Over de beveiligingsinhoud van OS X Yosemite v10.10.4 en Beveiligingsupdate 2015-005

In dit document wordt de beveiligingsinhoud van OS X Yosemite v10.10.4 en Beveiligingsupdate 2015-005 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Yosemite v10.10.4 en Beveiligingsupdate 2015-005

  • Admin Framework

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een proces kan beheerdersbevoegdheden verkrijgen zonder de juiste identiteitscontrole

    Beschrijving: er was een probleem bij de controle van XPC-rechten. Dit probleem is verholpen door een verbeterde controle van de rechten.

    CVE-ID

    CVE-2015-3671: Emil Kvarnhammar van TrueSec

  • Admin Framework

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een gebruiker die geen beheerder is, kan beheerdersrechten verkrijgen

    Beschrijving: er was een probleem bij de verwerking van de identiteitscontrole. Dit probleem is verholpen door middel van een verbeterde controle op fouten.

    CVE-ID

    CVE-2015-3672: Emil Kvarnhammar van TrueSec

  • Admin Framework

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een aanvaller kan Adreslijsthulpprogramma misbruiken om rootbevoegdheden te verkrijgen

    Beschrijving: Adreslijsthulpprogramma kon worden verplaatst en gewijzigd om code in een bevoegd proces uit te voeren. Dit probleem is verholpen door de locatie van de schijf te beperken vanwaar writeconfig-clients mogelijk worden uitgevoerd.

    CVE-ID

    CVE-2015-3673: Patrick Wardle van Synack, Emil Kvarnhammar van TrueSec

  • afpserver

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met geheugenbeschadiging in de AFP-server. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3674: Dean Jerkovich van NCC Group

  • apache

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een aanvaller heeft mogelijk toegang tot thuismappen die zijn beveiligd met een identiteitscontrole via HTTP zonder de juiste inloggegevens te kennen

    Beschrijving: de standaardconfiguratie van Apache bevatte mod_hfs_apple niet. Als Apache handmatig is ingeschakeld en de configuratie niet is gewijzigd, kunnen sommige bestanden die niet toegankelijk mogen zijn, toegankelijk geweest zijn met behulp van een speciaal vervaardigde URL. Dit probleem is verholpen door mod_hfs_apple in te schakelen.

    CVE-ID

    CVE-2015-3675: Apple

  • apache

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: er zijn meerdere kwetsbaarheden in PHP, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.5.24 en 5.4.40. Deze zijn verholpen door PHP bij te werken naar versies 5.5.24 en 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in AppleGraphicsControl dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-3676: Chen Liang van KEEN Team

  • AppleFSCompression

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in LZVN-compressie dat mogelijk heeft geleid tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3677: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

  • AppleThunderboltEDMService

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde Thunderbolt-commando's vanaf lokale processen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van bepaalde lettertypen. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3679: Pawel Wylecial in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3680: Pawel Wylecial in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de Bluetooth HCI-interface. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3683: Roberto Paleari en Aristide Fattori van Emaze Networks

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen

    Beschrijving: een intermediair certificaat is verkeerd uitgereikt door de certificaatautoriteit CNNIC. Dit probleem is verholpen door het toevoegen van een mechanisme waarbij alleen een subreeks van certificaten wordt vertrouwd die vóór het uitreiken van het intermediaire certificaat zijn uitgereikt. Lees meer over de toestemmingslijst met gedeeltelijk vertrouwen in veiligheidskwesties.

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u in de vertrouwde opslag in OS X.

  • CFNetwork HTTPAuthentication

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: het volgen van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van bepaalde URL-inloggegevens. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: coreTLS accepteerde kortstondige Diffie-Hellman (DH)-sleutels zoals de sleutels die in exportsterke, kortstondige DH-coderingssuites worden gebruikt. Dit probleem, ook gekend als Logjam, liet een aanvaller in een geprivilegieerde netwerkpositie toe een downgrade van de beveiliging naar 512-bits DH uit te voeren als de server een exportsterke, kortstondige DH-coderingssuite ondersteunde. Het probleem is verholpen door de standaard minimale grootte voor kortstondige DH-sleutels te verhogen tot 768 bits.

