OS X Yosemite 10.10 sürümündeki güvenlik içeriği hakkında

Bu belge OS X Yosemite 10.10 sürümündeki güvenlik içeriğini açıklar.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

OS X Yosemite 10.10

  • 802.1X

    Etki: Bir saldırgan WiFi kimlik bilgilerini ele geçirebilir

    Açıklama: Bir saldırgan bir WiFi erişim noktasını taklit ederek kimlik doğrulamasının LEAP ile yapılmasını teklif etmiş, MS-CHAPv1 karmasını kırmış ve erişim noktası daha güçlü kimlik doğrulama yöntemlerini destekliyor olsa bile hedef aldığı erişim noktasının kimlik doğrulaması için ele geçirdiği kimlik bilgilerini kullanmış olabilir. Bu sorun, LEAP'in saptanmış olarak devre dışı bırakılmasıyla çözümlendi.

    CVE kimliği

    CVE-2014-4364: Universiteit Hasselt'ten Pieter Robyns, Bram Bonne, Peter Quax ve Wim Lamotte

  • AFP Dosya Sunucusu

    Etki: Uzak bir saldırgan sistemin tüm ağ adreslerini belirleyebiliyordu

    Açıklama: AFP dosya sunucusu, sistemdeki tüm ağ adreslerini döndüren bir komutu destekliyordu. Bu sorun, bu adreslerin sonuçlardan kaldırılmasıyla giderildi.

    CVE kimliği

    CVE-2014-4426: Tripwire VERT, Craig Young

  • Apache

    Etki: Apache'de birden çok güvenlik açığı

    Açıklama: Apache'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı servis reddine neden olabiliyordu. Bu sorunlar, Apache 2.4.9 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2013-6438

    CVE-2014-0098

  • Uygulama Korumalı Alanı

    Etki: Korumalı alan kısıtlamaları içindeki bir uygulama, erişilebilirlik API'sini kötüye kullanabiliyordu

    Açıklama: Korumalı alanda çalışan bir uygulama, kullanıcının bilgisi olmadan erişilebilirlik API'sini kötüye kullanabiliyordu. Bu sorun, erişilebilirlik API'sinin kullanılması için her bir uygulama temelinde yönetici onayı gerektirmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2014-4427: Paul S. Ziegler, Reflare UG

  • Bash

    Etki: Belirli yapılandırmalarda, uzaktaki bir saldırgan rastgele kabuk komutları yürütebilir

    Tanım: Bash'in ortam değişkenlerini ayrıştırmasında bir sorun vardı. Bu sorun, işlev sonu ifadesini daha iyi bir şekilde algılayan iyileştirilmiş ortam değişkeni ayrıştırma ile çözüldü.

    Bu güncelleme ayrıca ayrıştırıcı durumunu sıfırlayan, önerilen CVE -2014-7169 değişikliğini de içerir.

    Buna ek olarak bu güncelleme, Bash'e istenmeyen üstbilgi geçişini engellemek için bir işlev donatıcısı oluşturarak dışarı aktarılmış işlevler için yeni bir ad alanı ekler. HTTP üstbilgileri aracılığıyla istenmeyen işlevlerin geçişini engelleme amacıyla işlev tanıtıcıları içeren tüm ortam değişkenlerinin "__BASH_FUNC<" önekine ve ">()" sonekine sahip olması gereklidir.

    CVE kimliği

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

  • Bluetooth

    Etki: Kötü amaçlı bir Bluetooth giriş aygıtı eşlemeyi atlayabiliyor

    Açıklama: Kullanıcı Arayüzü Aygıtı sınıfındaki Bluetooth Düşük Enerji aygıtlarından şifrelenmemiş bağlantılar yapılmasına izin veriliyordu. Bir Mac böyle bir aygıtla eşzamanlanırsa, saldırgan, aygıtı geçerli bir bağlantı kurması için yanıltabiliyordu. Bu sorun şifrelenmemiş HID bağlantıları reddedilerek giderildi.

    CVE kimliği

    CVE-2014-4428: Mike Ryan, iSEC Partners

  • CFPreferences

    Etki: 'Uyku durumundan veya ekran koruyucudan sonra parola gereksin' tercihi, bir yeniden başlatma sonrasına kadar etkili olmayabiliyordu

    Açıklama: Sistem tercih ayarları işlenmesinde bir oturum yönetimi sorunu vardı. Bu sorun, iyileştirilmiş oturum izlemeyle giderildi.

    CVE kimliği

    CVE-2014-4425

  • CoreStorage

    Etki: Şifrelenmiş bir disk bölümü çıkarılırken kilidi açılmış durumda kalmış olabiliyordu

    Açıklama: Şifrelenmiş bir disk bölümü bağlıyken mantıksal olarak çıkarıldığında, disk bölümünün bağlantısı kesiliyor ancak anahtarlar tutuluyordu, böylece disk bölümünün parola gerektirmeden tekrar bağlanması mümkün oluyordu. Bu sorun, çıkarma sırasında ilgili anahtarın silinmesi sağlanarak giderildi.

    CVE kimliği

    CVE-2014-4430: See Ben Click Computer Services LLC'den Benjamin King, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi ve diğer çeşitli araştırmacılar

  • CUPS

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele bir kod yürütebiliyordu

    Açıklama: CUPS web arabirimi dosyaları sunduğunda, sembolik bağlantıları takip ediyordu. Yerel bir kullanıcı rastgele dosyalara sembolik bağlantılar oluşturabiliyor ve bunları web arabirimi yoluyla alabiliyordu. Bu sorun, sembolik bağlantıların CUPS web arabirimi ile sunulmasına verilen izin kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-3537

  • Dock

    Etki: Bazı durumlarda pencereler, ekran kilitli olduğunda bile görünür kalabiliyordu

    Açıklama: Ekran kilidinin işlenmesinde durum yönetimi sorunu. Bu sorun, iyileştirilmiş durum izlemeyle giderildi.

    CVE kimliği

    CVE-2014-4431: Emil Sjölander, Umeå Üniversitesi

  • fdesetup

    Etki: Fdesetup komutu disk üzerindeki şifreleme durumu için hatalı durumlar gösterebiliyordu

    Açıklama: Ayarları güncelledikten sonra ancak yeniden başlatmadan önce, fdesetup komutu hatalı durumlar gösterebiliyordu. Bu sorun, iyileştirilmiş durum raporlama ile giderildi.

    CVE kimliği

    CVE-2014-4432

  • iCloud Mac'imi Bul

    Etki: iCloud Kayıp modu PIN'i için deneme yanılma yöntemi kullanılabiliyordu

    Açıklama: Hız sınırlama özelliğindeki bir kalıcı durum sorunu, iCloud Kayıp modu PIN'inde deneme yanılma saldırılarının gerçekleştirilmesine izin veriyordu. Bu sorun, yeniden başlatmalar arasında iyileştirilmiş kalıcı durum sağlanarak giderildi.

    CVE kimliği

    CVE-2014-4435: knoy

  • IOAcceleratorFamily

    Etki: Bir uygulama servis reddine neden olabiliyordu

    Açıklama: IntelAccelerator sürücüsünde bir NULL işaretçi başvurusu vardı. Sorun, hata işlemesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4373: Adlab of Venustech'ten cunzhang

  • IOHIDFamily

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, IOHIDFamily anahtar eşleşme özellikleri doğrulamasının geliştirilmesi ile çözümlendi.

    CVE kimliği

    CVE-2014-4405: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde bir yığın arabellek taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4404: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    Etki: Bir uygulama servis reddine neden olabiliyordu

    Açıklama: Mevcut IOHIDFamily sürücüsünde sınırlar dışında bellek okuma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4436: Adlab of Venustech'ten cunzhang

  • IOHIDFamily

    Etki: Bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebiliyordu

    Açıklama: IOHIDFamily sürücüsünde bellek sınırı dışına yazma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4380: Adlab of Venustech'ten cunzhang

  • IOKit

    Etki: Kötü amaçlı bir uygulama, çekirdek belleğinden başlatılmamış verileri okuyabilir

    Açıklama: IOKit işlevlerinin işlenmesinde sıfırlanmış bellek erişimi sorunu vardı. Bu sorun, iyileştirilmiş bellek sıfırlamayla giderildi.

    CVE kimliği

    CVE-2014-4407: @PanguTeam

  • IOKit

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu mevcuttu. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4388: @PanguTeam

  • IOKit

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu mevcuttu. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4418: Google Project Zero'dan Ian Beer

  • Çekirdek

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Ağ istatistikleri arayüzünde çekirdek belleği içeriğinin açıklanmasına yol açan birden fazla başlatılmamış bellek sorunu mevcuttu. Bu sorun, ekstra bellek sıfırlamayla giderildi.

    CVE kimliği

    CVE-2014-4371: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4419: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4420: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4421: Google Güvenlik Ekibi'nden Fermin J. Serna

  • Çekirdek

    Etki: Kötü amaçlarla oluşturulmuş bir dosya sistemi beklenmeyen sistem kapanmalarına veya rastgele kod yürütmeye sebep olabiliyordu

    Açıklama: HFS kaynak ayraçlarının yürütülmesinde yığın tabanlı arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir dosya sistemi beklenmeyen sistem kapanmalarına veya çekirdek ayrıcalıklarıyla rastgele kod yürütülmesine sebep olabiliyordu. Sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4433: Maksymilian Arciemowicz

  • Çekirdek

    Etki: Kötü amaçlı dosya sistemi, beklenemeyen sistem kapanmalarına sebep olabiliyordu

    Açıklama: HFS dosya adlarının işlenmesinde NULL dereferans sorunu vardı. Kötü amaçlarla oluşturulmuş dosya sistemi beklenmeyen sistem kapanmalarına sebep olabiliyordu. Bu sorun NULL dereferansı kaldırılarak çözüldü.

    CVE kimliği

    CVE-2014-4434: Maksymilian Arciemowicz

  • Çekirdek

    Etki: Yerel kullanıcı sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: Mach bağlantı noktalarının işlenmesinde double free hatası vardı. Bu sorun, Mach bağlantı noktaları doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4375: anonim araştırıcı

  • Çekirdek

    Etki: Ayrıcalıklı ağ konumuna sahip bir kişi hizmet reddine yol açabilir

    Açıklama: IPv6 paketlerinin işlenmesinde bir yarış koşulu sorunu mevcuttu. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2011-2391: Marc Heuse

  • Çekirdek

    Etki: Yerel kullanıcı sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

    Açıklama: rt_setgate'de sınırların dışında okuma sorunu mevcuttu. Bu sorun, bellek bilgilerinin açığa çıkmasına veya bellek bozulmasına yol açabilir. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4408

  • Çekirdek

    Etki: Yerel bir kullanıcı sistemin beklenmeyen bir şekilde sonlanmasına sebep olabiliyordu

    Açıklama: Sistem kontrol yuvalarına gönderilen mesajların işlenmesinde ulaşılabilir bir hata vardı. Bu sorun mesajlarına ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-4442: VMware'den Darius Davis

  • Çekirdek

    Etki: Bazı çekirdek sağlamlaştırma ölçüleri baypas edilebilir

    Açıklama: Önyükleme işleminin başlarında çekirdek sağlamlaştırma ölçümleri için kullanılan rastgele sayı oluşturucu kriptografik olarak güvenli değildi. Bazı çıktıları kullanıcı alanından anlaşılır değildi, böylece sağlamlaştırma ölçümlerinin baypas edilmesine olanak sağlıyordu. Bu sorun, kriptografik olarak güvenli bir algoritma kullanılarak çözümlendi.

    CVE kimliği

    CVE-2014-4422: Azimuth Security'den Tarjei Mandt

  • LaunchServices

    Etki: Yerel bir uygulama korumalı alan kısıtlamalarını atlayabiliyordu

    Açıklama: İçerik yazma işleyicisi ayarlanırken kullanılan LaunchServices arabirimi, oluşan içerik türleri için işleyici belirlemek üzere korumalı uygulamalara izin veriyordu. Tehlikeli bir uygulama, korumalı alan kısıtlamalarını atlamak için bu özelliği kullanabiliyordu. Sorun, korumalı alandaki uygulamaların içerik türü işleyicilerini belirlemeleri engellenerek giderildi.

    CVE kimliği

    CVE-2014-4437: Google Güvenlik Ekibi'nden Meder Kydyraliev

  • LoginWindow

    Etki: Bazı zamanlar ekran kilitlenmeyebiliyordu

    Açıklama: Oturum Açma Penceresi'nde bazen ekranın kilitlenmesini engelleyebilecek bir koşul vardı. Sorun, işlemlerin sırası değiştirilerek giderildi.

    CVE kimliği

    CVE-2014-4438: Funky Monkey Labs'tan Harry Sintonen of nSense, Alessandro Lobina of Helvetia Insurances, Patryk Szlagowski

  • Mail

    Etki: Mail, istenmeyen alıcılar e-posta gönderebiliyordu

    Açıklama: Mail uygulamasında bir kullanıcı arabirimi tutarsızlığı, alıcı listesinden kaldırılan adreslere e-posta gönderimine neden olabiliyordu. Sorun, kullanıcı arabirimindeki tutarsızlık kontrolleri geliştirilerek giderildi.

    CVE kimliği

    CVE-2014-4439: Melbourne, Avustralya'dan Patrick J Power

  • MCX Masaüstü Yapılandırma Profilleri

    Etki: Mobil yapılandırma profilleri kaldırıldığında, ayarları kaldırılmıyordu

    Açıklama: Mobil konfigürasyon profili tarafından yüklenen Web proxy ayarları, profil kaldırıldığında silinmiyordu. Bu sorun, profil kaldırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4440: Cloudpath Networks'ten Kevin Koster

  • NetFS Client Framework

    Etki: Dosya Paylaşımı, etkisizleştirilemeyen bir duruma girebiliyordu

    Açıklama: Dosya Paylaşımı çerçevesinde bir durum yönetimi sorunu vardı. Bu sorun, durum yönetiminin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4441: BEARTCOMMUNICATIONS'tan Eduardo Bonsi

  • QuickTime

    Etki: Kötü amaçlarla oluşturulmuş bir m4a dosyasını oynatmak, uygulamanın beklenmeyen şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Ses örneği dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4351: NCC Group'tan Karl Smith

  • Safari

    Etki: Açık bir sekmede olup en son ziyaret edilen sayfaların geçmişi, geçmiş silindikten sonra kalabilir

    Açıklama: Clearing Safari'nin geçmişinin silinmesi, açık sekmeler için geriye/ileriye dönük geçmişi silmiyordu. Bu sorun, geriye/ileriye dönük geçmişin silinmesiyle giderildi.

    CVE kimliği

    CVE-2013-5150

  • Safari

    Etki: Kötü amaçla oluşturulmuş bir web sitesinden anında iletme bildirimlerini açmak, Safari'nin bundan sonra gönderdiği Anında İletme Bildirimlerinin kaybolmasına neden olabiliyordu

    Açıklama: SafariNotificationAgent'ın Safari Anında İletilerini işlemesinde yakalanamayan bir istisna vardı. Bu sorun, Safari Anında İletme Bildirimlerinin işlenmesi geliştirilerek giderildi.

    CVE kimliği

    CVE-2014-4417: Faelix Limited'ten Marek Isalski

  • Güvenli Aktarım

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: Bir şifre paketi CBC modunda blok şifre kullandığında SSL 3.0'ın gizliliğini hedef alan bazı saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi bir TLS sürümünü desteklese bile TLS 1.0 ve üzeri bağlantı denemelerini engelleyerek bilgisayarı SSL 3.0 kullanmaya zorlayabiliyordu. Bu sorun TLS bağlantı denemesi hata verdiğinde CBC şifre paketleri etkisizleştirilerek giderildi.

    CVE kimliği

    CVE-2014-3566: Google Güvenlik Ekibi'nden Bodo Moeller, Thai Duong ve Krzysztof Kotowicz

  • Güvenlik

    Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

    Açıklama: ASN.1 verilerinin işlenmesinde bir null dereferans sorunu vardı. Bu sorun ASN.1 verilerine ek doğrulama yapılarak giderildi.

    CVE kimliği

    CVE-2014-4443: Coverity

  • Güvenlik

    Etki: Yerel bir kullanıcı diğer bir kullanıcının Kerberos biletlerine erişebiliyordu

    Açıklama: SecurityAgent'ta bir durum yönetimi sorunu vardı. Kullanıcılar Arası Hızlı Geçiş yaparken, bazen geçiş yapılacak kullanıcı için Kerberos bileti, önceki kullanıcının önbelleğine atanabiliyordu. Bu sorun, durum yönetiminin geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4444: Sandia National Laboratories'dan Gary Simon, KTH Royal Institute of Technology'den Ragnar Sundblad, Kaspersky Lab'dan Eugene Homyakov

  • Güvenlik - Kod İmzalama

    Etki: Üzerinde değişiklik yapılmış uygulamalar başlatma işleminden engellenemiyordu

    Açıklama: OS X Mavericks 10.9 sürümünden önceki bir OS X sürümünde imzalanmış uygulamalar veya özel kaynak kuralları kullanan uygulamalar, imzayı geçersiz kılmayan müdahalelere karşı savunmasızdı. Sistemlerde yalnızca Mac App Store ve tanımlı geliştiricilerden gelen uygulamalara izin vermek için ayar yapın. İndirilmiş ve üzerinde değişiklik yapılmış uygulamanın, yasal olduğu sürece çalıştırılmasına izin vermiş olabilirsiniz. Bu sorun, yürütme işlemini etkileyebilecek, kaynakları atlayan kaynak zarflarıyla birlikte paket imzalarını yok sayarak giderildi. OS X Mavericks 10.9.5 ve OS X Mountain Lion 10.8.5 için Güvenlik Güncellemesi 2014-004 bu değişiklikleri içine almaktadır.

    CVE kimliği

    CVE-2014-4391: HP Zero Day Initiative ile çalışan Christopher Hickstein

Not: OS X Yosemite Safari 7.1 güvenlik içeriğini kapsayan Safari 8.0'ı içermektedir. Daha fazla ayrıntı için Safari 7.1 güvenlik içeriği hakkındasayfasına bakın.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: