Tietoja OS X Yosemite 10.10.3:n ja suojauspäivitys 2015-004:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan OS X Yosemite 10.10.3:n ja suojauspäivitys 2015-004:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojausjulkaisut.

OS X Yosemite 10.10.3 ja suojauspäivitys 2015-004

  • Admin Framework

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: prosessi saattoi saada ylläpitäjän oikeudet ilman asianmukaista todennusta.

    Kuvaus: XPC-oikeuksien tarkistamisessa oli ongelma. Ongelma on ratkaistu parantamalla oikeuksien tarkistamista.

    CVE-ID

    CVE-2015-1130: TrueSecin Emil Kvarnhammar

  • apache

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: Apachessa oli useita haavoittuvuuksia.

    Kuvaus: Apachessa oli ennen versioita 2.4.10 ja 2.2.29 useita haavoittuvuuksia, joista yksi saattoi sallia etähyökkääjän suorittaa mielivaltaista koodia. Ongelmat on ratkaistu päivittämällä Apache versioihin 2.4.10 ja 2.2.29.

    CVE-ID

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231

  • ATS

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: fontd:ssä oli useita syötön tarkistuksen ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.

    CVE-ID

    CVE-2015-1131: Ian Beer (Google Project Zero)

    CVE-2015-1132: Ian Beer (Google Project Zero)

    CVE-2015-1133: Ian Beer (Google Project Zero)

    CVE-2015-1134: Ian Beer (Google Project Zero)

    CVE-2015-1135: Ian Beer (Google Project Zero)

  • CFNetwork HTTPProtocol

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: tiettyyn alkuperään kuuluvat evästeet saatettiin lähettää toiseen alkuperään.

    Kuvaus: Uudelleenohjausten käsittelyssä oli toimialueiden välinen evästeongelma. Uudelleenohjausvastaukseen asetetut evästeet saatettiin välittää toiselle alkuperälle kuuluvalle uudelleenohjauskohteelle. Ongelma on ratkaistu parantamalla uudelleenohjausten käsittelyä.

    CVE-ID

    CVE-2015-1089: Niklas Keller (http://kelunik.com)

  • CFNetwork Session

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: tunnistetiedot saatettiin lähettää toisessa alkuperässä olevaan palvelimeen.

    Kuvaus: Uudelleenohjausten käsittelyssä oli toimialueiden välinen HTTP-pyyntöjen otsakeongelma. Uudelleenohjausvastauksessa lähetetyt HTTP-pyyntöotsakkeet saatettiin välittää toiseen alkuperään. Ongelma on ratkaistu parantamalla uudelleenohjausten käsittelyä.

    CVE-ID

    CVE-2015-1091: Diego Torres (http://dtorres.me)

  • CFURL

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: URL-osoitteiden käsittelyssä oli syöttötietojen tarkistusongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden tarkistamista.

    CVE-ID

    CVE-2015-1088: Luigi Galli

  • CoreAnimation

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: CoreAnimationissa oli use-after-free-ongelma. Ongelma on ratkaistu parantamalla mutex-hallintaa.

    CVE-ID

    CVE-2015-1136: Apple

  • CUPS

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

    Kuvaus: CUPS:n IPP-viestien käsittelytavassa oli use-after-free-ongelma. Ongelma on ratkaistu parantamalla viitelaskentaa.

    CVE-ID

    CVE-2015-1158: Neel Mehta (Google)

  • CUPS

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: tietyissä kokoonpanoissa etähyökkääjä saattoi pystyä lähettämään mielivaltaisia tulostustöitä.

    Kuvaus: CUPS-verkkokäyttöliittymässä oli sivustojen välisten komentosarjojen suorittamiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla lähtöpuhdistamista.

    CVE-ID

    CVE-2015-1159: Neel Mehta (Google)

  • FontParser

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • Graphics Driver

    Saatavuus: OS X Mavericks v10.9.5 ja OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: NVIDIA-näyttöajurin tavassa käsitellä tiettyjä IOService-käyttäjäasiakastyyppejä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu suorittamalla kontekstin lisätarkistus.

    CVE-ID

    CVE-2015-1137: Frank Graziano ja John Villamil (Yahoo Pentest Team)

  • Hypervisor

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen appi saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Hypervisor-sovelluskehyksessä oli syötön tarkistuksen ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-1138: Izik Eidus ja Alex Fishman

  • ImageIO

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisen .sgi-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: .sgi-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-1139: Apple

  • IOHIDFamily

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallinen HID-laite saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

    Kuvaus: IOHIDFamily API:ssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1095: Andrew Church

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyssa oli puskurin ylivuoto-ongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1140: lokihardt@ASRT yhteistyössä HP:n Zero Day Initiativen kanssa, Luca Todesco, Vitaliy Toropov yhteistyössä HP:n Zero Day Initiativen kanssa (ZDI)

  • IOHIDFamily

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: IOHIDFamilyssa oli ongelma, joka aiheutti kernel-muistisisällön paljastumisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel (IOActive)

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli kekopuskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2014-4404: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamilyn tavassa käsitellä näppäinten vastaavuusominaisuuksia oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla IOHIDFamilyn näppäinten vastaavuusominaisuuksien tarkistamista.

    CVE-ID

    CVE-2014-4405: Ian Beer (Google Project Zero)

  • IOHIDFamily

    Saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5

    Vaikutus: käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOHIDFamily-ohjaimessa oli rajojen ulkopuolisen muistin kirjoitusongelma. Ongelma on ratkaistu parantamalla syötön tarkistusta.

    CVE-ID

    CVE-2014-4380: cunzhang Adlabista (Venustech)

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen.

    Kuvaus: Virtuaalimuistioperaatioiden käsittelyssä kernelissä oli ongelma. Ongelma on ratkaistu parantamalla mach_vm_read-toiminnon käsittelyä.

    CVE-ID

    CVE-2015-1141: Ole Andre Vadla Ravnas (www.frida.re)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: Kernelin setreuid-järjestelmäkutsussa oli kilpailutilanne. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-1099: Mark Mentovai (Google Inc.)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen appi saattoi pystyä laajentamaan käyttöoikeuksia käyttämällä vaarantunutta palvelua, joka oli tarkoitettu suoritettavaksi suppeammilla käyttöoikeuksilla.

    Kuvaus: setreuid- ja setregid-järjestelmäkutsut eivät luopuneet käyttöoikeuksista pysyvästi. Ongelma on ratkaistu luopumalla käyttöoikeuksista oikein.

    CVE-ID

    CVE-2015-1117: Mark Mentovai (Google Inc.)

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä uudelleenohjaamaan käyttäjäliikennettä mielivaltaisille palvelimille.

    Kuvaus: ICMP-uudelleenohjaukset olivat oletusarvoisesti käytössä OS X:ssä. Ongelma on ratkaistu poistamalla ICMP-uudelleenohjaukset käytöstä.

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: TCP-otsakkeiden käsittelyssä oli tilan epäjohdonmukaisuus. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov ja Maxim Zhuravlev (Kaspersky Lab)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli rajojen ulkopuolisen muistin käyttöongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1100: Maxime Villard (m00nbsd)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: etähyökkääjä saattoi pystyä ohittamaan verkkosuodattimet.

    Kuvaus: Järjestelmä käsitteli joitakin etäverkkoliittymistä peräisin olevia IPv6-paketteja paikallisina paketteina. Ongelma on ratkaistu hylkäämällä nämä paketit.

    CVE-ID

    CVE-2015-1104: Stephen Roettger (Google Security Team)

  • Kernel

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT yhteistyössä HP:n Zero Day Initiativen kanssa

  • Kernel

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Kaistan ulkopuolisen TCP-datan käsittelyssä oli tilan epäjohdonmukaisuusongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-1105: Kenton Varda (Sandstorm.io)

  • LaunchServices

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan Finderin kaatumisen.

    Kuvaus: LaunchServicesin tavassa käsitellä apin lokalisointitietoja oli syötön tarkistusongelma. Ongelma on ratkaistu parantamalla lokalisointitietojen tarkistamista.

    CVE-ID

    CVE-2015-1142

  • LaunchServices

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: LaunchServicesin tavassa käsitellä lokalisoituja merkkijonoja oli tyyppisekaannusongelma. Ongelma on ratkaistu rajojen lisätarkistuksella.

    CVE-ID

    CVE-2015-1143: Apple

  • libnetcore

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisen asetusprofiilin käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen.

    Kuvaus: Asetusprofiilien käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang ja Tao Wei (FireEye, Inc.)

  • ntp

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: etähyökkääjä saattoi saada ntpd-todentamisavaimet haltuunsa väsytyshyökkäyksen avulla.

    Kuvaus: ntpd:n config_auth-toiminto loi heikon avaimen, kun todentamisavainta ei oltu määritetty. Ongelma on ratkaistu parantamalla avaimen luomista.

    CVE-ID

    CVE-2014-9298

  • OpenLDAP

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: todentamaton etäasiakas saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: OpenLDAP:ssa oli useita syötön tarkistuksen ongelmia. Ongelmat on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2015-1545: Ryan Tandy

    CVE-2015-1546: Ryan Tandy

  • OpenSSL

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: OpenSSL:ssä oli useita haavoittuvuuksia.

    Kuvaus: OpenSSL 0.9.8zc:ssä oli useita haavoittuvuuksia, joista yksi saattoi sallia hyökkääjän kaapata yhteyksiä palvelimeen, joka tukee Yhdysvaltain vientirajoitusten mukaisia salausohjelmistoja. Ongelmat on ratkaistu päivittämällä OpenSSL versioon 0.9.8zd.

    CVE-ID

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Open Directory Client

    Saatavuus: OS X Mavericks 10.9.5 ja OS X Yosemite 10.10–10.10.2

    Vaikutus: salasana saatettiin lähettää verkon yli salaamattomana, kun Open Directorya käytettiin OS X Serveristä.

    Kuvaus: Jos Open Directory -asiakas oli sidottu OS X Serveriin, mutta ei asentanut OS X Serverin varmenteita, ja kyseisen asiakkaan käyttäjä vaihtoi tämän jälkeen salasanansa, salasanan vaihtopyyntö lähetettiin verkon yli ilman salausta. Ongelma on ratkaistu pakottamalla asiakas vaatimaan salausta tällaisessa tilanteessa.

    CVE-ID

    CVE-2015-1147: Apple

  • PHP

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

    Kuvaus: PHP:ssä oli ennen versioita 5.3.29, 5.4.38 ja 5.5.20 useita haavoittuvuuksia, joista yksi saattoi johtaa mielivaltaisen koodin suorittamiseen. Ongelmat on ratkaistu tässä päivityksessä päivittämällä PHP versioihin 5.3.29, 5.4.38 ja 5.5.20.

    CVE-ID

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

QuickLook

  • Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisen iWork-tiedoston avaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: iWork-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1098: Christopher Hickstein

  • SceneKit

    Saatavuus: OS X Mountain Lion 10.8.5

    Vaikutus: haitallisen Collada-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: SceneKitin tavassa käsitellä Collada-tiedostoja oli kekopuskurin ylivuoto. Haitallisen Collada-tiedoston tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Ongelma on ratkaistu parantamalla tietoihin pääsevien elementtien tarkistusta.

    CVE-ID

    CVE-2014-8830: Jose Duart (Google Security Team)

  • Screen Sharing

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: käyttäjän salasana saatettiin kirjata paikalliseen tiedostoon.

    Kuvaus: Näytön jakaminen saattoi joskus kirjata käyttäjän salasanan lokiin, joka ei ollut järjestelmän muiden käyttäjien luettavissa. Ongelma on ratkaistu poistamalla tunnistetietojen kirjaaminen lokiin.

    CVE-ID

    CVE-2015-1148: Apple

  • Secure Transport

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisen X.509-sertifikaatin käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen.

    Kuvaus: X.509-sertifikaattien käsittelyssä oli nollaosoittimen epäviittausongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-1160: Elisha Eshed, Roy Iarchy ja Yair Amit (Skycure Security Research)

  • Security - Code Signing

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: peukaloituja appeja ei ehkä estetty käynnistymästä.

    Kuvaus: Erityisesti luotuja nippuja sisältävät apit saattoivat pystyä käynnistymään ilman täysin kelvollista allekirjoitusta. Ongelma on ratkaistu lisäämällä lisätarkistuksia.

    CVE-ID

    CVE-2015-1145

    CVE-2015-1146

  • UniformTypeIdentifiers

    Saatavuus: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 sekä OS X Yosemite 10.10–10.10.2

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Uniform Type Identifiers -tunnisteiden käsittelytavassa oli puskurin ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2015-1144: Apple

  • WebKit

    Saatavuus: OS X Yosemite 10.10–10.10.2

    Vaikutus: haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: WebKitissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-1069: lokihardt@ASRT yhteistyössä HP:n Zero Day Initiativen kanssa

Suojauspäivitys 2015-004 (saatavuus: OS X Mountain Lion 10.8.5 ja OS X Mavericks 10.9.5) ratkaisee lisäksi ongelman, jonka CVE-2015-1067:n korjaus aiheutti suojauspäivitys 2015-002:ssa. Tämä ongelma esti Remote Apple Events -asiakkaita kaikissa versioissa muodostamasta yhteyttä Remote Apple Events -palvelimeen. Remote Apple Events ei ole käytössä oletuskokoonpanoissa.

OS X Yosemite 10.10.3 sisältää Safari 8.0.5:n turvallisuussisällön.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: