Over de beveiligingsinhoud van OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001

In dit document wordt de beveiligingsinhoud van OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001 beschreven

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001

  • AFP-server

    Beschikbaar voor: OS X Mavericks v10.9.5

    Impact: een externe aanvaller kan mogelijk alle netwerkadressen van het systeem bepalen

    Beschrijving: de AFP-bestandsserver ondersteunde een commando dat alle netwerkadressen van het systeem als resultaat gaf. Dit probleem is verholpen door de adressen uit het resultaat te verwijderen.

    CVE-ID

    CVE-2014-4426: Craig Young van Tripwire VERT

  • bash

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: meerdere kwetsbaarheden in bash, waaronder een kwetsbaarheid waarbij lokale aanvallers willekeurige code kunnen uitvoeren

    Beschrijving: er waren meerdere kwetsbaarheden in bash. Deze problemen zijn verholpen door bash bij te werken naar patchniveau 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met gehele getallen met tekens in IOBluetoothFamily waardoor het kernelgeheugen kon worden gemanipuleerd. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem in het Bluetooth-besturingsbestand waardoor een kwaadaardig programma de grootte van een schrijfactie naar het kernelgeheugen kon beheren. Het probleem is verholpen door een extra validatie van de invoer.

    CVE-ID

    CVE-2014-8836: Ian Beer van Google Project Zero

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere beveiligingsproblemen in het Bluetooth-besturingsbestand waardoor een kwaadaardig programma willekeurige code kan uitvoeren met systeembevoegdheden. De problemen zijn verholpen door een extra validatie van de invoer.

    CVE-ID

    CVE-2014-8837: Roberto Paleari en Aristide Fattori van Emaze Networks

  • CFNetwork Cache

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: de cachegegevens van websites worden na het uitschakelen van de privémodus mogelijk niet volledig gewist

    Beschrijving: er was een privacyprobleem waarbij de browsergegevens na het uitschakelen van de privémodus mogelijk in de cache bleven. Dit probleem is verholpen door de methode voor de plaatsing van gegevens in de cache te wijzigen.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano van Binamuse VRT, via het iSIGHT Partners GVP Program

  • CPU-software

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1, voor: MacBook Pro Retina, MacBook Air (medio 2013 en nieuwer), iMac (eind 2013 en nieuwer), Mac Pro (eind 2013)

    Impact: een kwaadaardig Thunderbolt-apparaat kan het knipperen van firmware beïnvloeden

    Beschrijving: Thunderbolt-apparaten kunnen de hostfirmware wijzigen als deze tijdens een EFI-update zijn aangesloten. Dit probleem is verholpen door optie-ROM’s tijdens updates niet te laden.

    CVE-ID

    CVE-2014-4498: Trammell Hudson van Two Sigma Investments

  • CommerceKit Framework

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een aanvaller met toegang tot een systeem kan de inloggegevens van een Apple ID achterhalen

    Beschrijving: er was een probleem met de verwerking van logbestanden van de App Store. Het App Store-proces kon inloggegevens van een Apple ID registreren in het logbestand wanneer extra registratie was ingeschakeld. Dit probleem is verholpen door de registratie van inloggegevens niet toe te staan.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: sommige programma’s van andere fabrikanten met onveilige tekstinvoer en activiteiten met muisbewegingen kunnen die activiteiten registreren

    Beschrijving: vanwege de combinatie van een niet-geïnitialiseerde variabele en de aangepaste allocator van een programma, zijn mogelijk onveilige tekstinvoer en activiteiten met muisbewegingen geregistreerd. Dit probleem is verholpen door ervoor te zorgen dat de registratie standaard is uitgeschakeld. Dit probleem is niet van invloed op systemen lager dan OS X Yosemite.

    CVE-ID

    CVE-2014-1595: Steven Michaud van Mozilla in samenwerking met Kent Howard

  • CoreGraphics

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van PDF-bestanden. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.

    CVE-ID

    CVE-2014-8816: Mike Myers van Digital Operatives LLC

  • CoreSymbolication

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van XPC-berichten door coresymbolicationd. Deze problemen zijn verholpen door middel van verbeterde controle van het type.

    CVE-ID

    CVE-2014-8817: Ian Beer van Google Project Zero

  • FontParser

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van DFONT-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP

  • FontParser

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: meerdere kwetsbaarheden in Intel Graphics Driver

    Beschrijving: er waren meerdere kwetsbaarheden in Intel Graphics Driver waarvan de ernstigste mogelijk hebben geleid tot het uitvoeren van willekeurige code met systeembevoegdheden. Deze update verhelpt de problemen door extra bounds checking.

    CVE-ID

    CVE-2014-8819: Ian Beer van Google Project Zero

    CVE-2014-8820: Ian Beer van Google Project Zero

    CVE-2014-8821: Ian Beer van Google Project Zero

  • IOAcceleratorFamily

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van bepaalde IOService userclient-typen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie van IOAcceleratorFamily-contexten.

    CVE-ID

    CVE-2014-4486: Ian Beer van Google Project Zero

  • IOHIDFamily

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde bounds checking.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van metagegevens van bronwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van activiteitenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de initialisatie van activiteitenwachtrijen in IOHIDFamily.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een bounds checking-probleem in een gebruikersclient, mogelijk gemaakt door het besturingsbestand IOHIDFamily waardoor een kwaadaardig programma willekeurige delen van de adresruimte in de kernel kon overschrijven. Het probleem is verholpen door de kwetsbare methode van de gebruikersclient te verwijderen.

    CVE-ID

    CVE-2014-8822: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP

  • IOKit

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.

    CVE-ID

    CVE-2014-4389: Ian Beer van Google Project Zero

  • IOUSBFamily

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een geprivilegieerd programma kan willekeurige gegevens vanuit het kernelgeheugen lezen

    Beschrijving: er was een probleem met de geheugentoegang bij de verwerking van de functies van de gebruikersclient van de IOUSB controller. Dit probleem is verholpen door een verbeterde validatie van het argument.

    CVE-ID

    CVE-2014-8823: Ian Beer van Google Project Zero

  • Kerberos

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: de libgssapi-bibliotheek in Kerberos heeft een context-token met een zwevende aanwijzer als resultaat gegeven. Dit probleem is verholpen door het statusbeheer te verbeteren.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: een aangepaste modus voor de cache opgeven heeft het schrijven naar segmenten van het gedeelde geheugen toegestaan die alleen mochten worden gelezen. Dit probleem is verholpen door geen schrijfbevoegdheden te verlenen als neveneffect van enkele aangepaste modi voor de cache.

    CVE-ID

    CVE-2014-4495: Ian Beer van Google Project Zero

  • Kernel

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde velden voor metagegevens van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een lokale aanvaller kan reacties van adreslijstvoorzieningen aan de kernel vervalsen, bevoegdheden verhogen of controle over de uitvoering van de kernel verkrijgen

    Beschrijving: er waren problemen met de validatie van identitysvc bij de uitvoering van het verwerkingsproces en de verwerking van flags en fouten door de adreslijstvoorziening. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2014-8825: Alex Radocea van CrowdStrike

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen

    Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna van het Google Security Team

    CVE-2014-4419: Fermin J. Serna van het Google Security Team

    CVE-2014-4420: Fermin J. Serna van het Google Security Team

    CVE-2014-4421: Fermin J. Serna van het Google Security Team

  • Kernel

    Beschikbaar voor: OS X Mavericks v10.9.5

    Impact: een persoon met een geprivilegieerde netwerkpositie kan ervoor zorgen dat de service wordt geweigerd

    Beschrijving: er was een probleem met de racevoorwaarde bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: kwaadwillig vervaardigde of aangetaste programma’s kunnen adressen in de kernel bepalen

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API’s gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IOSharedDataQueue-objecten. Dit probleem is verholpen door de verplaatsing van metagegevens.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig JAR-bestand kan Gatekeeper-controles omzeilen

    Beschrijving: er was een probleem bij de verwerking van het starten van programma’s waardoor bepaalde kwaadaardige JAR-bestanden de Gatekeeper-controles konden omzeilen. Dit probleem is verholpen door een verbeterde verwerking van de metagegevens van het bestandstype.

    CVE-ID

    CVE-2014-8826: Hernan Ochoa van Amplia Security

  • libnetcore

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma in een sandbox kan de networkd daemon in gevaar brengen

    Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van de communicatie tussen processen door networkd. Door het versturen van een kwaadwillig opgemaakt bericht naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2014-4492: Ian Beer van Google Project Zero

  • Inlogvenster

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een Mac wordt mogelijk niet onmiddellijk vergrendeld wanneer deze uit de sluimerstand wordt gehaald

    Beschrijving: er was een probleem bij het weergeven van het toegangsscherm. Dit probleem is verholpen door een verbeterde weergave van het scherm terwijl het apparaat is vergrendeld.

    CVE-ID

    CVE-2014-8827: Xavier Bertels van Mono en meerdere testers van OS X-seeds

  • lukemftp

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het gebruik van de commandoregel ftp tool om bestanden vanaf een kwaadaardige http-server op te halen, kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een commando bij de verwerking van HTTP-doorverwijzingen. Dit probleem is verholpen door een verbeterde validatie van speciale tekens.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het gebruik van ntp daemon wanneer de cryptografische identiteitscontrole is ingeschakeld, kan leiden tot het vrijgeven van informatie

    Beschrijving: er waren meerdere problemen met invoervalidatie in ntpd. Deze problemen zijn verholpen door een verbeterde validatie van gegevens.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: meerdere kwetsbaarheden in OpenSSL 0.9.8za, waaronder een waardoor een aanvaller verbindingen kan downgraden om zwakkere coderingssuites te gebruiken in programma’s die de bibliotheek gebruiken

    Beschrijving: er waren meerdere kwetsbaarheden in OpenSSL 0.9.8za. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impact: een proces in de sandbox kan de sandbox-beperkingen omzeilen

    Beschrijving: er was een ontwerpprobleem bij het bewaren van profielen in een sandbox in de cache waardoor programma’s in de sandbox schrijftoegang tot de cache hebben gekregen. Dit probleem is verholpen door de schrijftoegang tot paden met het segment ‘com.apple.sandbox’ te beperken. Dit probleem is niet van invloed op OS X Yosemite v10.10 of hoger.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren waardoor gebruikersgegevens in gevaar kunnen worden gebracht

    Beschrijving: er waren meerdere problemen met het schrijven buiten het bereik in SceneKit. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2014-8829: Jose Duart van het Google Security Team

  • SceneKit

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van Collada-bestanden in SceneKit. Het bekijken van een kwaadwillig vervaardigd Collada-bestand heeft mogelijk geleid tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde validatie van accessor-elementen.

    CVE-ID

    CVE-2014-8830: Jose Duart van het Google Security Team

  • Beveiliging

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een gedownload programma dat met een ingetrokken Developer ID-certificaat is ondertekend, kan slagen voor Gatekeeper-controles

    Beschrijving: er was een probleem met de manier waarop certificaatgegevens van een programma in de cache werden geëvalueerd. Dit probleem is verholpen door verbeteringen aan de logica van de cache.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een programma heeft mogelijk toegang tot sleutelhangeronderdelen van andere programma’s

    Beschrijving: er was een probleem met de toegangscontrole in de Sleutelhanger. Programma’s die zijn ondertekend met zelfondertekende of Developer ID-certificaten hebben mogelijk toegang tot sleutelhangeronderdelen waarvan de toegangscontrolelijsten op sleutelhangergroepen waren gebaseerd. Dit probleem is verholpen door de ondertekeningsidentiteit te valideren wanneer toegang aan sleutelhangergroepen wordt verleend.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: de zender van een e-mail kan het IP-adres van de ontvanger bepalen

    Beschrijving: Spotlight heeft de status van de instelling ‘Laad extern materiaal in berichten’ in Mail niet gecontroleerd. Dit probleem is verholpen door een verbeterde controle van de configuratie.

    CVE-ID

    CVE-2014-8839: John Whitehead van The New York Times, Frode Moe van LastFriday.no

  • Spotlight

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: Spotlight kan onverwachte informatie op een externe harde schijf bewaren

    Beschrijving: er was een probleem in Spotlight waarbij de inhoud van het geheugen tijdens het indexeren mogelijk naar externe harde schijven is geschreven. Dit probleem is verholpen door een beter beheer van het geheugen.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: Spotlight geeft mogelijk resultaten weer voor bestanden die niet van de gebruiker zijn

    Beschrijving: er was een probleem met deserialisatie bij de verwerking van bevoegdhedencaches in Spotlight. Een gebruiker die een Spotlight-zoekactie uitvoert, ziet mogelijk resultaten met bestanden waarvoor deze onvoldoende leesbevoegdheden heeft. Dit probleem is verholpen door een verbeterde bounds checking.

    CVE-ID

    CVE-2014-8833: David J Peacock, Independent Technology Consultant

  • sysmond

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden

    Beschrijving: er was een kwetsbaarheid met de verwarring van het type in sysmond waardoor een lokaal programma privileges kon escaleren. Het probleem is verholpen door een verbeterde controle van het type.

    CVE-ID

    CVE-2014-8835: Ian Beer van Google Project Zero

  • UserAccountUpdater

    Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1

    Impact: voorkeursbestanden die zijn gerelateerd aan afdruktaken kunnen vertrouwelijke informatie over PDF-documenten bevatten

    Beschrijving: OS X Yosemite v10.10 heeft een probleem verholpen bij de verwerking van wachtwoordbeveiligde PDF-bestanden die zijn gemaakt via het dialoogvenster Afdrukken en waarbij wachtwoorden mogelijk zijn toegevoegd aan voorkeursbestanden voor afdruktaken. Deze update verwijdert deze andere informatie die mogelijk aanwezig was in voorkeursbestanden voor afdruktaken.

    CVE-ID

    CVE-2014-8834: Apple

Opmerking: OS X Yosemite 10.10.2 bevat de beveiligingsinhoud van Safari 8.0.3.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: