Over de beveiligingsinhoud van OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001
In dit document wordt de beveiligingsinhoud van OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001 beschreven
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates
OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001
AFP Server
Beschikbaar voor: OS X Mavericks v10.9.5
Impact: een externe aanvaller kan mogelijk alle netwerkadressen van het systeem bepalen
Beschrijving: de AFP-bestandsserver ondersteunde een commando dat alle netwerkadressen van het systeem retourneerde. Dit probleem is verholpen door de adressen uit het resultaat te verwijderen.
CVE-ID
CVE-2014-4426 : Craig Young van Tripwire VERT
bash
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwestbaarheden in bash, waaronder een waarmee lokale aanvallers mogelijk willekeurige code kunnen uitvoeren
Beschrijving: er bestonden meerdere kwetsbaarheden in bash. Deze problemen zijn verholpen door bash bij te werken naar patchniveau 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een schadelijk programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er trad een fout op in de ondertekendheid van gehele getallen in IOBluetoothFamily waardoor manipulatie van kernelgeheugen mogelijk werd. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er was een fout in het Bluetooth-stuurprogramma waardoor een schadelijk programma de grootte van een schrijfbewerking naar kernelgeheugen kon bepalen. Het probleem is verholpen door extra validatie van invoer.
CVE-ID
CVE-2014-8836: Ian Beer van Google Project Zero
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er waren meerdere beveiligingsproblemen in het Bluetooth-stuurprogramma, waardoor een schadelijk programma willekeurige code kon uitvoeren met systeembevoegdheid. De problemen zijn verholpen door extra validatie van invoer.
CVE-ID
CVE-2014-8837: Roberto Paleari en Aristide Fattori van Emaze Networks
CFNetwork Cache
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: websitecache wordt mogelijk niet volledig gewist na verlaten van de privémodus
Beschrijving: er was een privacyprobleem waarbij browsergegevens in de cache kon blijven na verlaten van de privémodus. Dit probleem is verholpen door een wijziging in cachegedrag.
CVE-ID
CVE-2014-4460
CoreGraphics
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: er trad een integeroverloop op bij de verwerking van pdf-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano van de Binamuse VRT, via het iSIGHT Partners GVP Program
CPU Software
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1, voor: MacBook Pro Retina, MacBook Air (medio 2013 en later), iMac (eind 2013 en later), Mac Pro (eind 2013)
Impact: een schadelijk Thunderbolt-apparaat kan het flashen van firmware beïnvloeden
Beschrijving: Thunderbolt-apparaten kunnen mogelijk de hostfirmware wijzigen indien verbonden tijdens een EFI-update. Dit probleem is verholpen door optie-ROM’s tijdens updates niet te laden.
CVE-ID
CVE-2014-4498: Trammell Hudson van Two Sigma Investments
CommerceKit Framework
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een aanvaller met toegang tot een systeem kan mogelijk Apple ID-referenties herstellen
Beschrijving: er trad een probleem op bij de verwerking van App Store-logboeken. Het App Store-proces kon Apple ID-referenties in het logboek registreren wanneer aanvullende logboekregistratie was ingeschakeld. Dit probleem is verholpen door de registratie van inloggegevens niet toe te staan.
CVE-ID
CVE-2014-4499: Sten Petersen
CoreGraphics
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: enkele programma's van derden met niet-veilige tekstinvoer en muisgebeurtenissen kunnen die gebeurtenissen registreren
Beschrijving: vanwege de combinatie van een niet-geïnitialiseerde variabele en de aangepaste allocator van een programma zijn niet-veilige tekstinvoer en muisgebeurtenissen mogelijk in het logboek geregistreerd. Dit probleem is verholpen door ervoor te zorgen dat logboekregistratie standaard uitgeschakeld is. Dit probleem was niet van toepassing op systemen ouder dan OS X Yosemite.
CVE-ID
CVE-2014-1595: Steven Michaud van Mozilla in samenwerking met Kent Howard
CoreGraphics
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.
Beschrijving: er trad een geheugencorruptieprobleem op bij de verwerking van pdf-bestanden. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.
CVE-ID
CVE-2014-8816: Mike Myers, van Digital Operatives LLC
CoreSymbolication
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er bestonden meerdere type confusion-problemen in de verwerking van XPC-berichten door coresymbolicationd. Deze problemen zijn verholpen door middel van een verbeterde controle van het type.
CVE-ID
CVE-2014-8817: Ian Beer van Google Project Zero
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het verwerken van een kwaadwillig vervaardigd .dfont-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben
Beschrijving: er trad een geheugencorruptieprobleem op bij de verwerking van .dfont-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het openen van een kwaadwillig vervaardigd pdf-bestand kan het onverwacht beëindigen van het programma of uitvoering van willekeurige code tot gevolg hebben.
Beschrijving: er trad een bufferoverloop op bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4483: Apple
Foundation
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: er trad een bufferoverloop op in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwetsbaarheden in Intel-graphicsdriver
Beschrijving: er waren meerdere kwetsbaarheden in de Intel-graphicsdriver. De meest ernstige kan hebben geleid tot uitvoering van willekeurige code met systeembevoegdheden. Deze update lost de problemen op door extra controle van de grenzen.
CVE-ID
CVE-2014-8819: Ian Beer van Google Project Zero
CVE-2014-8820: Ian Beer van Google Project Zero
CVE-2014-8821: Ian Beer van Google Project Zero
IOAcceleratorFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er was een null pointer-dereferentie bij de verwerking van bepaalde typen IOService-userclients door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie van IOAcceleratorFamily-contexten.
CVE-ID
CVE-2014-4486: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er trad een bufferoverloop op in IOHIDFamily. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er trad een validatiefout op bij de verwerking van metagegevens in de bronwachtrij door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metadata.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er was een null pointer-dereferentie bij de verwerking van evenementenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van initialisatie van evenementwachtrijen door IOHIDFamily.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: de uitvoering van een schadelijk programma kan leiden tot uitvoering van willekeurige code binnen de kernel
Beschrijving: er trad een probleem op met bereikcontrole in een userclient uitgegeven door het IOHIDFamily-stuurprogramma waardoor een schadelijk programma willekeurige delen van de kerneladresruimte kon overschrijven. Het probleem is verholpen door de kwetsbare userclient-methode te verwijderen.
CVE-ID
CVE-2014-8822: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP
IOKit
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er trad een integeroverloop op bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.
CVE-ID
CVE-2014-4389: Ian Beer van Google Project Zero
IOUSBFamily
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een bevoorrecht programma kan mogelijk willekeurige gegevens lezen uit het kernelgeheugen
Beschrijving: er trad een probleem op met geheugentoegang bij de verwerking van userclient-functies van de IOUSB-controller. Dit probleem is verholpen door een verbeterde validatie van argumenten.
CVE-ID
CVE-2014-8823: Ian Beer van Google Project Zero
Kerberos
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: de Kerberos-bibliotheek libgssapi retourneerde een contexttoken met een dangling pointer. Dit probleem is verholpen door verbeterd statusbeheer.
CVE-ID
CVE-2014-5352
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: door een aangepaste cachemodus op te geven, kon worden geschreven naar alleen-lezen gedeelde geheugensegmenten van de kernel. Dit probleem is verholpen door geen schrijfrechten toe te kennen als een neveneffect van enkele aangepaste cachemodi.
CVE-ID
CVE-2014-4495: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er trad een validatiefout op bij de verwerking van bepaalde velden met metagegevens van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metadata.
CVE-ID
CVE-2014-8824: @PanguTeam
Kernel
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een lokale aanvaller kan directoryservicereacties naar de kernel spoofen, bevoegdheden verhogen of toegang krijgen tot kerneluitvoering
Beschrijving: er traden problemen op in identitysvc-validatie van het omzettingsproces van de directoryservice, vlagverwerking en foutverwerking. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2014-8825: Alex Radocea van CrowdStrike
Kernel
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een lokale gebruiker kan mogelijk de kernelgeheugenlay-out bepalen
Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.
CVE-ID
CVE-2014-4371: Fermin J. Serna van het Google Security Team
CVE-2014-4419: Fermin J. Serna van het Google Security Team
CVE-2014-4420: Fermin J. Serna van het Google Security Team
CVE-2014-4421: Fermin J. Serna van het Google Security Team
Kernel
Beschikbaar voor: OS X Mavericks v10.9.5
Impact: een persoon met een bevoorrechte netwerkpositie kan een denial of service veroorzaken
Beschrijving: er trad een racevoorwaardefout op bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.
CVE-ID
CVE-2011-2391
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: kwaadwillig vervaardigde of gemanipuleerde programma's kunnen mogelijk adressen in de kernel bepalen
Beschrijving: er was een probleem met het vrijgeven van informatie bij de verwerking van API’s met betrekking tot kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met systeembevoegdheden veroorzaken
Beschrijving: er trad een validatiefout op bij de verwerking van bepaalde velden met metagegevens van IOSharedDataQueue-objecten. Dit probleem is verholpen door verplaatsing van de metagegevens.
CVE-ID
CVE-2014-4461: @PanguTeam
LaunchServices
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk JAR-bestand kan mogelijk Gatekeeper-controles omzeilen
Beschrijving: er trad een fout op bij de verwerking van het starten van programma's waardoor bepaalde schadelijke JAR-bestanden Gatekeeper-controles konden omzeilen. Dit probleem is verholpen door een verbeterde verwerking van bestandstype metagegevens.
CVE-ID
CVE-2014-8826: Hernan Ochoa van Amplia Security
libnetcore
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardige, sandboxed app kan de networkd daemon in gevaar brengen
Beschrijving: er traden meerdere soorten verwarringsproblemen op bij de verwerking van interprocescommunicatie door networkd. Door een kwaadwillig opgemaakt bericht te versturen naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2014-4492: Ian Beer van Google Project Zero
LoginWindow
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een Mac wordt mogelijk niet onmiddellijk vergrendeld wanneer deze uit de sluimerstand wordt gehaald
Beschrijving: er trad een probleem op bij de rendering van het toegangsscherm. Dit probleem is verholpen door een verbeterde schermrendering tijdens vergrendeling.
CVE-ID
CVE-2014-8827: Xavier Bertels van Mono, en meerdere OS X-seedtesters
lukemftp
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het gebruik van het commandoregel ftp tool om bestanden op te halen van een schadelijke http-server kan leiden tot willekeurige code-uitvoering
Beschrijving: er was een kwetsbaarheid in de vorm van het invoegen van een commando bij de verwerking van HTTP-omleidingen. Dit probleem is verholpen door een verbeterde validatie van speciale tekens.
CVE-ID
CVE-2014-8517
ntpd
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: gebruik van de ntp-daemon met cryptografische verificatie ingeschakeld, kan leiden tot informatielekken
Beschrijving: er traden meerdere invoervalidatieproblemen op in ntpd. Deze problemen zijn verholpen door een verbeterde validatie van gegevens.
CVE-ID
CVE-2014-9297
OpenSSL
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwetsbaarheden in OpenSSL 0.9.8za, waaronder een waarmee een aanvaller mogelijk kan verbindingen kan downgraden om zwakkere cipher-suites in programma's te gebruiken met behulp van de bibliotheek
Beschrijving: er bestonden meerdere kwetsbaarheden in OpenSSL 0.9.8za. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een sandboxed proces kan mogelijk sandboxbeperkingen omzeilen
Beschrijving: er was een ontwerpprobleem bij het in de cache plaatsen van sandboxprofielen waardoor programma's in de sandbox schrijftoegang tot de cache konden krijgen. Dit probleem is verholpen door schrijftoegang te beperken tot paden met een 'com.apple.sandbox'-segment. Dit probleem is niet van invloed op OS X Yosemite v10.10 of nieuwer.
