Over de beveiligingsinhoud van OS X Yosemite v10.10

In dit artikel wordt de beveiligingsinhoud van OS X Yosemite v10.10 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Yosemite v10.10

  • 802.1X

    Impact: een aanvaller kan de inloggegevens voor Wi-Fi verkrijgen

    Beschrijving: een aanvaller kan zich hebben voorgedaan als een Wi-Fi-toegangspunt, hebben aangeboden om de identiteitscontrole met LEAP uit te voeren, de MS-CHAPv1-hash hebben gebroken en de verkregen toegangsgegevens hebben gebruikt voor de identiteitscontrole bij het bedoelde toegangspunt, zelfs als dat toegangspunt sterkere methoden voor de controle van de identiteit ondersteunde. Dit probleem is verholpen door LEAP standaard uit te schakelen.

    CVE-ID

    CVE-2014-4364: Pieter Robyns, Bram Bonne, Peter Quax en Wim Lamotte van Universiteit Hasselt

  • AFP-bestandsserver

    Impact: een externe aanvaller kan alle netwerkadressen van het systeem bepalen

    Beschrijving: de AFP-bestandsserver ondersteunde een commando dat alle netwerkadressen van het systeem als resultaat gaf. Dit probleem is verholpen door de adressen uit het resultaat te verwijderen.

    CVE-ID

    CVE-2014-4426: Craig Young van Tripwire VERT

  • apache

    Impact: meerdere kwetsbaarheden in Apache

    Beschrijving: er waren meerdere kwetsbaarheden in Apache, waarvan de ernstigste kunnen leiden tot een weigering van service. Deze problemen zijn verholpen door Apache bij te werken naar versie 2.4.9.

    CVE-ID

    CVE-2013-6438

    CVE-2014-0098

  • Het programma Sandbox

    Impact: een programma met sandbox-beperkingen kan de toegankelijkheids-API misbruiken

    Beschrijving: een programma in een sandbox kan de toegankelijkheids-API misbruiken zonder dat de gebruiker het weet. Dit is verholpen door per programma de goedkeuring van de beheerder te vragen voor het gebruik van de toegankelijkheids-API.

    CVE-ID

    CVE-2014-4427: Paul S. Ziegler van Reflare UG

  • Bash

    Impact: in bepaalde configuraties kan een externe aanvaller mogelijk willekeurige shell-commando’s uitvoeren

    Beschrijving: er was een probleem bij het parseren van omgevingsvariabelen in Bash. Dit probleem is verholpen door een verbeterde parsering van omgevingsvariabelen, wat mogelijk is door het einde van de functie-instructie beter te detecteren.

    Deze update bevat ook de voorgestelde wijziging CVE-2014-7169 die de status van de parser opnieuw instelt.

    Daarnaast heeft deze update ook een nieuwe naamruimte voor geëxporteerde functies toegevoegd door een functiedecorator aan te maken om de onbedoelde doorgifte van headers aan Bash te voorkomen. De namen van alle omgevingsvariabelen die functiedefinities introduceren, moeten de prefix ‘__BASH_FUNC<’ en de suffix ‘>()’ hebben om de onbedoelde doorgifte van functies via HTTP-headers te voorkomen.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

  • Bluetooth

    Impact: een kwaadaardig Bluetooth-invoerapparaat kan het koppelingsproces negeren

    Beschrijving: ongecodeerde verbindingen waren toegestaan vanaf apparaten in de Human Interface Device-klasse ‘Bluetooth Low Energy’. Als een Mac aan een dergelijk apparaat is gekoppeld, kan een aanvaller het echte apparaat vervalsen om verbinding te maken. Het probleem is verholpen door ongecodeerde HID-verbindingen te weigeren.

    CVE-ID

    CVE-2014-4428: Mike Ryan van iSEC Partners

  • CFPreferences

    Impact: de voorkeur ‘Vraag na activering van sluimerstand of schermbeveiliging om wachtwoord’ wordt mogelijk pas toegepast na een herstart

    Beschrijving: er was een probleem met het sessiebeheer bij de verwerking van de instellingen van Systeemvoorkeuren. Dit probleem is verholpen door een verbeterde opvolging van sessies.

    CVE-ID

    CVE-2014-4425

  • CoreStorage

    Impact: een gecodeerd volume blijft mogelijk ontgrendeld wanneer het wordt verwijderd

    Beschrijving: als een gecodeerd volume op logische wijze wordt verwijderd terwijl het is geactiveerd, is het volume gedeactiveerd maar zijn de sleutels behouden waardoor het opnieuw zonder wachtwoord kan worden geactiveerd. Dit probleem is verholpen door de sleutels bij de verwijdering te wissen.

    CVE-ID

    CVE-2014-4430: Benjamin King bij See Ben Click Computer Services LLC, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi en andere anonieme onderzoekers

  • CUPS

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: wanneer de CUPS-webinterface bestanden behandelde, volgde deze symlinks. Een lokale gebruiker kon symlinks voor willekeurige bestanden aanmaken om deze via de webinterface op te halen. Dit probleem is verholpen door geen symlinks via de CUPS-webinterface te behandelen.

    CVE-ID

    CVE-2014-3537

  • Dock

    Impact: in bepaalde gevallen worden vensters weergegeven zelfs als het scherm is vergrendeld

    Beschrijving: er was een probleem met het statusbeheer bij de verwerking van de schermvergrendeling. Dit probleem is verholpen door een verbeterde opvolging van de status.

    CVE-ID

    CVE-2014-4431: Emil Sjölander van Umeå University

  • fdesetup

    Impact: het commando fdesetup kan een misleidende status geven voor de status van de codering van de schijf

    Beschrijving: na het bijwerken van de instellingen maar vóór het opnieuw opstarten, heeft het commando fdesetup een misleidende status gegeven. Dit probleem is verholpen door een verbeterde melding van de status.

    CVE-ID

    CVE-2014-4432

  • Zoek mijn Mac in iCloud

    Impact: de pincode van de verliesmodus van iCloud is mogelijk door ‘brute force’ bepaald

    Beschrijving: een probleem met statuspersistentie bij de snelheidsbeperking maakte ‘brute force’-aanvallen op de pincode van de verliesmodus van iCloud mogelijk. Dit probleem is verholpen door een verbeterde statuspersistentie na herstarten.

    CVE-ID

    CVE-2014-4435: knoy

  • IOAcceleratorFamily

    Impact: een programma kan zorgen voor het weigeren van een service

    Beschrijving: er was een NULL pointer-dereferentie in het IntelAccelerator-besturingsbestand. Het probleem is verholpen door een verbeterde verwerking van fouten.

    CVE-ID

    CVE-2014-4373: cunzhang van Adlab of Venustech

  • IOHIDFamily

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een null pointer-dereferentie bij de verwerking van ‘key-mapping’-eigenschappen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van ‘key-mapping’-eigenschappen van IOHIDFamily.

    CVE-ID

    CVE-2014-4405: Ian Beer van Google Project Zero

  • IOHIDFamily

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een heapbufferoverloop bij de verwerking van ‘key-mapping’-eigenschappen door IOHIDFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4404: Ian Beer van Google Project Zero

  • IOHIDFamily

    Impact: een programma kan zorgen voor het weigeren van een service

    Beschrijving: er was geheugentoegang buiten het bereik in het IOHIDFamily-besturingsbestand. Het probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2014-4436: cunzhang van Adlab of Venustech

  • IOHIDFamily

    Impact: een gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met het schrijven buiten het bereik in het IOHIDFamily-besturingsbestand. Het probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2014-4380: cunzhang van Adlab of Venustech

  • IOKit

    Impact: een kwaadaardig programma kan niet-geïnitialiseerde gegevens vanuit het kernelgeheugen lezen

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.

    CVE-ID

    CVE-2014-4407: @PanguTeam

  • IOKit

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde velden voor metagegevens van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-4388: @PanguTeam

  • IOKit

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde velden voor metagegevens van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metagegevens.

    CVE-ID

    CVE-2014-4418: Ian Beer van Google Project Zero

  • Kernel

    Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen

    Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna van het Google Security Team

    CVE-2014-4419: Fermin J. Serna van het Google Security Team

    CVE-2014-4420: Fermin J. Serna van het Google Security Team

    CVE-2014-4421: Fermin J. Serna van het Google Security Team

  • Kernel

    Impact: een kwaadwillig vervaardigd bestandssysteem kan zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code

    Beschrijving: er was een heapgebaseerde bufferoverloop bij de verwerking van HFS-resourceforks. Een kwaadwillig vervaardigd bestandssysteem kan zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code met kernelbevoegdheden. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4433: Maksymilian Arciemowicz

  • Kernel

    Impact: een kwaadaardig bestandssysteem kan zorgen voor het onverwacht beëindigen van het systeem

    Beschrijving: er was een NULL-dereferentie bij de verwerking van HFS-bestandsnamen. Een kwaadwillig vervaardigd bestandssysteem kan zorgen tot het onverwacht beëindigen van het systeem. Dit probleem is verholpen door de NULL-dereferentie te vermijden.

    CVE-ID

    CVE-2014-4434: Maksymilian Arciemowicz

  • Kernel

    Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een double free-probleem bij de verwerking van Mach-poorten. Dit probleem is verholpen door een verbeterde validatie van Mach-poorten.

    CVE-ID

    CVE-2014-4375: een anonieme onderzoeker

  • Kernel

    Impact: een persoon met een geprivilegieerde netwerkpositie kan ervoor zorgen dat de service wordt geweigerd

    Beschrijving: er was een probleem met de racevoorwaarde bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het uitvoeren van willekeurige code in de kernel

    Beschrijving: er was een probleem met het lezen buiten het bereik in rt_setgate. Dit kan leiden tot de vrijgave van het geheugen of geheugenbeschadiging. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem

    Beschrijving: er was een bereikbare panic bij de verwerking van berichten die zijn verstuurd naar systeemcontrolesockets. Dit probleem is verholpen door een extra validatie van berichten.

    CVE-ID

    CVE-2014-4442: Darius Davis van VMware

  • Kernel

    Impact: sommige maatregelen voor het versterken van de kernel worden mogelijk genegeerd

    Beschrijving: de generator voor willekeurige nummers die wordt gebruikt voor versterkende maatregelen in de kernel aan het begin van het opstartproces was cryptografisch niet veilig. Een deel van diens uitvoer was afleidbaar vanuit de gebruikersruimte, waardoor de versterkende maatregelen konden worden omzeild. Dit probleem is verholpen door een cryptografisch beveiligd algoritme te gebruiken.

    CVE-ID

    CVE-2014-4422: Tarjei Mandt van Azimuth Security

  • LaunchServices

    Impact: een lokaal programma kan sandbox-beperkingen omzeilen

    Beschrijving: de LaunchServices-interface voor de instelling van handlers voor inhoudstypen stond toe dat programma’s in een sandbox handlers voor bestaande inhoudstypen konden opgeven. Een aangepast programma kon dit gebruiken om sandbox-beperkingen te omzeilen. Dit probleem is verholpen door programma’s in een sandbox geen handlers voor inhoudstypen te laten opgeven.

    CVE-ID

    CVE-2014-4437: Meder Kydyraliev van het Google Security Team

  • Inlogvenster

    Impact: soms wordt het scherm niet vergrendeld

    Beschrijving: er was een probleem met de racevoorwaarde in LoginWindow waardoor het scherm soms niet kon worden vergrendeld. Het probleem is verholpen door de volgorde van activiteiten te wijzigen.

    CVE-ID

    CVE-2014-4438: Harry Sintonen van nSense, Alessandro Lobina van Helvetia Insurances, Patryk Szlagowski van Funky Monkey Labs

  • Mail

    Impact: Mail kan e-mails versturen naar onbedoelde ontvangers

    Beschrijving: een inconsistentie in de gebruikersinterface van het programma Mail heeft ertoe geleid dat e-mails zijn verstuurd naar adressen die uit de lijst met ontvangers zijn verwijderd. Het probleem is verholpen door een verbeterde controle van de consistentie in de gebruikersinterface.

    CVE-ID

    CVE-2014-4439: Patrick J Power van Melbourne, Australië

  • MCX-bureaubladconfiguratieprofielen

    Impact: bij het verwijderen van mobiele configuratieprofielen zijn de bijbehorende instellingen niet verwijderd

    Beschrijving: webproxy-instellingen die door een mobiel configuratieprofiel zijn geïnstalleerd, zijn bij het verwijderen van het profiel niet verwijderd. Dit probleem is verholpen door een verbeterde verwerking van het verwijderen van profielen.

    CVE-ID

    CVE-2014-4440: Kevin Koster van Cloudpath Networks

  • Framework NetFS-client

    Impact: bestandsdeling kan een status aannemen waarin deze niet kan worden uitgeschakeld

    Beschrijving: er was een probleem met het statusbeheer bij het framework van bestandsdeling. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2014-4441: Eduardo Bonsi van BEARTCOMMUNICATIONS

  • QuickTime

    Impact: het afspelen van een kwaadwillig vervaardigd m4a-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een bufferoverloop bij de verwerking van audiosamples. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2014-4351: Karl Smith van NCC Group

  • Safari

    Impact: de geschiedenis van recent bezochte pagina’s in een open tabblad blijft mogelijk aanwezig na het wissen van de geschiedenis

    Beschrijving: het wissen van de geschiedenis in Safari heeft de vorige/volgende-geschiedenis voor open tabbladen niet gewist. Dit probleem is verholpen door de vorige/volgende-geschiedenis te wissen.

    CVE-ID

    CVE-2013-5150

  • Safari

    Impact: inschrijven op pushberichtgeving van een kwaadwillig vervaardigde website kan leiden tot het niet ontvangen van pushberichtgeving in Safari in de toekomst

    Beschrijving: er was een probleem met een onopgemerkte uitzondering bij de verwerking van de Safari-pushberichtgeving door SafariNotificationAgent. Dit probleem is verholpen door een verbeterde verwerking van de pushberichtgeving in Safari.

    CVE-ID

    CVE-2014-4417: Marek Isalski van Faelix Limited

  • Secure Transport

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn bekende aanvallen op de betrouwbaarheid van SSL 3.0 wanneer een coderingssuite een blokcode in CBC-modus gebruikt. Zelfs als de server een betere TLS-versie ondersteunt, kan een aanvaller het gebruik van SSL 3.0 forceren door pogingen tot verbindingen met TLS 1.0 en hoger te blokkeren. Dit probleem is verholpen door CBC-coderingssuites uit te schakelen wanneer een poging tot verbinding met TLS mislukt.

    CVE-ID

    CVE-2014-3566: Bodo Moeller, Thai Duong en Krzysztof Kotowicz van het Google Security Team

  • Beveiliging

    Impact: een externe aanvaller kan mogelijk zorgen voor weigering van service

    Beschrijving: er was een null-dereferentie bij de verwerking van ASN.1-gegevens. Dit probleem is verholpen door een extra validatie van ASN.1-gegevens.

    CVE-ID

    CVE-2014-4443: Coverity

  • Beveiliging

    Impact: een lokale gebruiker heeft mogelijk toegang tot de Kerberos-tickets van een andere gebruiker

    Beschrijving: er was een probleem met het statusbeheer in SecurityAgent. Bij Snelle gebruikersoverschakeling kan soms een Kerberos-ticket voor de gebruiker naar wie wordt overgeschakeld, in de cache voor de vorige gebruiker worden geplaatst. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2014-4444: Gary Simon van Sandia National Laboratories, Ragnar Sundblad van KTH Royal Institute of Technology, Eugene Homyakov van Kaspersky Lab

  • Beveiliging - Codeondertekening

    Impact: het starten van programma’s waarmee geknoeid is, wordt mogelijk niet verhinderd

    Beschrijving: apps die zijn ondertekend in OS X vóór OS X Mavericks 10.9 of apps met aangepaste resourceregels, konden zo worden gewijzigd dat de handtekening geldig bleef. Op systemen die zijn ingesteld om alleen apps uit de Mac App Store en geïdentificeerde ontwikkelaars toe te staan, wordt het uitvoeren van een gedownloade, gewijzigde app mogelijk toegestaan alsof het een legitieme app was. Dit probleem is verholpen door het negeren van handtekeningen van bundels met resource envelopes die resources weglaten die de uitvoering kunnen beïnvloeden. OS X Mavericks v10.9.5 en Beveiligingsupdate 2014-004 voor OS X Mountain Lion v10.8.5 bevatten deze wijzigingen al.

    CVE-ID

    CVE-2014-4391: Christopher Hickstein in samenwerking met het Zero Day Initiative van HP

Opmerking: OS X Yosemite bevat Safari 8.0 waarin de beveiligingsinhoud van Safari 7.1 is opgenomen. Voor meer informatie raadpleegt u Over de beveiligingsinhoud van Safari 7.1.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: