Informace o bezpečnostní aktualizaci 2015-002

Tento dokument popisuje obsah bezpečnostní aktualizace 2015-002.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o ostatních bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

Bezpečnostní aktualizace 2015-002

  • IOAcceleratorFamily

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.2

    Dopad: Škodlivé aplikace mohly spouštět libovolný kód se systémovými oprávněními.

    Popis: V IOAcceleratorFamily existoval problém typu off-by-one. Problém byl vyřešen vylepšenou kontrolou rozsahu.

    CVE-ID

    CVE-2015-1066 : Ian Beer z Google Project Zero

  • IOSurface

    K dispozici pro: OS X Mountain Lion 10.8.5 a OS X Mavericks 10.9.5

    Dopad: Škodlivé aplikace mohly spouštět libovolný kód se systémovými oprávněními.

    Popis: Ve zpracování serializovaných objektů frameworkem IOSurface existoval problém se záměnou typu. Problém byl vyřešen dodatečnou kontrolou typu.

    CVE-ID

    CVE-2015-1061 : Ian Beer z Google Project Zero

  • Jádro

    K dispozici pro: OS X Yosemite 10.10.2

    Dopad: Škodlivé nebo narušené aplikace můžou zjistit adresy v jádru.

    Popis: Rozhraní jádra mach_port_kobject propouštělo adresy jádra a hodnotu permutace haldy, což mohlo pomoct obejít ochranu adresového prostoru náhodným rozvržením. Bylo to vyřešeno vypnutím rozhraní mach_port_kobject v produkčních konfiguracích.

    CVE-ID

    CVE-2014-4496 : TaiG Jailbreak Team

  • Zabezpečený přenos

    K dispozici pro: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 a OS X Yosemite 10.10.2

    Dopad: Útočník s privilegovanou pozicí v síti může zachycovat SSL/TLS připojení

    Popis: Zabezpečený přenos akceptoval krátké dočasné RSA klíče, používané obvykle pouze v RSA šifrovacích sadách exportní síly, u připojení používajících RSA šifrovací sady plné síly. Tento problém, nazývaný také FREAK, se týkal pouze připojení k serverům, které podporují RSA šifrovací sady exportní síly, a byl vyřešen odebráním podpory pro dočasné RSA klíče.

    CVE-ID

    CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti a Jean Karim Zinzindohoue z týmu Prosecco institutu Inria Paris

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: