Om Säkerhetsuppdatering 2015-002
Det här dokumentet beskriver säkerhetsinnehållet i Säkerhetsuppdatering 2015-002.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i artikeln Säkerhetsuppdateringar från Apple.
Säkerhetsuppdatering 2015-002
IOAcceleratorFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.2
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett förskjutningsproblem fanns i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1066 : Ian Beer på Google Project Zero
IOSurface
Tillgänglig för: OS X Mountain Lion 10.8.5 och OS X Mavericks 10.9.5
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Det fanns ett problem med sammanblandning av typer i IOSurfaces hantering av serienumrerade objekt. Problemet åtgärdades genom utökad typkontroll.
CVE-ID
CVE-2015-1061: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: OS X Yosemite 10.10.2
Effekt: Uppsåtligt skapade eller infiltrerade applikationer kan bestämma adresser i kärnan
Beskrivning: Kärngränssnittet mach_port_kobject läckte kärnadresser och heap permutation-värden, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Problemet åtgärdades genom att inaktivera mach_port_kobject-gränssnittet i produktionskonfigurationer.
CVE-ID
CVE-2014-4496: TaiG Jailbreak Team
Secure Transport
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 och OS X Yosemite 10.10.2
Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL/TLS-anslutningar
Beskrivning: Secure Transport accepterade korta flyktiga RSA-nycklar, som vanligtvis endast används i RSA-chiffersviter med exportstyrka, via anslutningar som använder RSA-chiffersviter med full styrka. Detta problem, som även kallas för FREAK, påverkade endast anslutningar till servrar med stöd för RSA-chiffersviter med exportstyrka. Det åtgärdades genom att stöd för flyktiga RSA-nycklar togs bort.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti och Jean Karim Zinzindohoue från Prosecco på Inria Paris
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.