Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Yosemite v10.10.3 en Beveiligingsupdate 2015-004
Admin Framework
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een proces kan beheerdersbevoegdheden verkrijgen zonder de identiteitscontrole naar behoren uit te voeren
Beschrijving: er was een probleem bij de controle van XPC-rechten. Dit probleem is verholpen door een verbeterde controle van rechten.
CVE-ID
CVE-2015-1130: Emil Kvarnhammar in TrueSec
- apache
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: meerdere kwetsbaarheden in Apache
Beschrijving: er waren meerdere kwetsbaarheden in versies van Apache die lager zijn dan 2.4.10 en 2.2.29, waaronder een kwetsbaarheid waarbij een externe aanvaller willekeurige code kan uitvoeren. Deze problemen zijn verholpen door Apache bij te werken naar versies 2.4.10 en 2.2.29
CVE-ID
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren meerdere problemen met invoervalidatie in fontd. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-1131: Ian Beer van Google Project Zero
CVE-2015-1132: Ian Beer van Google Project Zero
CVE-2015-1133: Ian Beer van Google Project Zero
CVE-2015-1134: Ian Beer van Google Project Zero
CVE-2015-1135: Ian Beer van Google Project Zero
Certificaatvertrouwensbeleid
Impact: update voor het certificaatvertrouwensbeleid
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. Raadpleeg de volledige lijst met certificaten.
CFNetwork HTTP-protocol
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: cookies van een bron kunnen naar een andere bron worden verstuurd
Beschrijving: er was een probleem met cookies op verschillende domeinen bij de verwerking van doorverwijzingen. Cookies die in een doorverwezen reactie zijn ingesteld, kunnen worden verstuurd naar een doorverwezen doel van een andere bron. Het probleem is verholpen door een verbeterde verwerking van doorverwijzingen.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
CFNetwork-sessie
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: inloggegevens van de identiteitscontrole kunnen naar een server van een andere bron worden verstuurd
Beschrijving: er was een probleem met de headers van HTTP-verzoeken op verschillende domeinen bij de verwerking van doorverwijzingen. Headers van HTTP-verzoeken die in een doorverwezen reactie worden verstuurd, kunnen worden verstuurd naar een andere bron. Het probleem is verholpen door een verbeterde verwerking van doorverwijzingen.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met invoervalidatie bij de verwerking van URL’s. Dit probleem is verholpen door een verbeterde validatie van URL’s.
CVE-ID
CVE-2015-1088: Luigi Galli
CoreAnimation
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een ‘use-after-free’-probleem in CoreAnimation. Dit probleem is verholpen door een verbeterd beheer van mutex.
CVE-ID
CVE-2015-1136: Apple
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging bij de verwerking van lettertypebestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Graphics Driver
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een NULL pointer-dereferentie bij de verwerking van bepaalde IOService userclient-typen door het grafische besturingsbestand van NVIDIA. Dit probleem is verholpen door extra contextvalidatie.
CVE-ID
CVE-2015-1137: Frank Graziano en John Villamil van het Yahoo Pentest Team
Hypervisor
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokaal programma zorgt mogelijk voor weigering van service
Beschrijving: er was een probleem met de invoervalidatie in het hypervisor-framework. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-1138: Izik Eidus en Alex Fishman
ImageIO
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: het verwerken van een kwaadwillig vervaardigd SGI-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van SGI-bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-1139: Apple
IOHIDFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een kwaadaardig HID-apparaat kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in een IOHIDFamily API. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1095: Andrew Church
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1140: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP, Luca Todesco, Vitaliy Toropov in samenwerking met het Zero Day Initiative (ZDI) van HP
IOHIDFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen
Beschrijving: er was een probleem in IOHIDFamily dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-1096: Ilja van Sprundel van IOActive
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een heapbufferoverloop bij de verwerking van ‘key-mapping’-eigenschappen door IOHIDFamily. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2014-4404: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een null pointer-dereferentie bij de verwerking van ‘key-mapping’-eigenschappen door IOHIDFamily. Dit probleem is verholpen door een verbeterde validatie van ‘key-mapping’-eigenschappen van IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer van Google Project Zero
IOHIDFamily
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: een gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met het schrijven buiten het bereik in het IOHIDFamily-besturingsbestand. Het probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2014-4380: cunzhang van Adlab of Venustech
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan ervoor zorgen dat het systeem onverwacht wordt uitgeschakeld
Beschrijving: er was een probleem bij de verwerking van bewerkingen van het virtuele geheugen in de kernel. Het probleem is verholpen door een verbeterde verwerking van de bewerking mach_vm_read.
CVE-ID
CVE-2015-1141: Ole Andre Vadla Ravnas van www.frida.re
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem
Beschrijving: er was een racevoorwaarde bij de setreuid-systeemaanroep van de kernel. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-1099: Mark Mentovai van Google Inc.
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokaal programma kan bevoegdheden escaleren met behulp van een aangetaste service die met minder bevoegdheden moet worden uitgevoerd
Beschrijving: setreuid- en setregid-systeemaanroepen faalden bij het definitief verwijderen van bevoegdheden. Dit probleem is verholpen door bevoegdheden naar behoren te verwijderen.
CVE-ID
CVE-2015-1117: Mark Mentovai van Google Inc.
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan het verkeer van gebruikers doorsturen naar willekeurige hosts
Beschrijving: ICMP-doorverwijzingen zijn standaard ingeschakeld in OS X. Dit probleem is verholpen door ICMP-doorverwijzingen uit te schakelen.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een weigering van service veroorzaken
Beschrijving: er was een inconsistentie van de status bij de verwerking van TCP-kopteksten. Dit probleem is verholpen door een verbeterde verwerking van de status.
CVE-ID
CVE-2015-1102: Andrey Khudyakov en Maxim Zhuravlev van Kaspersky Lab
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: er was een probleem met een ongeoorloofde geheugentoegang bij de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1100: Maxime Villard van m00nbsd
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een externe aanvaller kan mogelijk netwerkfilters omzeilen
Beschrijving: het systeem behandelt sommige IPv6-pakketten van externe netwerkinterfaces als lokale pakketten. Het probleem is verholpen door deze pakketten te weigeren.
CVE-ID
CVE-2015-1104: Stephen Roettger van het Google Security Team
Kernel
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1101: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een externe aanvaller kan mogelijk zorgen voor weigering van service
Beschrijving: er was een probleem met inconsistentie van de status bij de verwerking van buiten-bandgegevens in TCP. Dit probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-1105: Kenton Varda van Sandstorm.io
LaunchServices
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan de Finder doen crashen
Beschrijving: er was een probleem met de invoervalidatie bij de verwerking van lokalisatiegegevens van programma’s door LaunchServices. Dit probleem is verholpen door een verbeterde validatie van lokalisatiegegevens.
CVE-ID
CVE-2015-1142
LaunchServices
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met verwarring van het type tijdens de verwerking van gelokaliseerde strings door LaunchServices. Dit probleem is verholpen door middel van extra bounds checking.
CVE-ID
CVE-2015-1143: Apple
libnetcore
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: het verwerken van een kwaadwillig vervaardigd configuratieprofiel kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van configuratieprofielen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang en Tao Wei van FireEye, Inc.
ntp
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: een externe aanvaller kan ntpd-identiteitscontrolecodes met ‘brute force’ achterhalen
Beschrijving: de functie config_auth in ntpd heeft een zwakke code aangemaakt wanneer een identiteitscontrolecode niet was geconfigureerd. Dit probleem is verholpen door een verbeterde aanmaak van codes.
CVE-ID
CVE-2014-9298
OpenLDAP
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een externe niet-geïdentificeerde client zorgt mogelijk voor een weigering van service
Beschrijving: er waren meerdere problemen met invoervalidatie in OpenLDAP. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: meerdere kwetsbaarheden in OpenSSL
Beschrijving: er waren meerdere kwetsbaarheden in OpenSSL 0.9.8zc, waaronder een waardoor een aanvaller verbindingen met een server die blokcodes voor export ondersteunt, kan onderscheppen. Deze problemen zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zd.
CVE-ID
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory-client
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: mogelijk wordt een wachtwoord ongecodeerd via een netwerk verstuurd wanneer een Open Directory van OS X Server wordt gebruikt
Beschrijving: als een Open Directory was gekoppeld aan een OS X Server maar de certificaten van de OS X Server niet had geïnstalleerd, en een gebruiker van die client heeft vervolgens diens wachtwoord gewijzigd, is het verzoek om het wachtwoord te wijzigen ongecodeerd via het netwerk verstuurd. Dit probleem is verholpen door de client in dit geval codering te laten eisen.
CVE-ID
CVE-2015-1147: Apple
PHP
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: meerdere kwetsbaarheden in PHP
Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.3.29, 5.4.38 en 5.5.20, waaronder een kwetsbaarheid die mogelijk heeft geleid tot het uitvoeren van willekeurige code. Deze update verhelpt de problemen door PHP bij te werken naar versies 5.3.29, 5.4.38 en 5.5.20.
CVE-ID
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: het openen van een kwaadwillig vervaardigd iWork-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van iWork-bestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1098: Christopher Hickstein
SceneKit
Beschikbaar voor: OS X Mountain Lion v10.8.5
Impact: het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van Collada-bestanden in SceneKit. Het bekijken van een kwaadwillig vervaardigd Collada-bestand heeft mogelijk geleid tot het uitvoeren van willekeurige code. Dit probleem is verholpen door een verbeterde validatie van accessor-elementen.
CVE-ID
CVE-2014-8830: Jose Duart van het Google Security Team
Schermdeling
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: het wachtwoord van een gebruiker is mogelijk geregistreerd in een lokaal bestand
Beschrijving: onder bepaalde omstandigheden kan schermdeling het wachtwoord van een gebruiker registreren dat niet kan worden gelezen door andere gebruikers in het systeem. Dit probleem is verholpen door de registratie van inloggegevens te verwijderen.
CVE-ID
CVE-2015-1148: Apple
Beveiliging - Codeondertekening
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: het starten van programma’s waarmee geknoeid is, wordt mogelijk niet verhinderd
Beschrijving: programma’s met speciaal gemaakte bundels konden mogelijk zonder een geheel geldige handtekening worden gestart. Dit probleem is verholpen door extra controles toe te voegen.
CVE-ID
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.2
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een bufferoverloop bij de manier waarop Uniform Type Identifiers zijn behandeld. Dit probleem is verholpen door een verbeterde bounds checking.
CVE-ID
CVE-2015-1144: Apple
WebKit
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.2
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in WebKit. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-1069: lokihardt@ASRT in samenwerking met het Zero Day Initiative van HP
Beveiligingsupdate 2015-004 (beschikbaar voor OS X Mountain Lion v10.8.5 en OS X Mavericks v10.9.5) verhelpt ook een probleem dat door de oplossing voor CVE-2015-1067 in Beveiligingsupdate 2015-002 werd veroorzaakt. Dit probleem verhinderde dat clients van externe Apple events op alle versies verbinding maakten met de server van externe Apple events. In standaardconfiguraties is externe Apple events niet ingeschakeld.
OS X Yosemite v10.10.3 bevat de beveiligingsinhoud van Safari 8.0.5.