CVE-ID
CVE-2014-8828: Apple
SceneKit
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een schadelijk programma kon willekeurige code uitvoeren wat informatie van de gebruiker in gevaar kon brengen
Beschrijving: er waren meerdere problemen met het schrijven buiten het bereik in SceneKit. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-8829 : Jose Duart van het Google Security Team
SceneKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: Het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: er trad een heapbufferoverloop op bij de verwerking van Collada-bestanden door SceneKit. Het bekijken van een kwaadwillig vervaardigd Collada-bestand kan hebben geleid tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde validatie van accessor-elementen.
CVE-ID
CVE-2014-8830 : Jose Duart van Google Security Team
Security
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een gedownload programma ondertekend met een ingetrokken Developer ID-certificaat kan slagen voor Gatekeeper-controles
Beschrijving: er trad een probleem op met hoe certificaatinformatie van programma's in de cache werd geëvalueerd. Dit probleem is verholpen door verbeterd cachelogica.
CVE-ID
CVE-2014-8838: Apple
security_taskgate
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een app kan toegang krijgen tot sleutelhangeritems die behoren tot andere apps
Beschrijving: er trad een probleem op met toegangscontrole in de Keychain. Programma's ondertekend met zelfondertekende of Developer ID-certificaten hadden toegang tot sleutelhangeritems waarvan de toegangscontrolelijsten waren gebaseerd op sleutelhangergroepen. Dit probleem is verholpen door de ondertekeningsidentiteit te valideren bij het toekennen van toegang tot sleutelhangergroepen.
CVE-ID
CVE-2014-8831: Apple
Spotlight
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: de afzender van een e-mail kon het IP-adres van de ontvanger zien
Beschrijving: Spotlight controleerde de status van de instelling 'Laad extern materiaal in berichten' van Mail niet. Dit probleem is verholpen door verbeterd configuratiecontrole.
CVE-ID
CVE-2014-8839: John Whitehead van The New York Times, Frode Moe van LastFriday.no
Spotlight
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: Spotlight kan onverwachte informatie opslaan op een externe harde schijf
Beschrijving: er trad een probleem op in Spotlight waarbij geheugeninhoud mogelijk is geschreven naar externe harde schijven bij het indexeren. Dit probleem is verholpen door beter geheugenbeheer.
CVE-ID
CVE-2014-8832: F-Secure
SpotlightIndex
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: Spotlight kan resultaten weergeven voor bestanden die niet van de gebruiker zijn
Beschrijving: er trad een deserialisatieprobleem op bij de verwerking van rechtencaches door Spotlight. Aan een gebruiker die een Spotlight-zoekopdracht uitvoerde, kunnen zoekresultaten zijn getoond die verwijzen naar bestanden waarvoor deze gebruiker onvoldoende leesrechten heeft. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-8833: David J Peacock, Independent Technology Consultant
sysmond
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een schadelijk programma kan het uitvoeren van willekeurige code met root-bevoegdheden veroorzaken
Beschrijving: er bestond een type confusion-kwetsbaarheid in sysmond waardoor een lokaal programma bevoegdheden kon escaleren. Het probleem is verholpen door verbeterde typecontrole.
CVE-ID
CVE-2014-8835: Ian Beer van Google Project Zero
UserAccountUpdater
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: aan afdrukken verwante voorkeurenbestanden kunnen mogelijk vertrouwelijke informatie bevatten over pdf-documenten
Beschrijving: OS X Yosemite v10.10 heeft een probleem verholpen bij de verwerking van met wachtwoord beveiligde pdf-bestanden die worden gemaakt vanuit het afdrukdialoogvenster waarbij voorkeurenbestanden voor afdrukken mogelijk wachtwoorden bevatten. Deze update verwijdert dergelijke overbodige informatie die mogelijk aanwezig was in voorkeurenbestanden voor afdrukken.
CVE-ID
CVE-2014-8834: Apple
Opmerking: OS X Yosemite 10.10.2 omvat de beveiligingsinhoud van Safari 8.0.3.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.