Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Yosemite v10.10.2 en Beveiligingsupdate 2015-001
AFP-server
Beschikbaar voor: OS X Mavericks v10.9.5
Impact: een externe aanvaller kan mogelijk alle netwerkadressen van het systeem bepalen
Beschrijving: de AFP-bestandsserver ondersteunde een commando dat alle netwerkadressen van het systeem als resultaat gaf. Dit probleem is verholpen door de adressen uit het resultaat te verwijderen.
CVE-ID
CVE-2014-4426: Craig Young van Tripwire VERT
bash
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwetsbaarheden in bash, waaronder een kwetsbaarheid waarbij lokale aanvallers willekeurige code kunnen uitvoeren
Beschrijving: er waren meerdere kwetsbaarheden in bash. Deze problemen zijn verholpen door bash bij te werken naar patchniveau 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met gehele getallen met tekens in IOBluetoothFamily waardoor het kernelgeheugen kon worden gemanipuleerd. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem in het Bluetooth-besturingsbestand waardoor een kwaadaardig programma de grootte van een schrijfactie naar het kernelgeheugen kon beheren. Het probleem is verholpen door een extra validatie van de invoer.
CVE-ID
CVE-2014-8836: Ian Beer van Google Project Zero
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere beveiligingsproblemen in het Bluetooth-besturingsbestand waardoor een kwaadaardig programma willekeurige code kan uitvoeren met systeembevoegdheden. De problemen zijn verholpen door een extra validatie van de invoer.
CVE-ID
CVE-2014-8837: Roberto Paleari en Aristide Fattori van Emaze Networks
CFNetwork Cache
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: de cachegegevens van websites worden na het uitschakelen van de privémodus mogelijk niet volledig gewist
Beschrijving: er was een privacyprobleem waarbij de browsergegevens na het uitschakelen van de privémodus mogelijk in de cache bleven. Dit probleem is verholpen door de methode voor de plaatsing van gegevens in de cache te wijzigen.
CVE-ID
CVE-2014-4460
CoreGraphics
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van PDF-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4481: Felipe Andres Manzano van Binamuse VRT, via het iSIGHT Partners GVP Program
CPU-software
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1, voor: MacBook Pro Retina, MacBook Air (medio 2013 en nieuwer), iMac (eind 2013 en nieuwer), Mac Pro (eind 2013)
Impact: een kwaadaardig Thunderbolt-apparaat kan het knipperen van firmware beïnvloeden
Beschrijving: Thunderbolt-apparaten kunnen de hostfirmware wijzigen als deze tijdens een EFI-update zijn aangesloten. Dit probleem is verholpen door optie-ROM’s tijdens updates niet te laden.
CVE-ID
CVE-2014-4498: Trammell Hudson van Two Sigma Investments
CommerceKit Framework
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een aanvaller met toegang tot een systeem kan de inloggegevens van een Apple ID achterhalen
Beschrijving: er was een probleem met de verwerking van logbestanden van de App Store. Het App Store-proces kon inloggegevens van een Apple ID registreren in het logbestand wanneer extra registratie was ingeschakeld. Dit probleem is verholpen door de registratie van inloggegevens niet toe te staan.
CVE-ID
CVE-2014-4499: Sten Petersen
CoreGraphics
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: sommige programma’s van andere fabrikanten met onveilige tekstinvoer en activiteiten met muisbewegingen kunnen die activiteiten registreren
Beschrijving: vanwege de combinatie van een niet-geïnitialiseerde variabele en de aangepaste allocator van een programma, zijn mogelijk onveilige tekstinvoer en activiteiten met muisbewegingen geregistreerd. Dit probleem is verholpen door ervoor te zorgen dat de registratie standaard is uitgeschakeld. Dit probleem is niet van invloed op systemen lager dan OS X Yosemite.
CVE-ID
CVE-2014-1595: Steven Michaud van Mozilla in samenwerking met Kent Howard
CoreGraphics
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van PDF-bestanden. Dit probleem wordt verholpen door middel van een verbeterde controle van de grenzen. Dit probleem is niet van invloed op systemen met OS X Yosemite.
CVE-ID
CVE-2014-8816: Mike Myers van Digital Operatives LLC
CoreSymbolication
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van XPC-berichten door coresymbolicationd. Deze problemen zijn verholpen door middel van verbeterde controle van het type.
CVE-ID
CVE-2014-8817: Ian Beer van Google Project Zero
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van DFONT-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4484: Gaurav Baruah in samenwerking met het Zero Day Initiative van HP
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het openen van een kwaadwillig vervaardigd PDF-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4483: Apple
Foundation
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het bekijken van een kwaadwillig vervaardigd XML-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop in de XML-parser. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwetsbaarheden in Intel Graphics Driver
Beschrijving: er waren meerdere kwetsbaarheden in Intel Graphics Driver waarvan de ernstigste mogelijk hebben geleid tot het uitvoeren van willekeurige code met systeembevoegdheden. Deze update verhelpt de problemen door extra bounds checking.
CVE-ID
CVE-2014-8819: Ian Beer van Google Project Zero
CVE-2014-8820: Ian Beer van Google Project Zero
CVE-2014-8821: Ian Beer van Google Project Zero
IOAcceleratorFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van bepaalde IOService userclient-typen door IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde validatie van IOAcceleratorFamily-contexten.
CVE-ID
CVE-2014-4486: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde bounds checking.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van metagegevens van bronwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van metagegevens.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van activiteitenwachtrijen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van de initialisatie van activiteitenwachtrijen in IOHIDFamily.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: de uitvoering van een kwaadaardig programma kan leiden tot het uitvoeren van willekeurige code in de kernel
Beschrijving: er was een bounds checking-probleem in een gebruikersclient, mogelijk gemaakt door het besturingsbestand IOHIDFamily waardoor een kwaadaardig programma willekeurige delen van de adresruimte in de kernel kon overschrijven. Het probleem is verholpen door de kwetsbare methode van de gebruikersclient te verwijderen.
CVE-ID
CVE-2014-8822: Vitaliy Toropov in samenwerking met het Zero Day Initiative van HP
IOKit
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.
CVE-ID
CVE-2014-4389: Ian Beer van Google Project Zero
IOUSBFamily
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een geprivilegieerd programma kan willekeurige gegevens vanuit het kernelgeheugen lezen
Beschrijving: er was een probleem met de geheugentoegang bij de verwerking van de functies van de gebruikersclient van de IOUSB controller. Dit probleem is verholpen door een verbeterde validatie van het argument.
CVE-ID
CVE-2014-8823: Ian Beer van Google Project Zero
Kerberos
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: de libgssapi-bibliotheek in Kerberos heeft een context-token met een zwevende aanwijzer als resultaat gegeven. Dit probleem is verholpen door het statusbeheer te verbeteren.
CVE-ID
CVE-2014-5352
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een aangepaste modus voor de cache opgeven heeft het schrijven naar segmenten van het gedeelde geheugen toegestaan die alleen mochten worden gelezen. Dit probleem is verholpen door geen schrijfbevoegdheden te verlenen als neveneffect van enkele aangepaste modi voor de cache.
CVE-ID
CVE-2014-4495: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde velden voor metagegevens van IODataQueue-objecten. Dit probleem is verholpen door een verbeterde validatie van metagegevens.
CVE-ID
CVE-2014-8824: @PanguTeam
Kernel
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een lokale aanvaller kan reacties van adreslijstvoorzieningen aan de kernel vervalsen, bevoegdheden verhogen of controle over de uitvoering van de kernel verkrijgen
Beschrijving: er waren problemen met de validatie van identitysvc bij de uitvoering van het verwerkingsproces en de verwerking van flags en fouten door de adreslijstvoorziening. Dit probleem is verholpen door een verbeterde validatie.
CVE-ID
CVE-2014-8825: Alex Radocea van CrowdStrike
Kernel
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen
Beschrijving: er waren meerdere problemen met niet-geïnitialiseerd geheugen in de interface van netwerkstatistieken, wat leidde tot de vrijgave van geheugeninhoud. Dit probleem is verholpen door een extra geheugeninitialisatie.
CVE-ID
CVE-2014-4371: Fermin J. Serna van het Google Security Team
CVE-2014-4419: Fermin J. Serna van het Google Security Team
CVE-2014-4420: Fermin J. Serna van het Google Security Team
CVE-2014-4421: Fermin J. Serna van het Google Security Team
Kernel
Beschikbaar voor: OS X Mavericks v10.9.5
Impact: een persoon met een geprivilegieerde netwerkpositie kan ervoor zorgen dat de service wordt geweigerd
Beschrijving: er was een probleem met de racevoorwaarde bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.
CVE-ID
CVE-2011-2391
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: kwaadwillig vervaardigde of aangetaste programma’s kunnen adressen in de kernel bepalen
Beschrijving: er was een probleem met de vrijgave van informatie bij de verwerking van API’s gerelateerd aan kernelextensies. Reacties op een OSBundleMachOHeaders-sleutel kunnen mogelijk kerneladressen bevatten, wat kan bijdragen tot het omleiden van de bescherming die bestaat uit de willekeurige lay-out van adresruimten. Dit probleem is verholpen door de verschuiving van de adressen ongedaan te maken voordat ze worden geretourneerd.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij de verwerking van bepaalde metagegevensvelden van IOSharedDataQueue-objecten. Dit probleem is verholpen door de verplaatsing van metagegevens.
CVE-ID
CVE-2014-4461: @PanguTeam
LaunchServices
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig JAR-bestand kan Gatekeeper-controles omzeilen
Beschrijving: er was een probleem bij de verwerking van het starten van programma’s waardoor bepaalde kwaadaardige JAR-bestanden de Gatekeeper-controles konden omzeilen. Dit probleem is verholpen door een verbeterde verwerking van de metagegevens van het bestandstype.
CVE-ID
CVE-2014-8826: Hernan Ochoa van Amplia Security
libnetcore
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma in een sandbox kan de networkd daemon in gevaar brengen
Beschrijving: er waren meerdere problemen met verwarring van het type bij de verwerking van de communicatie tussen processen door networkd. Door het versturen van een kwaadwillig opgemaakt bericht naar networkd kan willekeurige code als het networkd-proces worden uitgevoerd. Het probleem is verholpen door een extra controle van het type.
CVE-ID
CVE-2014-4492: Ian Beer van Google Project Zero
Inlogvenster
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een Mac wordt mogelijk niet onmiddellijk vergrendeld wanneer deze uit de sluimerstand wordt gehaald
Beschrijving: er was een probleem bij het weergeven van het toegangsscherm. Dit probleem is verholpen door een verbeterde weergave van het scherm terwijl het apparaat is vergrendeld.
CVE-ID
CVE-2014-8827: Xavier Bertels van Mono en meerdere testers van OS X-seeds
lukemftp
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het gebruik van de commandoregel ftp tool om bestanden vanaf een kwaadaardige http-server op te halen, kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een commando bij de verwerking van HTTP-doorverwijzingen. Dit probleem is verholpen door een verbeterde validatie van speciale tekens.
CVE-ID
CVE-2014-8517
ntpd
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het gebruik van ntp daemon wanneer de cryptografische identiteitscontrole is ingeschakeld, kan leiden tot het vrijgeven van informatie
Beschrijving: er waren meerdere problemen met invoervalidatie in ntpd. Deze problemen zijn verholpen door een verbeterde validatie van gegevens.
CVE-ID
CVE-2014-9297
OpenSSL
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: meerdere kwetsbaarheden in OpenSSL 0.9.8za, waaronder een waardoor een aanvaller verbindingen kan downgraden om zwakkere coderingssuites te gebruiken in programma’s die de bibliotheek gebruiken
Beschrijving: er waren meerdere kwetsbaarheden in OpenSSL 0.9.8za. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een proces in de sandbox kan de sandbox-beperkingen omzeilen
Beschrijving: er was een ontwerpprobleem bij het bewaren van profielen in een sandbox in de cache waardoor programma’s in de sandbox schrijftoegang tot de cache hebben gekregen. Dit probleem is verholpen door de schrijftoegang tot paden met het segment ‘com.apple.sandbox’ te beperken. Dit probleem is niet van invloed op OS X Yosemite v10.10 of hoger.
CVE-ID
CVE-2014-8828: Apple
SceneKit
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een kwaadaardig programma kan willekeurige code uitvoeren waardoor gebruikersgegevens in gevaar kunnen worden gebracht
Beschrijving: er waren meerdere problemen met het schrijven buiten het bereik in SceneKit. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2014-8829: Jose Duart van het Google Security Team
SceneKit
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van Collada-bestanden in SceneKit. Het bekijken van een kwaadwillig vervaardigd Collada-bestand heeft mogelijk geleid tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde validatie van accessor-elementen.
CVE-ID
CVE-2014-8830: Jose Duart van het Google Security Team
Beveiliging
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een gedownload programma dat met een ingetrokken Developer ID-certificaat is ondertekend, kan slagen voor Gatekeeper-controles
Beschrijving: er was een probleem met de manier waarop certificaatgegevens van een programma in de cache werden geëvalueerd. Dit probleem is verholpen door verbeteringen aan de logica van de cache.
CVE-ID
CVE-2014-8838: Apple
security_taskgate
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een programma heeft mogelijk toegang tot sleutelhangeronderdelen van andere programma’s
Beschrijving: er was een probleem met de toegangscontrole in de Sleutelhanger. Programma’s die zijn ondertekend met zelfondertekende of Developer ID-certificaten hebben mogelijk toegang tot sleutelhangeronderdelen waarvan de toegangscontrolelijsten op sleutelhangergroepen waren gebaseerd. Dit probleem is verholpen door de ondertekeningsidentiteit te valideren wanneer toegang aan sleutelhangergroepen wordt verleend.
CVE-ID
CVE-2014-8831: Apple
Spotlight
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: de zender van een e-mail kan het IP-adres van de ontvanger bepalen
Beschrijving: Spotlight heeft de status van de instelling ‘Laad extern materiaal in berichten’ in Mail niet gecontroleerd. Dit probleem is verholpen door een verbeterde controle van de configuratie.
CVE-ID
CVE-2014-8839: John Whitehead van The New York Times, Frode Moe van LastFriday.no
Spotlight
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: Spotlight kan onverwachte informatie op een externe harde schijf bewaren
Beschrijving: er was een probleem in Spotlight waarbij de inhoud van het geheugen tijdens het indexeren mogelijk naar externe harde schijven is geschreven. Dit probleem is verholpen door een beter beheer van het geheugen.
CVE-ID
CVE-2014-8832 : F-Secure
SpotlightIndex
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: Spotlight geeft mogelijk resultaten weer voor bestanden die niet van de gebruiker zijn
Beschrijving: er was een probleem met deserialisatie bij de verwerking van bevoegdhedencaches in Spotlight. Een gebruiker die een Spotlight-zoekactie uitvoert, ziet mogelijk resultaten met bestanden waarvoor deze onvoldoende leesbevoegdheden heeft. Dit probleem is verholpen door een verbeterde bounds checking.
CVE-ID
CVE-2014-8833: David J Peacock, Independent Technology Consultant
sysmond
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 en v10.10.1
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: er was een kwetsbaarheid met de verwarring van het type in sysmond waardoor een lokaal programma privileges kon escaleren. Het probleem is verholpen door een verbeterde controle van het type.
CVE-ID
CVE-2014-8835: Ian Beer van Google Project Zero
UserAccountUpdater
Beschikbaar voor: OS X Yosemite v10.10 en v10.10.1
Impact: voorkeursbestanden die zijn gerelateerd aan afdruktaken kunnen vertrouwelijke informatie over PDF-documenten bevatten
Beschrijving: OS X Yosemite v10.10 heeft een probleem verholpen bij de verwerking van wachtwoordbeveiligde PDF-bestanden die zijn gemaakt via het dialoogvenster Afdrukken en waarbij wachtwoorden mogelijk zijn toegevoegd aan voorkeursbestanden voor afdruktaken. Deze update verwijdert deze andere informatie die mogelijk aanwezig was in voorkeursbestanden voor afdruktaken.
CVE-ID
CVE-2014-8834: Apple
Opmerking: OS X Yosemite 10.10.2 bevat de beveiligingsinhoud van Safari 8.0.3.