    CVE-ID

    CVE-2015-4000: het weakdh-team bij weakdh.org, Hanno Boeck

  • DiskImages

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van schijfkopieën. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • Besturingsbestanden voor beeldschermen

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem in de kernelextensie Monitor Control Command Set waardoor een gebruikersproces de waarde van een functieverwijzing in de kernel kon beheren. Het probleem is verholpen door de desbetreffende interface te verwijderen.

    CVE-ID

    CVE-2015-3691: Roberto Paleari en Aristide Fattori van Emaze Networks

  • EFI

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma met rootbevoegdheden kan het EFI-flashgeheugen wijzigen

    Beschrijving: er was een probleem met onvoldoende vergrendeling bij het EFI-flashgeheugen wanneer het apparaat uit de sluimerstand wordt gehaald. Dit probleem is verholpen door een verbeterde vergrendeling.

    CVE-ID

    CVE-2015-3692: Trammell Hudson van Two Sigma Investments, Xeno Kovah en Corey Kallenberg van LegbaCore LLC, Pedro Vilaça

  • EFI

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan zorgen voor geheugenbeschadiging om bevoegdheden te escaleren

    Beschrijving: er is een storingsprobleem, ook gekend als Rowhammer, bij bepaalde DDR3 RAM die mogelijk heeft geleid tot geheugenbeschadiging. Dit probleem is verholpen door de vernieuwingsfrequentie van het geheugen te verhogen.

    CVE-ID

    CVE-2015-3693: Mark Seaborn en Thomas Dullien van Google in samenwerking met het oorspronkelijke onderzoek van Yoongu Kim et al (2014)

  • FontParser

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Graphics Driver

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met schrijven buiten het bereik in de NVIDIA Graphics Driver. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-3712: Ian Beer van Google Project Zero

  • Intel Graphics Driver

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: er zijn meerdere problemen met bufferoverloop in de Intel Graphics Driver waarvan de ernstigste mogelijk leiden tot het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met bufferoverloop in de Intel Graphics Driver. Deze zijn verholpen door middel van extra controles van het bereik.

    CVE-ID

    CVE-2015-3695: Ian Beer van Google Project Zero

    CVE-2015-3696: Ian Beer van Google Project Zero

    CVE-2015-3697: Ian Beer van Google Project Zero

    CVE-2015-3698: Ian Beer van Google Project Zero

    CVE-2015-3699: Ian Beer van Google Project Zero

    CVE-2015-3700: Ian Beer van Google Project Zero

    CVE-2015-3701: Ian Beer van Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: er waren meerdere kwetsbaarheden in libtiff, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in versies van libtiff lager dan 4.0.4. Deze zijn verholpen door libtiff bij te werken naar versie 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd TIFF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen bij de manier waarop het binaire bestand runner van Install.framework bevoegdheden verwijderde. Dit probleem is verholpen door bevoegdheden naar behoren te verwijderen.

    CVE-ID

    CVE-2015-3704: Ian Beer van Google Project Zero

  • IOAcceleratorFamily

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in IOAcceleratorFamily. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met null pointer-dereferentie in het FireWire-besturingsbestand. Deze problemen zijn verholpen door middel van een verbeterde controle op fouten.

    CVE-ID

    CVE-2015-3707: Roberto Paleari en Aristide Fattori van Emaze Networks
  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van API's gerelateerd aan kernelextensies dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3720: Stefan Esser
  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem met geheugenbeheer bij de verwerking van HFS-parameters dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3721: Ian Beer van Google Project Zero
  • kext tools

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan willekeurige bestanden overschrijven

    Beschrijving: kextd heeft symbolische koppelingen gevolgd bij het aanmaken van een nieuw bestand. Dit probleem is verholpen door een verbeterde verwerking van symbolische koppelingen.

    CVE-ID

    CVE-2015-3708: Ian Beer van Google Project Zero

  • kext tools

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een lokale gebruiker kan niet-ondertekende kernelextensies laden

    Beschrijving: er was een probleem met de racevoorwaarde time-of-check time-of-use (TOCTOU) bij de validatie van de paden van kernelextensies. Dit probleem is verholpen door middel van verbeterde controles om het pad van de kernelextensies te valideren.

    CVE-ID

    CVE-2015-3709: Ian Beer van Google Project Zero

  • Mail

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een kwaadwillig vervaardigde e-mail kan de inhoud van het bericht vervangen door een willekeurige webpagina wanneer het bericht wordt geopend

    Beschrijving: er was een probleem bij de ondersteuning voor HTML-e-mail waarbij de inhoud van een bericht werd vernieuwd door een willekeurige webpagina. Het probleem is verholpen door beperkte ondersteuning voor HTML-inhoud.

    CVE-ID

    CVE-2015-3710: Aaron Sigel van vtty.com, Jan Souček

  • NTFS

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in NTFS dat mogelijk heeft geleid tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3711: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • ntp

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een aanvaller in een geprivilegieerde positie kan een aanval in de vorm van een denial of service opzetten tegen twee ntp-clients

    Beschrijving: er waren meerdere problemen bij de identiteitscontrole van ntp-pakketten die door geconfigureerde eindpunten zijn ontvangen. Deze problemen zijn verholpen door een verbeterd beheer van de verbindingsstatus.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: er zijn meerdere problemen in OpenSSL, waaronder een waardoor een aanvaller verbindingen met een server die blokcodes voor export ondersteunt, kan onderscheppen

    Beschrijving: er waren meerdere problemen in OpenSSL 0.9.8zd die zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3661: G. Geshev in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3662: kdot in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3663: kdot in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3666: Steven Seeley van Source Incite in samenwerking met het Zero Day Initiative van HP

    CVE-2015-3667: Ryan Pentney, Richard Johnson van Cisco Talos en Kai Lu van Fortinet's FortiGuard Labs

    CVE-2015-3668: Kai Lu van Fortinet's FortiGuard Labs

    CVE-2015-3713: Apple

  • Beveiliging

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een overloop bij gehele getallen in de code van het beveiligingskader bij het analyseren van S/MIME-e-mail en bepaalde andere ondertekende of gecodeerde objecten. Dit probleem is verholpen door middel van een verbeterde controle van de geldigheid.

    CVE-ID

    CVE-2013-1741

  • Beveiliging

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: het starten van programma's waarmee geknoeid is, wordt mogelijk niet verhinderd

    Beschrijving: apps met aangepaste resourceregels konden zo worden gewijzigd dat de handtekening geldig bleef. Dit probleem is verholpen door een verbeterde validatie van bronnen.

    CVE-ID

    CVE-2015-3714: Joshua Pitts van Leviathan Security Group

  • Beveiliging

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk programma kan de controles van codeondertekening omzeilen

    Beschrijving: er was een probleem waarbij de codeondertekening geen bibliotheken controleerde die buiten de programmabundel waren geladen. Dit probleem is verholpen door een verbeterde controle van de bundel.

    CVE-ID

    CVE-2015-3715: Patrick Wardle van Synack

  • Spotlight

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijk bestand zoeken met Spotlight kan leiden tot het invoegen van een commando

    Beschrijving: er was een kwetsbaarheid in de vorm van het invoegen van een commando bij de verwerking van bestandsnamen van foto's die aan de lokale fotobibliotheek zijn toegevoegd. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een externe aanvaller kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met bufferoverlopen bij de implementatie van SQLite's printf. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • SQLite

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een kwaadwillig vervaardigd SQL-commando kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code toestaan

    Beschrijving: er was een API-probleem in de SQLite-functionaliteit. Dit is verholpen door middel van verbeterde beperkingen.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar in samenwerking met het Zero Day Initiative van HP

  • Systeemstatus

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: een schadelijke app kan systemstatsd in gevaar brengen

    Beschrijving: er was een probleem met verwarring van het type bij de verwerking van de communicatie tussen processen door systemstatsd. Door het versturen van een kwaadwillig opgemaakt bericht naar systemstatsd kan willekeurige code als het systemstatsd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.

    CVE-ID

    CVE-2015-3718: Roberto Paleari en Aristide Fattori van Emaze Networks

  • TrueTypeScaler

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.3

    Impact: het uitpakken van een kwaadwillig vervaardigd zip-bestand met behulp van de uitpakfunctie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van zip-bestanden. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 bevat de beveiligingsinhoud van Safari 8.0.7.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: