Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
OS X Yosemite v10.10.4 dan Pembaruan Keamanan 2015-005
Admin Framework
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Suatu proses dapat memperoleh hak istimewa admin tanpa pengesahan yang benar
Penjelasan: Masalah muncul saat memeriksa pemberian hak XPC. Masalah ini telah diatasi dengan pemeriksaan pemberian hak yang lebih baik.
CVE-ID
CVE-2015-3671 : Emil Kvarnhammar di TrueSec
Admin Framework
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Pengguna nonadmin dapat memperoleh hak admin
Penjelasan: Masalah muncul saat menangani pengesahan pengguna. Masalah ini telah diatasi melalui pemeriksaan kesalahan yang lebih baik.
CVE-ID
CVE-2015-3672 : Emil Kvarnhammar di TrueSec
Admin Framework
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dapat menyalahgunakan Utilitas Direktori untuk memperoleh hak istimewa dasar
Penjelasan: Utilitas Direktori dapat dipindahkan dan dimodifikasi untuk mencapai eksekusi kode dalam proses pemberian hak. Masalah ini telah diatasi dengan membatasi lokasi disk yang dapat dijalankan dari klien writeconfig.
CVE-ID
CVE-2015-3673 : Patrick Wardle dari Synack, Emil Kvarnhammar di TrueSec
afpserver
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul di server AFP. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3674 : Dean Jerkovich dari NCC Group
apache
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dapat mengakses direktori yang dilindungi oleh autentikasi HTTP tanpa mengetahui informasi pengesahan yang benar
Penjelasan: Konfigurasi Apache default tidak memasukkan mod_hfs_apple. Jika Apache diaktifkan secara manual dan konfigurasi tidak diubah, beberapa file yang tidak boleh diakses mungkin dapat diakses menggunakan URL perusak khusus. Masalah ini telah diatasi dengan mengaktifkan mod_hfs_apple.
CVE-ID
CVE-2015-3675 : Apple
apache
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Beberapa kerentanan muncul di PHP, yang paling serius dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa kerentanan muncul di PHP versi sebelum 5.5.24 dan 5.4.40. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.24 dan 5.4.40.
CVE-ID
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah muncul di AppleGraphicsControl yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-3676 : Chen Liang dari Tim KEEN
AppleFSCompression
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah muncul di kompresi LZVN yang dapat mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3677 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari HP
AppleThunderboltEDMService
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah kerusakan memori muncul saat menangani perintah Thunderbolt tertentu dari proses lokal. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3678 : Apple
ATS
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat menangani fon tertentu. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3679 : Pawel Wylecial bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3680 : Pawel Wylecial bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3681 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3682 : 魏诺德
Bluetooth
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah kerusakan memori muncul di antarmuka HCI Bluetooth. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3683 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan
Penjelasan: Sertifikat menengah salah diterbitkan oleh CNNIC otoritas sertifikat. Masalah ini telah diatasi dengan ditambahnya mekanisme untuk hanya memercayai subset sertifikat yang diterbitkan sebelum salah menerbitkan sertifikat menengah tersebut. Anda dapat mempelajari lebih lanjut mengenai daftar pengizinan keamanan yang dipercaya sebagian.
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di Toko Tepercaya OS X.
CFNetwork HTTPAuthentication
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Mengikuti URL perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat menangani informasi pengesahan URL tertentu. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3684 : Apple
CoreText
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat memproses file teks. Masalah-masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.
CVE-ID
CVE-2015-1157
CVE-2015-3685 : Apple
CVE-2015-3686 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3687 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3688 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3689 : Apple
coreTLS
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS
Penjelasan: coreTLS menerima kunci Diffie-Hellman (DH) pendek sementara, seperti yang digunakan di rangkaian chiper DN sementara berkemampuan ekspor. Masalah ini, juga dikenal sebagai Logjam, menyebabkan penyerang dengan posisi jaringan hak istimewa menurunkan keamanan hingga 512-bit DH jika server mendukung rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini telah diatasi dengan meningkatkan ukuran minimum default yang diizinkan untuk kunci sementara DH hingga 768 bit.
CVE-ID
CVE-2015-4000 : Tim weakdh di weakdh.org, Hanno Boeck
DiskImages
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah pengungkapan informasi terjadi saat memproses image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3690 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
Driver Tampilan
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah muncul di ekstensi kernel Monitor Control Command Set di mana proses userland dapat mengontrol nilai penunjuk fungsi dalam kernel tersebut. Masalah ini telah diatasi dengan menghapus antarmuka yang bermasalah.
CVE-ID
CVE-2015-3691 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
EFI
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dengan hak istimewa dasar dapat memodifikasi memori flash EFI
Penjelasan: Masalah penguncian yang tidak memadai muncul dengan flash EFi saat lanjut dari kondisi tidur. Masalah ini telah diatasi dengan penguncian yang lebih baik.
CVE-ID
CVE-2015-3692 : Trammell Hudson dari Two Sigma Investments, Xeno Kovah dan Corey Kallenberg dari LegbaCore LLC, Pedro Vilaça
EFI
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menyebabkan kerusakan memori untuk mengajukan hak istimewa
Penjelasan: Kesalahan gangguan, juga dikenal sebagai Rowhammer, muncul dengan beberapa RAM DDR3 yang dapat menyebabkan kerusakan memori. Masalah ini teratasi dengan menambah rasio penyegaran memori.
CVE-ID
CVE-2015-3693 : Mark Seaborn dan Thomas Dullien dari Google, bekerja dari penelitian awal oleh Yoongu Kim dll (2014)
FontParser
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat memproses file fon. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-3694 : John Villamil (@day6reak), Tim Yahoo Pentest
Graphics Driver
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah penulisan di luar batas muncul di driver grafis NVIDIA. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-3712 : Ian Beer dari Google Project Zero
Intel Graphics Driver
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Beberapa kelebihan buffer muncul di driver grafis Intel, yang paling serius dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Beberapa masalah kelebihan buffer muncul di driver grafis Intel. Masalah-masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2015-3695 : Ian Beer dari Google Project Zero
CVE-2015-3696 : Ian Beer dari Google Project Zero
CVE-2015-3697 : Ian Beer dari Google Project Zero
CVE-2015-3698 : Ian Beer dari Google Project Zero
CVE-2015-3699 : Ian Beer dari Google Project Zero
CVE-2015-3700 : Ian Beer dari Google Project Zero
CVE-2015-3701 : Ian Beer dari Google Project Zero
CVE-2015-3702 : Tim KEEN
ImageIO
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Beberapa kerentanan muncul di libtiff, yang paling serius dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa kerentanan muncul di libtiff versi sebelum 4.0.4. Masalah ini telah diatasi dengan memperbarui libtiff ke versi 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file .tiff perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat memproses file .tiff. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-3703 : Apple
Install Framework Legacy
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Beberapa masalah muncul dalam cara biner setuid 'runner' Install.framework menurunkan hak istimewa. Masalah ini telah diatasi dengan menurunkan hak istimewa dengan benar.
CVE-ID
CVE-2015-3704 : Ian Beer dari Google Project Zero
- IOAcceleratorFamily
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Beberapa masalah kerusakan memori muncul di IOAcceleratorFamily. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3705 : Tim KEEN
CVE-2015-3706 : Tim KEEN
- IOFireWireFamily
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah dereferensi penunjuk null muncul di driver FireWire. Masalah tersebut telah diatasi melalui pemeriksaan kesalahan yang lebih baik.
CVE-ID
CVE-2015-3707 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
- Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah pengelolaan memori muncul saat menangani API yang berkaitan dengan ekstensi kernel yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3720 : Stefan Esser
- Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah pengelolaan memori muncul saat menangani parameter HFS yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3721 : Ian Beer dari Google Project Zero
kext tools
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Penjelasan: kextd mengikuti tautan simbolis saat membuat file baru. Masalah ini telah diatasi melalui penanganan tautan simbolis yang lebih baik.
CVE-ID
CVE-2015-3708 : Ian Beer dari Google Project Zero
kext tools
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Pengguna lokal dapat memuat ekstensi kernel yang tidak ditandatangani
Penjelasan: Kondisi pacu time-of-check time-of-use (TOCTOU) muncul saat memvalidasi jalur ekstensi kernel. Masalah ini telah diatasi melalui pemeriksaan yang lebih baik untuk memvalidasi jalur ekstensi kernel.
CVE-ID
CVE-2015-3709 : Ian Beer dari Google Project Zero
Mail
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Email perusak yang berbahaya dapat mengganti konten pesan dengan halaman web arbitrer saat pesan dilihat
Penjelasan: Masalah muncul untuk mendukung email HTML sehingga konten pesan dapat disegarkan dengan halaman web arbitrer. Masalah ini telah diatasi melalui pembatasan dukungan untuk konten HTML.
CVE-ID
CVE-2015-3710 : Aaron Sigel dari vtty.com, Jan Souček
ntfs
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Penjelasan: Masalah muncul di NTFS yang dapat mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3711 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
ntp
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dengan posisi hak istimewa dapat melakukan penolakan serangan layanan terhadap dua klien ntp
Penjelasan: Beberapa masalah muncul di pengesahan paket ntp yang diterima titik akhir yang dikonfigurasi. Masalah-masalah ini telah diatasi dengan pengelolaan kondisi koneksi yang lebih baik.
CVE-ID
CVE-2015-1798
CVE-2015-1799
OpenSSL
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Penjelasan: Beberapa masalah muncul di OpenSSL, termasuk masalah yang menyebabkan penyerang memintas koneksi ke server yang mendukung chiper kualitas ekspor
Penjelasan: Beberapa masalah muncul di OpenSSL 0.9.8zd yang telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zf.
CVE-ID
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di QuickTime. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3661 : G. Geshev bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3662 : kdot bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3663 : kdot bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3666 : Steven Seeley dari Source Incite bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3667 : Ryan Pentney, Richard Johnson dari Cisco Talos dan Kai Lu dan Laboratorium FortiGuard milik Fortinet
CVE-2015-3668 : Kai Lu dari Laboratorium FortiGuard milik Fortinet
CVE-2015-3713 : Apple
Keamanan
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kelebihan bilangan bulat muncul di kode bingkai Security untuk menguraikan e-mail S/MIME dan beberapa objek lain yang ditandatangani atau dienkripsi. Masalah ini telah diatasi dengan pemeriksaan validitas yang lebih baik.
CVE-ID
CVE-2013-1741
Keamanan
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Aplikasi yang dimodifikasi tetap dapat dibuka
Penjelasan: App yang menggunakan aturan sumber daya khusus, mungkin rentan terhadap modifikasi yang tidak akan mengesahkan tanda tangan. Masalah ini telah diatasi dengan pemeriksaan sumber daya yang lebih baik.
CVE-ID
CVE-2015-3714 : Joshua Pitts dari Leviathan Security Group
Keamanan
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Impact: Aplikasi berbahaya dapat memintas pemeriksaan penandatanganan kode
Penjelasan: Masalah muncul saat penandatanganan kode tidak memverifikasi perpustakaan yang dimuat di luar bundel aplikasi. Masalah ini telah diatasi dengan verifikasi bundel yang lebih baik.
CVE-ID
CVE-2015-3715 : Patrick Wardle dari Synack
Spotlight
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3
Dampak: Mencari file berbahaya dengan Spotlight dapat mengakibatkan injeksi perintah
Penjelasan: Kerentanan injeksi perintah muncul saat menangani nama file foto yang ditambahkan ke perpustakaan foto lokal. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-3716 : Apple
SQLite
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa kelebihan buffer muncul di penerapan printf SQLite. Masalah-masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.
CVE-ID
CVE-2015-3717 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
SQLite
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Perintah SQL perusak yang berbahaya dapat mengakibatkan penghentian aplikasi tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah API yang terdapat pada fungsionalitas SQLite. Masalah ini telah diatasi dengan peningkatan pembatasan.
CVE-ID
CVE-2015-7036 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
System Stats
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: App berbahaya dapat membahayakan systemstatsd
Penjelasan: Masalah ketidakjelasan jenis muncul saat systemstatsd menangani komunikasi antarproses. Dengan mengirimkan pesan berformat yang berbahaya ke systemstatsd, ini dapat mengeksekusi kode arbitrer sebagai proses systemstatsd. Masalah ini telah diatasi melalui pemeriksaan jenis tambahan.
CVE-ID
CVE-2015-3718 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
TrueTypeScaler
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat memproses file fon. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-3719 : John Villamil (@day6reak), Tim Yahoo Pentest
zip
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3
Dampak: Mengekstrak file zip perusak yang berbahaya menggunakan alat unzip dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat menangani file zip. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
OS X Yosemite v10.10.4 disertakan dengan konten keamanan Safari 8.0.7.