Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Yosemite v10.10.4 en Beveiligingsupdate 2015-005
Admin Framework
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een proces kan beheerdersbevoegdheden verkrijgen zonder de juiste identiteitscontrole
Beschrijving: er was een probleem bij de controle van XPC-rechten. Dit probleem is verholpen door een verbeterde controle van de rechten.
CVE-ID
CVE-2015-3671: Emil Kvarnhammar van TrueSec
Admin Framework
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een gebruiker die geen beheerder is, kan beheerdersrechten verkrijgen
Beschrijving: er was een probleem bij de verwerking van de identiteitscontrole. Dit probleem is verholpen door middel van een verbeterde controle op fouten.
CVE-ID
CVE-2015-3672: Emil Kvarnhammar van TrueSec
Admin Framework
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een aanvaller kan Adreslijsthulpprogramma misbruiken om rootbevoegdheden te verkrijgen
Beschrijving: Adreslijsthulpprogramma kon worden verplaatst en gewijzigd om code in een bevoegd proces uit te voeren. Dit probleem is verholpen door de locatie van de schijf te beperken vanwaar writeconfig-clients mogelijk worden uitgevoerd.
CVE-ID
CVE-2015-3673: Patrick Wardle van Synack, Emil Kvarnhammar van TrueSec
afpserver
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met geheugenbeschadiging in de AFP-server. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3674: Dean Jerkovich van NCC Group
apache
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een aanvaller heeft mogelijk toegang tot thuismappen die zijn beveiligd met een identiteitscontrole via HTTP zonder de juiste inloggegevens te kennen
Beschrijving: de standaardconfiguratie van Apache bevatte mod_hfs_apple niet. Als Apache handmatig is ingeschakeld en de configuratie niet is gewijzigd, kunnen sommige bestanden die niet toegankelijk mogen zijn, toegankelijk geweest zijn met behulp van een speciaal vervaardigde URL. Dit probleem is verholpen door mod_hfs_apple in te schakelen.
CVE-ID
CVE-2015-3675: Apple
apache
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: er zijn meerdere kwetsbaarheden in PHP, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.5.24 en 5.4.40. Deze zijn verholpen door PHP bij te werken naar versies 5.5.24 en 5.4.40.
CVE-ID
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem in AppleGraphicsControl dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-3676: Chen Liang van KEEN Team
AppleFSCompression
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem in LZVN-compressie dat mogelijk heeft geleid tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3677: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP
AppleThunderboltEDMService
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde Thunderbolt-commando's vanaf lokale processen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3678: Apple
ATS
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van bepaalde lettertypen. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3679: Pawel Wylecial in samenwerking met het Zero Day Initiative van HP
CVE-2015-3680: Pawel Wylecial in samenwerking met het Zero Day Initiative van HP
CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3682: 魏诺德
Bluetooth
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de Bluetooth HCI-interface. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3683: Roberto Paleari en Aristide Fattori van Emaze Networks
Certificaatvertrouwensbeleid
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen
Beschrijving: een intermediair certificaat is verkeerd uitgereikt door de certificaatautoriteit CNNIC. Dit probleem is verholpen door het toevoegen van een mechanisme waarbij alleen een subreeks van certificaten wordt vertrouwd die vóór het uitreiken van het intermediaire certificaat zijn uitgereikt. Lees meer over de toestemmingslijst met gedeeltelijk vertrouwen in veiligheidskwesties.
Certificaatvertrouwensbeleid
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u in de vertrouwde opslag in OS X.
CFNetwork HTTPAuthentication
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: het volgen van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde URL-inloggegevens. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3684: Apple
CoreText
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: coreTLS accepteerde kortstondige Diffie-Hellman (DH)-sleutels zoals de sleutels die in exportsterke, kortstondige DH-coderingssuites worden gebruikt. Dit probleem, ook gekend als Logjam, liet een aanvaller in een geprivilegieerde netwerkpositie toe een downgrade van de beveiliging naar 512-bits DH uit te voeren als de server een exportsterke, kortstondige DH-coderingssuite ondersteunde. Het probleem is verholpen door de standaard minimale grootte voor kortstondige DH-sleutels te verhogen tot 768 bits.
CVE-ID
CVE-2015-4000: het weakdh-team bij weakdh.org, Hanno Boeck
DiskImages
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van schijfkopieën. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3690: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Besturingsbestanden voor beeldschermen
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem in de kernelextensie Monitor Control Command Set waardoor een gebruikersproces de waarde van een functieverwijzing in de kernel kon beheren. Het probleem is verholpen door de desbetreffende interface te verwijderen.
CVE-ID
CVE-2015-3691: Roberto Paleari en Aristide Fattori van Emaze Networks
EFI
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma met rootbevoegdheden kan het EFI-flashgeheugen wijzigen
Beschrijving: er was een probleem met onvoldoende vergrendeling bij het EFI-flashgeheugen wanneer het apparaat uit de sluimerstand wordt gehaald. Dit probleem is verholpen door een verbeterde vergrendeling.
CVE-ID
CVE-2015-3692: Trammell Hudson van Two Sigma Investments, Xeno Kovah en Corey Kallenberg van LegbaCore LLC, Pedro Vilaça
EFI
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan zorgen voor geheugenbeschadiging om bevoegdheden te escaleren
Beschrijving: er is een storingsprobleem, ook gekend als Rowhammer, bij bepaalde DDR3 RAM die mogelijk heeft geleid tot geheugenbeschadiging. Dit probleem is verholpen door de vernieuwingsfrequentie van het geheugen te verhogen.
CVE-ID
CVE-2015-3693: Mark Seaborn en Thomas Dullien van Google in samenwerking met het oorspronkelijke onderzoek van Yoongu Kim et al (2014)
FontParser
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
Graphics Driver
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met schrijven buiten het bereik in de NVIDIA Graphics Driver. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-3712: Ian Beer van Google Project Zero
Intel Graphics Driver
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: er zijn meerdere problemen met bufferoverloop in de Intel Graphics Driver waarvan de ernstigste mogelijk leiden tot het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: er waren meerdere problemen met bufferoverloop in de Intel Graphics Driver. Deze zijn verholpen door middel van extra controles van het bereik.
CVE-ID
CVE-2015-3695: Ian Beer van Google Project Zero
CVE-2015-3696: Ian Beer van Google Project Zero
CVE-2015-3697: Ian Beer van Google Project Zero
CVE-2015-3698: Ian Beer van Google Project Zero
CVE-2015-3699: Ian Beer van Google Project Zero
CVE-2015-3700: Ian Beer van Google Project Zero
CVE-2015-3701: Ian Beer van Google Project Zero
CVE-2015-3702: KEEN Team
ImageIO
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: er waren meerdere kwetsbaarheden in libtiff, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in versies van libtiff lager dan 4.0.4. Deze zijn verholpen door libtiff bij te werken naar versie 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-3703: Apple
Install Framework Legacy
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere problemen bij de manier waarop het binaire bestand runner van Install.framework bevoegdheden verwijderde. Dit probleem is verholpen door bevoegdheden naar behoren te verwijderen.
CVE-ID
CVE-2015-3704: Ian Beer van Google Project Zero
- IOAcceleratorFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in IOAcceleratorFamily. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3705: KEEN Team
CVE-2015-3706: KEEN Team
- IOFireWireFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere problemen met null pointer-dereferentie in het FireWire-besturingsbestand. Deze problemen zijn verholpen door middel van een verbeterde controle op fouten.
CVE-ID
CVE-2015-3707: Roberto Paleari en Aristide Fattori van Emaze Networks
- Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van API's gerelateerd aan kernelextensies dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3720: Stefan Esser
- Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van HFS-parameters dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3721: Ian Beer van Google Project Zero
kext tools
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan willekeurige bestanden overschrijven
Beschrijving: kextd heeft symbolische koppelingen gevolgd bij het aanmaken van een nieuw bestand. Dit probleem is verholpen door een verbeterde verwerking van symbolische koppelingen.
CVE-ID
CVE-2015-3708: Ian Beer van Google Project Zero
kext tools
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een lokale gebruiker kan niet-ondertekende kernelextensies laden
Beschrijving: er was een probleem met de racevoorwaarde time-of-check time-of-use (TOCTOU) bij de validatie van de paden van kernelextensies. Dit probleem is verholpen door middel van verbeterde controles om het pad van de kernelextensies te valideren.
CVE-ID
CVE-2015-3709: Ian Beer van Google Project Zero
Mail
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een kwaadwillig vervaardigde e-mail kan de inhoud van het bericht vervangen door een willekeurige webpagina wanneer het bericht wordt geopend
Beschrijving: er was een probleem bij de ondersteuning voor HTML-e-mail waarbij de inhoud van een bericht werd vernieuwd door een willekeurige webpagina. Het probleem is verholpen door beperkte ondersteuning voor HTML-inhoud.
CVE-ID
CVE-2015-3710: Aaron Sigel van vtty.com, Jan Souček
NTFS
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem in NTFS dat mogelijk heeft geleid tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3711: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
ntp
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een aanvaller in een geprivilegieerde positie kan een aanval in de vorm van een denial of service opzetten tegen twee ntp-clients
Beschrijving: er waren meerdere problemen bij de identiteitscontrole van ntp-pakketten die door geconfigureerde eindpunten zijn ontvangen. Deze problemen zijn verholpen door een verbeterd beheer van de verbindingsstatus.
CVE-ID
CVE-2015-1798
CVE-2015-1799
OpenSSL
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: er zijn meerdere problemen in OpenSSL, waaronder een waardoor een aanvaller verbindingen met een server die blokcodes voor export ondersteunt, kan onderscheppen
Beschrijving: er waren meerdere problemen in OpenSSL 0.9.8zd die zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zf.
CVE-ID
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3661: G. Geshev in samenwerking met het Zero Day Initiative van HP
CVE-2015-3662: kdot in samenwerking met het Zero Day Initiative van HP
CVE-2015-3663: kdot in samenwerking met het Zero Day Initiative van HP
CVE-2015-3666: Steven Seeley van Source Incite in samenwerking met het Zero Day Initiative van HP
CVE-2015-3667: Ryan Pentney, Richard Johnson van Cisco Talos en Kai Lu van Fortinet's FortiGuard Labs
CVE-2015-3668: Kai Lu van Fortinet's FortiGuard Labs
CVE-2015-3713: Apple
Beveiliging
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen in de code van het beveiligingskader bij het analyseren van S/MIME-e-mail en bepaalde andere ondertekende of gecodeerde objecten. Dit probleem is verholpen door middel van een verbeterde controle van de geldigheid.
CVE-ID
CVE-2013-1741
Beveiliging
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: het starten van programma's waarmee geknoeid is, wordt mogelijk niet verhinderd
Beschrijving: apps met aangepaste resourceregels konden zo worden gewijzigd dat de handtekening geldig bleef. Dit probleem is verholpen door een verbeterde validatie van bronnen.
CVE-ID
CVE-2015-3714: Joshua Pitts van Leviathan Security Group
Beveiliging
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk programma kan de controles van codeondertekening omzeilen
Beschrijving: er was een probleem waarbij de codeondertekening geen bibliotheken controleerde die buiten de programmabundel waren geladen. Dit probleem is verholpen door een verbeterde controle van de bundel.
CVE-ID
CVE-2015-3715: Patrick Wardle van Synack
Spotlight
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijk bestand zoeken met Spotlight kan leiden tot het invoegen van een commando
Beschrijving: er was een kwetsbaarheid in de vorm van het invoegen van een commando bij de verwerking van bestandsnamen van foto's die aan de lokale fotobibliotheek zijn toegevoegd. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3716: Apple
SQLite
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met bufferoverlopen bij de implementatie van SQLite's printf. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-3717: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
SQLite
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een kwaadwillig vervaardigd SQL-commando kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code toestaan
Beschrijving: er was een API-probleem in de SQLite-functionaliteit. Dit is verholpen door middel van verbeterde beperkingen.
CVE-ID
CVE-2015-7036: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP
Systeemstatus
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: een schadelijke app kan systemstatsd in gevaar brengen
Beschrijving: er was een probleem met verwarring van het type bij de verwerking van de communicatie tussen processen door systemstatsd. Door het versturen van een kwaadwillig opgemaakt bericht naar systemstatsd kan willekeurige code als het systemstatsd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2015-3718: Roberto Paleari en Aristide Fattori van Emaze Networks
TrueTypeScaler
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
zip
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3
Impact: het uitpakken van een kwaadwillig vervaardigd zip-bestand met behulp van de uitpakfunctie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van zip-bestanden. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
OS X Yosemite v10.10.4 bevat de beveiligingsinhoud van Safari 8.0.7.