : @beist
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel
Deskripsi: Masalah pemeriksaan batas muncul di klien pengguna yang ditawarkan oleh driver IOHIDFamily yang memungkinkan aplikasi perusak berbahaya menimpa bagian arbitrer dari ruang alamat kernel. Masalah tersebut telah diatasi dengan menghapus metode klien pengguna yang rentan.
CVE-ID
CVE-2014-8822 : Vitaliy Toropov bekerja dengan Zero Day Initiative HP
IOKit
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan bilangan bulat terjadi saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.
CVE-ID
CVE-2014-4389 : Ian Beer dari Google Project Zero
IOUSBFamily
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi dengan hak istimewa mungkin dapat membaca data arbitrer dari memori kernel
Deskripsi: Masalah memori terjadi saat menangani fungsi klien pengguna pengontrol IOUSB. Masalah ini telah diatasi dengan peningkatan validasi argumen.
CVE-ID
CVE-2014-8823 : Ian Beer dari Google Project Zero
Kerberos
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Perpustakaan libgssapi Kerberos mengembalikan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan peningkatan manajemen kondisi.
CVE-ID
CVE-2014-5352
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Penentuan mode cache khusus memungkinkan penulisan ke segmen memori bersama hanya baca kernel. Masalah ini telah diatasi dengan tidak memberikan izin menulis sebagai efek samping dari beberapa mode cache khusus.
CVE-ID
CVE-2014-4495 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah validasi terjadi saat menangani kolom metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi dengan peningkatan validasi metadata.
CVE-ID
CVE-2014-8824 : @PanguTeam
Kernel
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Penyerang lokal dapat menipu respons layanan direktori ke kernel, meningkatkan hak istimewa, atau memperoleh eksekusi kernel
Description: Masalah terjadi di validasi identitysvc pada proses penyelesaian layanan direktori, penanganan bendera, dan penanganan kesalahan. Masalah ini telah diatasi dengan peningkatan validasi.
CVE-ID
CVE-2014-8825 : Alex Radocea dari CrowdStrike
Kernel
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Beberapa masalah memori yang tidak terinisialisasi terjadi di antarmuka statistik jaringan, yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.
CVE-ID
CVE-2014-4371 : Fermin J. Serna dari Tim Keamanan Google
CVE-2014-4419 : Fermin J. Serna dari Tim Keamanan Google
CVE-2014-4420 : Fermin J. Serna dari Tim Keamanan Google
CVE-2014-4421 : Fermin J. Serna dari Tim Keamanan Google
Kernel
Tersedia untuk: OS X Mavericks v10.9.5
Dampak: Orang dengan posisi jaringan yang memiliki hak istimewa dapat menyebabkan penolakan layanan
Deskripsi: Masalah kondisi pacu terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan peningkatan pemeriksaan kondisi kunci.
CVE-ID
CVE-2011-2391
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi berbahaya atau terkompromi mungkin dapat menentukan alamat di dalam kernel
Deskripsi: Masalah pengungkapan informasi terjadi saat menangani API terkait dengan ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini telah diatasi dengan tidak menggeser alamat sebelum mengembalikannya.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi terjadi saat menangani bidang metadata khusus pada objek IOSharedDataQueue. Masalah ini telah diatasi dengan relokasi metadata.
CVE-ID
CVE-2014-4461 : @PanguTeam
LaunchServices
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: File JAR perusak yang berbahaya dapat memintasi pemeriksaan Gatekeeper
Deskripsi: Masalah terjadi saat menangani peluncuran aplikasi yang memungkinkan file JAR perusak yang berbahaya memintas pemeriksaan Gatekeeper. Masalah ini telah diatasi dengan peningkatan metadata jenis file.
CVE-ID
CVE-2014-8826 : Hernan Ochoa dari Amplia Security
libnetcore
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang disandbox perusak yang berbahaya dapat membahayakan networkd daemon
Deskripsi: Beberapa masalah ketidakjelasan jenis terjadi saat komunikasi antar proses. Dengan mengirim pesan berformat networkd perusak yang berbahaya, ada kemungkinan pesan tersebut mengeksekusi kode arbitrer sebagai proses networkd. Masalah tersebut telah diatasi melalui pemeriksaan jenis tambahan.
CVE-ID
CVE-2014-4492 : Ian Beer dari Google Project Zero
LoginWindow
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Mac tidak segera terkunci setelah bangun
Deskripsi: Masalah terjadi saat mengolah layar kunci. Masalah tersebut telah diatasi melalui peningkatan pengolahan layar saat terkunci.
CVE-ID
CVE-2014-8827 : Xavier Bertels of Mono, dan beberapa penguji awal OS X
lukemftp
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Menggunakan alat ftp baris perintah utnuk mendapatkan file dari server http perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah perintah injeksi terjadi saat menangani pengalihan HTTP. Masalah ini telah diatasi dengan peningkatan validasi karakter khusus.
CVE-ID
CVE-2014-8517
ntpd
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Menggunakan ntp daemon dengan otentikasi kriptografis yang diaktifkan dapat mengakibatkan bocornya informasi
Deskripsi: Beberapa masalah validasi masukan terjadi di ntpd. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-9297
OpenSSL
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan di OpenSSL 0.9.8za, termasuk salah satu yang dapat memungkinkan penyerang menurunkan versi sambungan untuk menggunakan rangkaian cipher yang lebih lemah saat aplikasi yang menggunakan perpustakaan
Deskripsi: Beberapa kerentanan terjadi di OpenSSL 0.9.8za. Masalah tersebut telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Prosesi yang disandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah desain terjadi di cache profil sandbox yang memungkinkan aplikasi yang disandbox memperoleh akses menulis ke cache. Masalah ini telah diatasi dengan membatasi akses menulis ke jalur yang berisi segmen “com.apple.sandbox”. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Yosemite v10.10 atau versi lebih baru.
CVE-ID
CVE-2014-8828 : Apple
SceneKit
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Aplikasi perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer membahayakan informasi pengguna
Deskripsi: Beberapa masalah tulisan di luar batas terjadi di SceneKit. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-8829 : Jose Duart dari Tim Keamanan Google
SceneKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Melihat file Collada perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer terjadi di SceneKit saat menangani file Collada. Melihat file Collada perusak yang berbahaya mungkin telah mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini telah diatasi dengan peningkatan validasi metadata.
CVE-ID
CVE-2014-8830 : Jose Duart dari Tim Keamanan Google
Keamanan
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi bertanda tangan yang diunduh dengan sertifikat ID Pengembang yang dibatalkan dapat memintasi pemeriksaan Gatekeeper
Deskripsi: Masalah terjadi saat informasi sertifikat aplikasi cache telah dievaluasi. Masalah ini telah diatasi dengan peningkatan logic cache.
CVE-ID
CVE-2014-8838 : Apple
security_taskgate
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App dapat mengakses item rantai kunci milik app lain
Deskripsi: Masalah kontrol akses terjadi di Rantai kunci. Aplikasi yang ditandatangani dengan tanda tangan sendiri atau sertifikat ID Pengembang dapat mengakses item rantai kunci yang mengakses daftar kontrol berbasis grup rantai kunci. Masalah ini telah diatasi dengan memvalidasi identitas bertandatangan saat memberikan akses ke grup rantai kunci.
CVE-ID
CVE-2014-8831 : Apple
Spotlight
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Pengirim email dapat menentukan alamat IP penerima email
Deskripsi: Spotlight tidak memerikas kondisi pengaturan "Muat konten jarak jauh di pesan" Mail. Masalah ini telah diatasi dengan pemeriksaan konfigurasi.
CVE-ID
CVE-2014-8839 : John Whitehead dari The New York Times, Frode Moe dari LastFriday.no
Spotlight
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Spotlight dapat menyimpan informasi yang tidak diharapkan ke hard drive eksternal
Deskripsi: Masalah terjadi di Spotlight tempat konten memori telah dituliskan ke hard drive eksternal saat mengindeks. Masalah ini telah diatasi dengan pengelolaan memori yang lebih baik.
CVE-ID
CVE-2014-8832 : F-Secure
SpotlightIndex
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Spotlight dapat menampilkan hasil untuk file yang bukan berasal dari pengguna lain
Deskripsi: Masalah deserialisasi terjadi di Spotlight saat menangani cache izin. Pengguna yang menjalankan kueri Spotlight dapat menampilkan file hasil referensi pencarian ketika pengguna tidak memiliki hak istimewa yang layak untuk membaca. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-8833 : David J Peacock, Konsultan Teknologi Independen
sysmond
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Kerentanan ketidakjelasan jenis terjadi di sysmond yanf memungkinkan aplikasi lokal meningkatkan hak istimewa. Masalah tersebut telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-8835 : Ian Beer dari Google Project Zero
UserAccountUpdater
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: File preferensi terkait pencetakan mungkin berisi informasi sensitif tentang dokumen PDF
Deskripsi: OS X Yosemite v10.10 mengatasi masalah saat menangani file PDF yang dilindungi kata sandi yang dibuat dari dialog Cetak yang menyertakan kata sandi di file preferensi pencetakan. Pembaruan ini menghapus informasi yang tidak relevan yang daapt muncul di file preferensi pencetakan.
CVE-ID
CVE-2014-8834 : Apple
Catatan: OS X Yosemite 10.10.2 sudah termasuk konten keamanan Safari 8.0.3.